Cách Triều Tiên xâm nhập vào ngành công nghiệp tiền điện tử

• CoinDesk đã xác định được hơn một chục công ty tiền điện tử vô tình thuê nhân viên CNTT từ Cộng hòa Dân chủ Nhân dân Triều Tiên (DPRK), bao gồm các dự án blockchain lâu đời như Injective, ZeroLend, Fantom, Sushi, Yearn Finance và Cosmos Hub.
• Những người lao động này đã sử dụng giấy tờ tùy thân giả, vượt qua các cuộc phỏng vấn, kiểm tra lý lịch và trình bày lịch sử công việc thực tế.
• Việc thuê nhân viên CHDCND Triều Tiên là vi phạm pháp luật tại Hoa Kỳ và các quốc gia khác trừng phạt Triều Tiên. Việc này cũng gây ra rủi ro về bảo mật: CoinDesk đã phát hiện nhiều ví dụ về các công ty thuê nhân viên CNTT CHDCND Triều Tiên và sau đó bị tấn công.
• "Mọi người đang phải vật lộn để lọc ra những người này", Zaki Manian, một nhà phát triển blockchain nổi tiếng, người cho biết ông đã vô tình thuê hai nhân viên CNTT của CHDCND Triều Tiên để giúp phát triển blockchain Cosmos Hub vào năm 2021, cho biết.

Công ty tiền điện tử Truflation vẫn đang trong giai đoạn đầu vào năm 2023 khi người sáng lập Stefan Rust vô tình tuyển dụng nhân viên người Triều Tiên đầu tiên.

"Chúng tôi luôn tìm kiếm những nhà phát triển giỏi", Rust nói từ nhà riêng của ông ở Thụy Sĩ. Đột nhiên, "một nhà phát triển này đã tìm được người phù hợp".

"Ryuhei" đã gửi sơ yếu lý lịch của mình qua Telegram và tuyên bố rằng anh ta sống tại Nhật Bản. Ngay sau khi anh ta được tuyển dụng, những mâu thuẫn kỳ lạ bắt đầu xuất hiện.

Có lúc, "Tôi đang nói chuyện với anh chàng đó, và anh ta nói rằng anh ta đang ở trong một trận động đất", Rust nhớ lại. Ngoại trừ việc không có trận động đất nào gần đây ở Nhật Bản. Sau đó, nhân viên đó bắt đầu gọi nhỡ, và khi anh ta xuất hiện, "không phải anh ta", Rust nói. "Là người khác". Bất kể là ai thì anh ta đã bỏ giọng Nhật.

Rust sớm biết rằng "Ryuhei" và bốn nhân viên khác – hơn một phần ba toàn bộ nhóm của anh – là người Triều Tiên. Rust vô tình trở thành nạn nhân của một âm mưu được phối hợp bởi Triều Tiên nhằm đảm bảo việc làm xa xôi ở nước ngoài cho người dân của mình và chuyển tiền thu được trở lại Bình Nhưỡng.

Gần đây, chính quyền Hoa Kỳ đã tăng cường cảnh báo rằng các nhân viên công nghệ thông tin (CNTT) của Triều Tiên đang xâm nhập vào các công ty công nghệ, bao gồm cả các nhà tuyển dụng tiền điện tử, và sử dụng số tiền thu được để tài trợ cho chương trình vũ khí hạt nhân của quốc gia bị ruồng bỏ này. Theo báo cáo năm 2024 của Liên hợp quốc , những nhân viên CNTT này kiếm được tới 600 triệu đô la mỗi năm cho chế độ của Kim Jon Un.

Việc thuê và trả lương cho công nhân – thậm chí là vô tình – vi phạm lệnh trừng phạt của Liên Hợp Quốc và là bất hợp pháp ở Hoa Kỳ và nhiều quốc gia khác. Nó cũng gây ra rủi ro an ninh nghiêm trọng, vì tin tặc Bắc Triều Tiên được biết đến là nhắm mục tiêu vào các công ty thông qua những người làm việc bí mật.

Cuộc điều tra của CoinDesk hiện tiết lộ mức độ hung hăng và thường xuyên mà các ứng viên xin việc tại Triều Tiên nhắm vào các công ty tiền điện tử nói riêng - vượt qua thành công các cuộc phỏng vấn, vượt qua các cuộc kiểm tra tham chiếu, thậm chí còn trình bày lịch sử đóng góp mã ấn tượng trên kho lưu trữ phần mềm nguồn mở GitHub.

CoinDesk đã trao đổi với hơn chục công ty tiền điện tử và họ cho biết họ đã vô tình thuê nhân viên CNTT từ Cộng hòa Dân chủ Nhân dân Triều Tiên (DPRK), tên gọi chính thức của quốc gia này.

Những cuộc phỏng vấn này với những người sáng lập, nhà nghiên cứu blockchain và chuyên gia trong ngành cho thấy rằng nhân viên CNTT Triều Tiên phổ biến hơn nhiều trong ngành tiền điện tử so với suy nghĩ trước đây. Hầu như mọi nhà quản lý tuyển dụng được CoinDesk tiếp cận cho câu chuyện này đều thừa nhận rằng họ đã phỏng vấn các nhà phát triển người Triều Tiên bị tình nghi, thuê họ một cách vô tình hoặc biết ai đó đã từng phỏng vấn.

Zaki Manian, một nhà phát triển blockchain nổi tiếng, cho biết ông đã vô tình thuê hai nhân viên CNTT CHDCND Triều Tiên để giúp phát triển blockchain Cosmos Hub vào năm 2021. "Mọi người đang phải vật lộn để lọc ra những người này".

Trong số những nhà tuyển dụng DPRK vô tình được CoinDesk xác định có một số dự án blockchain đã thành danh, chẳng hạn như Cosmos Hub, Injective, ZeroLend, Fantom, Sushi và Yearn Finance. Manian cho biết "Tất cả những điều này đều diễn ra ở hậu trường".

Cuộc điều tra này đánh dấu lần đầu tiên một trong những công ty này công khai thừa nhận rằng họ đã vô tình thuê nhân viên CNTT của CHDCND Triều Tiên.

Trong nhiều trường hợp, công nhân Bắc Triều Tiên tiến hành công việc của họ giống như những nhân viên bình thường; vì vậy, theo một nghĩa nào đó, chủ lao động hầu như nhận được những gì họ trả tiền. Nhưng CoinDesk đã tìm thấy bằng chứng về việc công nhân sau đó chuyển tiền lương của họ đến các địa chỉ blockchain được liên kết với chính phủ Bắc Triều Tiên.

Cuộc điều tra của CoinDesk cũng tiết lộ một số trường hợp các dự án tiền điện tử sử dụng nhân viên CNTT của CHDCND Triều Tiên sau đó trở thành nạn nhân của các vụ hack. Trong một số trường hợp đó, CoinDesk đã có thể liên kết các vụ trộm trực tiếp với những nhân viên CNTT bị nghi ngờ là của CHDCND Triều Tiên trong bảng lương của một công ty. Đó là trường hợp của Sushi, một giao thức tài chính phi tập trung nổi tiếng đã mất 3 triệu đô la trong một vụ hack năm 2021.

Văn phòng Kiểm soát tài sản nước ngoài (OFAC) thuộc Bộ Tài chính Hoa Kỳ và Bộ Tư pháp bắt đầu công khai những nỗ lực của Triều Tiên nhằm xâm nhập vào ngành công nghiệp tiền điện tử của Hoa Kỳ vào năm 2022. CoinDesk đã phát hiện ra bằng chứng cho thấy nhân viên CNTT của CHDCND Triều Tiên đã bắt đầu làm việc tại các công ty tiền điện tử bằng danh tính giả từ rất lâu trước đó, ít nhất là vào năm 2018.

"Tôi nghĩ rằng nhiều người đang có ấn tượng sai lầm rằng đây là điều gì đó mới mẻ đột nhiên xảy ra", Manian nói. "Có những tài khoản GitHub và những thứ khác với những người này, chẳng hạn như, quay trở lại năm 2016, 2017, 2018." (GitHub, thuộc sở hữu của Microsoft, là nền tảng trực tuyến mà nhiều tổ chức phần mềm sử dụng để lưu trữ mã và cho phép các nhà phát triển cộng tác.)

CoinDesk đã liên kết các nhân viên CNTT của CHDCND Triều Tiên với các công ty bằng nhiều phương pháp khác nhau, bao gồm hồ sơ thanh toán blockchain, đóng góp mã GitHub công khai, email từ các quan chức chính phủ Hoa Kỳ và phỏng vấn trực tiếp với các công ty mục tiêu. Một trong những mạng lưới thanh toán lớn nhất của Triều Tiên được CoinDesk kiểm tra đã được phát hiện bởi ZachXBT, một nhà điều tra blockchain đã công bố danh sách các nhà phát triển bị nghi ngờ là người CHDCND Triều Tiên vào tháng 8.

Trước đây, các nhà tuyển dụng vẫn im lặng vì lo ngại về việc công khai không mong muốn hoặc hậu quả pháp lý. Bây giờ, khi đối mặt với hồ sơ thanh toán mở rộng và các bằng chứng khác được CoinDesk phát hiện, nhiều người trong số họ đã quyết định lên tiếng và chia sẻ câu chuyện của mình lần đầu tiên, vạch trần thành công và quy mô to lớn của những nỗ lực của Triều Tiên nhằm thâm nhập vào ngành công nghiệp tiền điện tử.

Tài liệu giả mạo

Sau khi tuyển dụng Ryuhei, một nhân viên người Nhật, Rust's Truflation đã nhận được một loạt đơn xin việc mới. Chỉ trong vài tháng, Rust đã vô tình tuyển thêm bốn nhà phát triển DPRK, những người nói rằng họ làm việc tại Montreal, Vancouver, Houston và Singapore.

Ngành tiền điện tử đặc biệt dễ bị phá hoại bởi các nhân viên CNTT của Triều Tiên. Lực lượng lao động đặc biệt toàn cầu và các công ty tiền điện tử có xu hướng thoải mái hơn những công ty khác khi thuê các nhà phát triển hoàn toàn từ xa - thậm chí là ẩn danh.

CoinDesk đã xem xét các đơn xin việc tại CHDCND Triều Tiên mà các công ty tiền điện tử nhận được từ nhiều nguồn khác nhau, bao gồm các nền tảng nhắn tin như Telegram và Discord, các bảng việc làm dành riêng cho tiền điện tử như Crypto Jobs List và các trang web tuyển dụng như Indeed.

"Nơi họ may mắn nhất khi được tuyển dụng là những nhóm mới nổi thực sự tươi trẻ, sẵn sàng tuyển dụng từ Discord", Taylor Monahan, giám đốc sản phẩm tại ứng dụng ví tiền điện tử MetaMask, người thường xuyên công bố nghiên cứu bảo mật liên quan đến hoạt động tiền điện tử của Triều Tiên, cho biết. "Họ không có quy trình tuyển dụng những người có kiểm tra lý lịch. Họ sẵn sàng trả tiền bằng tiền điện tử rất nhiều lần".

Rust cho biết ông đã tự mình kiểm tra lý lịch của tất cả những người mới được Truflation tuyển dụng. "Họ đã gửi cho chúng tôi hộ chiếu và thẻ căn cước, cung cấp cho chúng tôi kho lưu trữ GitHub, trải qua một cuộc kiểm tra, và sau đó, về cơ bản, chúng tôi đã đưa họ vào làm việc."

Với người không có chuyên môn, hầu hết các giấy tờ giả đều trông không thể phân biệt được với hộ chiếu và thị thực thật, mặc dù các chuyên gia nói với CoinDesk rằng có thể các dịch vụ kiểm tra lý lịch chuyên nghiệp đã phát hiện ra chúng.

Monahan cho biết mặc dù các công ty khởi nghiệp ít có khả năng sử dụng dịch vụ kiểm tra lý lịch chuyên nghiệp, "chúng tôi vẫn thấy nhân viên CNTT Triều Tiên tại các công ty lớn hơn, với tư cách là nhân viên thực sự hoặc ít nhất là nhà thầu".

Ẩn mình trong tầm nhìn rõ ràng

Trong nhiều trường hợp, CoinDesk phát hiện nhân viên CNTT của CHDCND Triều Tiên tại các công ty sử dụng dữ liệu blockchain có sẵn công khai.

Vào năm 2021, Manian, nhà phát triển blockchain, cần một số trợ giúp tại công ty của mình, Iqlusion. Anh ấy đã tìm kiếm những lập trình viên tự do có thể giúp đỡ một dự án nâng cấp blockchain Cosmos Hub phổ biến. Anh ấy đã tìm thấy hai tân binh; họ đã hoàn thành một cách xuất sắc.

Manian chưa bao giờ gặp trực tiếp những người làm việc tự do, “Jun Kai” và “Sarawut Sanit”. Trước đây, họ đã từng làm việc cùng nhau trong một dự án phần mềm nguồn mở do THORChain tài trợ, một mạng lưới blockchain liên kết chặt chẽ, và họ nói với Manian rằng họ có trụ sở tại Singapore.

"Tôi đã nói chuyện với họ hầu như mỗi ngày trong một năm," Manian nói. "Họ đã làm việc. Và thành thật mà nói, tôi khá hài lòng."

Hai năm sau khi những người làm việc tự do hoàn thành công việc của họ, Manian nhận được một email từ một đặc vụ FBI đang điều tra các giao dịch chuyển token dường như đến từ Iqlusion trên đường đến các địa chỉ ví tiền điện tử bị nghi ngờ của Triều Tiên. Các giao dịch được đề cập hóa ra là các khoản thanh toán của Iqlusion cho Kai và Sanit.

FBI chưa bao giờ xác nhận với Manian rằng các nhà phát triển mà anh ta ký hợp đồng là đặc vụ của CHDCND Triều Tiên, nhưng đánh giá của CoinDesk về địa chỉ blockchain của Kai và Sanit cho thấy trong suốt năm 2021 và 2022, họ đã chuyển tiền thu nhập của mình cho hai cá nhân có tên trong danh sách trừng phạt của OFAC: Kim Sang Man và Sim Hyon Sop .

Theo OFAC , Sim là đại diện của Kwangson Banking Corp, một ngân hàng Triều Tiên chuyên rửa tiền của nhân viên CNTT để giúp "tài trợ cho các chương trình tên lửa đạn đạo và vũ khí hủy diệt hàng loạt của CHDCND Triều Tiên". Sarawut dường như đã chuyển toàn bộ thu nhập của mình vào Sim và các ví blockchain khác có liên kết với Sim.

Trong khi đó, Kai đã chuyển gần 8 triệu đô la trực tiếp cho Kim. Theo một cố vấn của OFAC năm 2023 , Kim là đại diện cho Công ty hợp tác công nghệ thông tin Chinyong do CHDCND Triều Tiên điều hành, "thông qua các công ty do công ty này kiểm soát và đại diện của họ, tuyển dụng các phái đoàn nhân viên CNTT của CHDCND Triều Tiên hoạt động tại Nga và Lào".

Tiền lương mà Iqlusion trả cho Kai chỉ chiếm chưa đến 50.000 đô la trong số gần 8 triệu đô la mà anh ta gửi cho Kim, và một số tiền còn lại đến từ các công ty tiền điện tử khác.

Ví dụ, CoinDesk đã phát hiện các khoản thanh toán từ Fantom Foundation, đơn vị phát triển blockchain Fantom được sử dụng rộng rãi, cho "Jun Kai" và một nhà phát triển khác có liên quan đến CHDCND Triều Tiên.

"Fantom đã xác định được hai nhân sự bên ngoài có liên quan đến Triều Tiên vào năm 2021", một phát ngôn viên của Fantom Foundation nói với CoinDesk. "Tuy nhiên, các nhà phát triển được đề cập đã làm việc trên một dự án bên ngoài chưa bao giờ hoàn thành và chưa bao giờ triển khai".

Theo Fantom Foundation, "Hai cá nhân nói trên đã bị chấm dứt hợp đồng, không bao giờ đóng góp bất kỳ mã độc hại nào cũng như không bao giờ có quyền truy cập vào cơ sở mã của Fantom và không có người dùng Fantom nào bị ảnh hưởng". Theo người phát ngôn, một trong những nhân viên DPRK đã cố gắng tấn công máy chủ của Fantom nhưng không thành công vì anh ta không có quyền truy cập cần thiết.

Theo cơ sở dữ liệu OpenSanctions , các địa chỉ blockchain liên kết với CHDCND Triều Tiên của Kim không được bất kỳ chính phủ nào công bố cho đến tháng 5 năm 2023 - hơn hai năm sau khi Iqlusion và Fantom thực hiện thanh toán.

Sự nới lỏng được đưa ra

Hoa Kỳ và Liên Hợp Quốc đã ban hành lệnh trừng phạt việc tuyển dụng nhân viên CNTT của CHDCND Triều Tiên vào năm 2016 và 2017.

Việc trả tiền cho công nhân Triều Tiên tại Hoa Kỳ là bất hợp pháp cho dù bạn có biết mình đang làm điều đó hay không—một khái niệm pháp lý được gọi là "trách nhiệm pháp lý nghiêm ngặt".

Địa điểm đặt trụ sở công ty cũng không nhất thiết quan trọng: Việc thuê lao động từ CHDCND Triều Tiên có thể tiềm ẩn rủi ro pháp lý cho bất kỳ công ty nào kinh doanh tại các quốc gia thực thi lệnh trừng phạt đối với Triều Tiên.

Tuy nhiên, Hoa Kỳ và các quốc gia thành viên khác của Liên Hợp Quốc vẫn chưa truy tố một công ty tiền điện tử nào vì thuê nhân viên CNTT Triều Tiên.

Bộ Tài chính Hoa Kỳ đã mở cuộc điều tra về Iqlusion, có trụ sở tại Hoa Kỳ, nhưng Manian cho biết cuộc điều tra đã kết thúc mà không có bất kỳ hình phạt nào.

Chính quyền Hoa Kỳ đã rất khoan hồng khi đưa ra cáo buộc đối với các công ty - ở một mức độ nào đó thừa nhận rằng họ là nạn nhân của, trong trường hợp tốt nhất, một loại gian lận danh tính cực kỳ tinh vi và phức tạp, hoặc, trong trường hợp tệ nhất, một vụ lừa đảo dài dòng theo kiểu nhục nhã nhất.

Bỏ qua rủi ro pháp lý, việc trả lương cho nhân viên CNTT của CHDCND Triều Tiên cũng "tệ vì bạn đang trả lương cho những người về cơ bản đang bị chế độ này bóc lột", Monahan của MetaMask giải thích.

Theo báo cáo dài 615 trang của Hội đồng Bảo an Liên hợp quốc, nhân viên CNTT của CHDCND Triều Tiên chỉ giữ lại một phần nhỏ tiền lương của họ. "Những người có thu nhập thấp hơn giữ lại 10 phần trăm trong khi những người có thu nhập cao nhất có thể giữ lại 30 phần trăm", báo cáo nêu rõ.

Mặc dù mức lương này vẫn có thể cao so với mức lương trung bình ở Bắc Triều Tiên, "Tôi không quan tâm họ sống ở đâu", Monahan nói. "Nếu tôi trả tiền cho ai đó và họ thực sự bị buộc phải gửi toàn bộ tiền lương của họ cho ông chủ của họ, điều đó sẽ khiến tôi rất khó chịu. Tôi sẽ khó chịu hơn nếu ông chủ của họ là, bạn biết đấy, chế độ Bắc Triều Tiên".

CoinDesk đã liên hệ với nhiều nhân viên CNTT bị nghi ngờ của CHDCND Triều Tiên trong quá trình đưa tin nhưng không nhận được phản hồi.

Tiến lên phía trước

CoinDesk đã xác định được hơn hai chục công ty có thể đã tuyển dụng nhân viên CNTT của CHDCND Triều Tiên bằng cách phân tích hồ sơ thanh toán blockchain cho các thực thể bị OFAC trừng phạt. Mười hai công ty trình bày hồ sơ đã xác nhận với CoinDesk rằng họ đã phát hiện ra những nhân viên CNTT bị nghi ngờ là của CHDCND Triều Tiên trong bảng lương của họ.

Một số người từ chối bình luận thêm vì sợ hậu quả pháp lý, nhưng những người khác đồng ý chia sẻ câu chuyện của họ với hy vọng rằng những người khác có thể học hỏi từ kinh nghiệm của họ.

Trong nhiều trường hợp, nhân viên CHDCND Triều Tiên dễ bị nhận dạng hơn sau khi họ được tuyển dụng.

Eric Chen, CEO của Injective, một dự án tập trung vào tài chính phi tập trung, cho biết ông đã ký hợp đồng với một nhà phát triển tự do vào năm 2020 nhưng nhanh chóng sa thải anh ta vì hiệu suất kém.

"Anh ta không trụ được lâu", Chen nói. "Anh ta viết mã tệ hại và không hoạt động tốt". Phải đến năm ngoái, khi một "cơ quan chính phủ" của Hoa Kỳ liên hệ với Injective, Chen mới biết nhân viên này có liên hệ với Triều Tiên.

Một số công ty chia sẻ với CoinDesk rằng họ đã sa thải một nhân viên trước khi biết về bất kỳ mối liên hệ nào với CHDCND Triều Tiên – chẳng hạn như do chất lượng công việc kém.

'Lương sữa cho một vài tháng'

Tuy nhiên, nhân viên CNTT của CHDCND Triều Tiên cũng giống như các nhà phát triển thông thường ở chỗ năng khiếu của họ có thể khác nhau.

Một mặt, bạn sẽ có những nhân viên "xuất hiện, vượt qua quá trình phỏng vấn và chỉ kiếm tiền lương trong vài tháng", Manian nói. "Cũng có một mặt khác của nó, đó là bạn gặp những người này, khi bạn phỏng vấn họ, kỹ năng kỹ thuật thực tế của họ thực sự mạnh mẽ".

Rust nhớ lại có "một lập trình viên thực sự giỏi" tại Truflation, người tự nhận mình đến từ Vancouver nhưng hóa ra lại đến từ Bắc Triều Tiên. "Anh ấy thực sự là một đứa trẻ", Rust nói. "Cảm giác như anh ấy vừa mới ra trường đại học. Có chút non nớt, cực kỳ nhiệt tình, thực sự phấn khích khi được làm việc với một cơ hội".

Trong một trường hợp khác, Cluster, một công ty khởi nghiệp tài chính phi tập trung, đã sa thải hai nhà phát triển vào tháng 8 sau khi ZachXBT đưa ra bằng chứng cho thấy họ có liên quan đến CHDCND Triều Tiên.

"Thật điên rồ khi những kẻ này biết nhiều đến vậy", người sáng lập ẩn danh của Cluster, z3n, nói với CoinDesk. Nhìn lại, có một số "cờ đỏ rõ ràng". Ví dụ, "cứ hai tuần họ lại thay đổi địa chỉ thanh toán và cứ khoảng một tháng họ lại đổi tên Discord hoặc tên Telegram".

Tắt webcam

Trong cuộc trò chuyện với CoinDesk, nhiều nhà tuyển dụng cho biết họ nhận thấy những điều bất thường và thấy hợp lý hơn khi biết rằng nhân viên của mình có thể là người Triều Tiên.

Đôi khi những gợi ý rất tinh tế, như giờ làm việc của nhân viên không khớp với địa điểm làm việc thực tế của họ.

Những nhà tuyển dụng khác, như Truflation, nhận thấy dấu hiệu cho thấy một nhân viên là nhiều người đóng giả thành một cá nhân duy nhất - điều mà nhân viên đó sẽ cố gắng che giấu bằng cách tắt webcam. (Hầu như họ luôn là đàn ông).

Một công ty đã thuê một nhân viên có mặt trong các cuộc họp vào buổi sáng nhưng dường như quên hết mọi thứ đã được thảo luận sau đó trong ngày - một điều kỳ quặc trở nên hợp lý hơn khi người sử dụng lao động nhận ra rằng cô ấy đã nói chuyện với nhiều người.

Khi Rust nêu mối lo ngại về Ryuhei, nhân viên "người Nhật" của mình, với một nhà đầu tư có kinh nghiệm theo dõi các mạng lưới thanh toán tội phạm, nhà đầu tư này đã nhanh chóng xác định được bốn nhân viên CNTT người CHDCND Triều Tiên bị tình nghi khác có tên trong danh sách trả lương của Truflation.

"Chúng tôi đã ngay lập tức cắt đứt quan hệ", Rust nói, đồng thời cho biết thêm rằng nhóm của ông đã tiến hành kiểm tra bảo mật mã của mình, tăng cường quy trình kiểm tra lý lịch và thay đổi một số chính sách. Một chính sách mới là yêu cầu nhân viên làm việc từ xa bật camera.

Một vụ hack trị giá 3 triệu đô la

Nhiều nhà tuyển dụng được CoinDesk tham khảo ý kiến đã có ấn tượng sai lầm rằng nhân viên CNTT của CHDCND Triều Tiên hoạt động độc lập với nhóm tin tặc của Triều Tiên, nhưng dữ liệu blockchain và các cuộc trò chuyện với các chuyên gia cho thấy các hoạt động tin tặc của chế độ này và nhân viên CNTT thường có mối liên hệ với nhau.

Vào tháng 9 năm 2021, MISO, một nền tảng do Sushi xây dựng để phát hành token tiền điện tử, đã mất 3 triệu đô la trong một vụ trộm được báo cáo rộng rãi . CoinDesk đã tìm thấy bằng chứng cho thấy vụ tấn công có liên quan đến việc Sushi thuê hai nhà phát triển có hồ sơ thanh toán blockchain liên quan đến Triều Tiên.

Vào thời điểm xảy ra vụ hack, Sushi là một trong những nền tảng được nhắc đến nhiều nhất trong thế giới tài chính phi tập trung (DeFi) mới nổi. Hơn 5 tỷ đô la đã được gửi vào SushiSwap, chủ yếu đóng vai trò là "sàn giao dịch phi tập trung" để mọi người trao đổi giữa các loại tiền điện tử mà không cần trung gian.

Joseph Delong, giám đốc công nghệ của Sushi vào thời điểm đó, đã truy tìm vụ trộm MISO đến hai nhà phát triển tự do đã giúp xây dựng nó: những cá nhân sử dụng tên Anthony Keller và Sava Grujic. Delong cho biết các nhà phát triển - những người mà ông hiện nghi ngờ là một cá nhân hoặc tổ chức duy nhất - đã đưa mã độc vào nền tảng MISO, chuyển hướng tiền đến một ví mà họ kiểm soát.

Khi Keller và Grujic được Sushi DAO, tổ chức tự trị phi tập trung quản lý giao thức Sushi, ký hợp đồng, họ đã cung cấp các thông tin xác thực có vẻ đủ tiêu chuẩn – thậm chí ấn tượng – đối với các nhà phát triển mới vào nghề.

Keller hoạt động dưới bút danh "eratos1122" trước công chúng, nhưng khi nộp đơn xin việc tại MISO, anh ta đã sử dụng cái tên dường như là tên thật của mình, "Anthony Keller." Trong bản lý lịch mà Delong chia sẻ với CoinDesk, Keller tuyên bố mình cư trú tại Gainesville, Georgia và đã tốt nghiệp Đại học Phoenix với bằng cử nhân kỹ thuật máy tính. (Trường đại học đã không trả lời yêu cầu xác nhận xem có sinh viên tốt nghiệp nào có tên đó không.)

Sơ yếu lý lịch của Keller bao gồm các tham chiếu thực sự đến công việc trước đây. Trong số những công việc ấn tượng nhất là Yearn Finance, một giao thức đầu tư tiền điện tử cực kỳ phổ biến cung cấp cho người dùng một cách để kiếm lãi trên nhiều chiến lược đầu tư được tạo sẵn. Banteg, một nhà phát triển cốt lõi tại Yearn, đã xác nhận rằng Keller đã làm việc trên Coordinape, một ứng dụng do Yearn xây dựng để giúp các nhóm cộng tác và tạo điều kiện thuận lợi cho việc thanh toán. (Banteg cho biết công việc của Keller chỉ giới hạn ở Coordinape và anh ấy không có quyền truy cập vào cơ sở mã cốt lõi của Yearn.)

Keller giới thiệu Grujic với MISO và cả hai tự giới thiệu mình là "bạn bè", theo Delong. Giống như Keller, Grujic đã cung cấp sơ yếu lý lịch với tên thật được cho là của mình thay vì bút danh trực tuyến "AristoK3". Anh ta tự nhận mình đến từ Serbia và tốt nghiệp Đại học Belgrade với bằng cử nhân khoa học máy tính. Tài khoản GitHub của anh ta vẫn hoạt động và sơ yếu lý lịch của anh ta liệt kê kinh nghiệm với một số dự án tiền điện tử nhỏ hơn và các công ty khởi nghiệp trò chơi.

Rachel Chu, cựu lập trình viên cốt lõi tại Sushi, người đã làm việc chặt chẽ với Keller và Grujic trước vụ trộm, cho biết cô đã "nghi ngờ" cặp đôi này trước khi bất kỳ vụ hack nào diễn ra.

Mặc dù tuyên bố rằng họ sống ở hai nơi khác nhau trên thế giới, Grujic và Keller "có cùng giọng" và "cùng cách nhắn tin", Chu nói. "Mỗi lần chúng tôi nói chuyện, họ lại có tiếng ồn nền, như thể họ đang ở trong một nhà máy", cô nói thêm. Chu nhớ lại rằng cô đã nhìn thấy khuôn mặt của Keller nhưng không bao giờ nhìn thấy Grujic. Theo Chu, máy ảnh của Keller đã được "phóng to" nên cô không bao giờ có thể nhìn rõ những gì đằng sau anh ta.

Keller và Grujic cuối cùng đã ngừng đóng góp cho MISO vào cùng thời điểm. "Chúng tôi nghĩ Anthony và Sava là cùng một người", Delong nói, "nên chúng tôi ngừng trả tiền cho họ". Đây là thời kỳ đỉnh điểm của đại dịch COVID-19 và không phải là chưa từng có chuyện các nhà phát triển tiền điện tử từ xa cải trang thành nhiều người để moi thêm tiền từ bảng lương.

Sau khi Keller và Grujic bị sa thải vào mùa hè năm 2021, nhóm Sushi đã quên thu hồi quyền truy cập của họ vào cơ sở mã MISO.

Vào ngày 2 tháng 9, Grujic đã phát tán mã độc vào nền tảng MISO dưới tên màn hình "Aristok3" của mình, chuyển hướng 3 triệu đô la vào một ví tiền điện tử mới, dựa trên ảnh chụp màn hình được cung cấp cho CoinDesk.

Phân tích của CoinDesk về hồ sơ thanh toán blockchain cho thấy mối liên hệ tiềm ẩn giữa Keller, Grujic và Triều Tiên. Vào tháng 3 năm 2021, Keller đã đăng một địa chỉ blockchain trong một tweet hiện đã bị xóa. CoinDesk đã phát hiện ra nhiều khoản thanh toán giữa địa chỉ này, địa chỉ tin tặc của Grujic và các địa chỉ mà Sushi lưu trong hồ sơ của Keller. Cuộc điều tra nội bộ của Sushi cuối cùng đã kết luận rằng địa chỉ này thuộc về Keller, theo Delong.

CoinDesk phát hiện ra rằng địa chỉ này đã gửi phần lớn tiền cho "Jun Kai" (nhà phát triển Iqlusion đã gửi tiền cho Kim Sang Man, người bị OFAC trừng phạt) và một ví khác dường như đóng vai trò là đại diện của CHDCND Triều Tiên (vì ví này cũng trả tiền cho Kim).

Để củng cố thêm cho lý thuyết rằng Keller và Grujic là người Triều Tiên, cuộc điều tra nội bộ của Sushi phát hiện ra rằng cặp đôi này thường xuyên hoạt động bằng cách sử dụng địa chỉ IP ở Nga, nơi mà OFAC cho biết các nhân viên CNTT của CHDCND Triều Tiên đôi khi có mặt. (Số điện thoại tại Hoa Kỳ trên sơ yếu lý lịch của Keller đã ngừng hoạt động và tài khoản Github và Twitter "eratos1122" của anh ta đã bị xóa.)

Ngoài ra, CoinDesk còn phát hiện ra bằng chứng cho thấy Sushi đã thuê một nhà thầu CNTT khác của CHDCND Triều Tiên cùng lúc với Keller và Grujic. Nhà phát triển, được ZachXBT xác định là "Gary Lee", được mã hóa dưới bút danh LightFury và chuyển tiền kiếm được cho "Jun Kai" và một địa chỉ proxy khác có liên quan đến Kim.

Sau khi Sushi công khai đổ lỗi cho bút danh của Keller là "eratos1122" và đe dọa sẽ liên quan đến FBI, Grujic đã trả lại số tiền bị đánh cắp . Mặc dù có vẻ trái ngược với trực giác khi một nhân viên CNTT của CHDCND Triều Tiên lại quan tâm đến việc bảo vệ danh tính giả, nhưng nhân viên CNTT của CHDCND Triều Tiên dường như sử dụng lại một số tên nhất định và xây dựng danh tiếng của họ theo thời gian bằng cách đóng góp cho nhiều dự án, có lẽ là một cách để tạo dựng uy tín với các nhà tuyển dụng trong tương lai.

Có người có thể quyết định rằng việc bảo vệ bí danh Anthony Keller sẽ có lợi hơn về lâu dài: Năm 2023, hai năm sau vụ việc Sushi, một người tên là "Anthony Keller" đã nộp đơn xin việc vào Truflation, công ty của Stefan Rust.

Mọi nỗ lực liên lạc với "Anthony Keller" và "Sava Grujic" để xin bình luận đều không thành công.

Những vụ cướp theo phong cách CHDCND Triều Tiên

Theo Liên Hợp Quốc, Bắc Triều Tiên đã đánh cắp hơn 3 tỷ đô la tiền điện tử thông qua các vụ hack trong bảy năm qua. Trong số các vụ hack mà công ty phân tích blockchain Chainalysis đã theo dõi trong nửa đầu năm 2023 và được cho là có liên quan đến CHDCND Triều Tiên, "khoảng một nửa trong số đó liên quan đến hành vi trộm cắp liên quan đến nhân viên CNTT", Madeleine Kennedy, người phát ngôn của công ty cho biết.

Các cuộc tấn công mạng của Triều Tiên không giống với phiên bản tin tặc của Hollywood, nơi các lập trình viên mặc áo hoodie đột nhập vào máy chủ lớn bằng mã máy tính phức tạp và các thiết bị đầu cuối máy tính màu đen và xanh lá cây.

Các cuộc tấn công kiểu DPRK chắc chắn là công nghệ thấp hơn. Chúng thường liên quan đến một số phiên bản kỹ thuật xã hội, trong đó kẻ tấn công giành được sự tin tưởng của nạn nhân nắm giữ chìa khóa của hệ thống và sau đó trích xuất trực tiếp các chìa khóa đó thông qua một thứ đơn giản như liên kết email độc hại.

"Cho đến nay, chúng tôi chưa bao giờ thấy DPRK thực hiện một khai thác thực sự", Monahan nói. "Luôn luôn là: kỹ thuật xã hội, sau đó xâm nhập thiết bị, rồi xâm nhập khóa riêng tư".

Các nhân viên CNTT có thể góp phần vào các vụ trộm cắp ở CHDCND Triều Tiên, bằng cách trích xuất thông tin cá nhân có thể được sử dụng để phá hoại mục tiêu tiềm năng hoặc bằng cách truy cập trực tiếp vào hệ thống phần mềm chứa tiền kỹ thuật số.

Một loạt các sự trùng hợp

Vào ngày 25 tháng 9, khi bài viết này sắp được xuất bản, CoinDesk đã lên lịch gọi điện video với Rust của Truflation. Kế hoạch là kiểm tra thực tế một số chi tiết mà anh ấy đã chia sẻ trước đó.

Rust bối rối tham gia cuộc gọi muộn 15 phút. Anh ấy vừa bị hack.

CoinDesk đã liên hệ với hơn hai chục dự án dường như đã bị lừa thuê nhân viên CNTT của CHDCND Triều Tiên. Chỉ riêng trong hai tuần cuối cùng của báo cáo, hai trong số các dự án đó đã bị hack: Truflation và một ứng dụng vay tiền điện tử có tên là Delta Prime .

Còn quá sớm để xác định liệu vụ tấn công này có liên quan trực tiếp đến việc tuyển dụng nhân viên CNTT của CHDCND Triều Tiên một cách vô tình hay không.

Delta Prime bị xâm phạm đầu tiên vào ngày 16 tháng 9. CoinDesk trước đó đã phát hiện ra các khoản thanh toán và đóng góp mã kết nối Delta Prime với Naoki Murano , một trong những nhà phát triển có liên hệ với CHDCND Triều Tiên được ZachXBT, một thám tử blockchain ẩn danh , công khai .

Dự án đã mất hơn 7 triệu đô la, chính thức là do "khóa riêng bị xâm phạm". Delta Prime đã không trả lời nhiều yêu cầu bình luận.

Vụ hack Truflation xảy ra chưa đầy hai tuần sau đó. Rust nhận thấy tiền chảy ra khỏi ví tiền điện tử của mình khoảng hai giờ trước cuộc gọi với CoinDesk. Anh vừa trở về nhà sau chuyến đi đến Singapore và đang cố gắng hiểu xem mình đã làm sai điều gì. "Tôi không hiểu chuyện gì đã xảy ra", anh nói. "Tôi đã khóa hết sổ tay của mình trong két sắt trên tường ở khách sạn. Tôi mang theo điện thoại di động bên mình suốt thời gian đó".

Hàng triệu đô la đã rời khỏi ví blockchain cá nhân của Rust khi anh ấy đang nói. "Ý tôi là, điều đó thực sự tệ. Đó là trường học của con tôi; học phí lương hưu."

Truffle và Rust cuối cùng đã mất khoảng 5 triệu đô la. Nguyên nhân chính thức là do khóa riêng bị đánh cắp.