Jak Korea Północna zdobywa krypto do łatania swojego budżetu?

Photo by Micha Brändli on Unsplash

Ostatnie miesiące obfitują w coraz to nowe informacje o kolejnych ukradzionych milionach dolarów z różnych projektów ze świata web3. To, co łączy dużą część kradzieży to podejrzenie, że stoją za nimi grupy hakerów powiązanych z Koreą Północną.

Hakerzy powiązani z Koreą Północna są podejrzewani o kradzież:

  • 571 mln dol. w latach 2017-18
  • 316 mln dol. w latach 2019-20
  • niecałych 400 mln dol. w 2021
  • prawie 1 mld dol. w 2022

Trochę innych danych o Korei Północnej, żeby złapać skalę:

  • Wymiana handlowa – 710 mln dol. (w ponad 99% z Chinami)
  • Szacowany eksport w 2020 – 89 mln dol.
  • Liczba „cyberżołnierzy” – 6800 osób, w tym 1700 hakerów i 5100 supportu
  • Szacowany PKB w 2022 – 19 mld dol.

W jaki sposób hakerzy kradną pieniądze?

Często są to ataki phishingowe albo inne oparte na socjotechnice. Czemu tego typu ataki w krypto są tak skuteczne?

Wiele projektów w web3 posiada tzw. multisig, czyli portfel wymagający kilku podpisów (np. 6 z 8), który pozwala zrobić wszystko z danym chainem, protokołem czy mostem. Dosłownie wszystko. Mając dostęp do wystarczającej liczby podpisów multisiga można zarówno zmienić kod, naprawić błąd, ale też wyczyścić środki albo zbanować użytkownika.

Niestety bardzo często zupełnie nie wiadomo w jakiś sposób zostały przydzielone klucze i jak są chronione. Może się okazać, że wszystkie klucze są w rękach jednej osoby. Albo są zupełnie niezabezpieczone, bo osoby, które je dostały nie dbają o bezpieczeństwo. Albo zostały zgubione. Często hakerzy nie muszą wcale szukać dziur w samym kodzie projektu. „Wystarczy” ustalić kto ma klucze i spróbować te klucze od niego ukraść np. włamując się do niego na kompa albo wręcz fizycznie do domu/biura.

W czasie jednego z włamów hakerzy udawali rekruterów. Stworzyli bardzo ciekawą finansowo ofertę i w ramach procesu rekrutacji, przesłali deweloperowi w pliku szczegóły oferty. Plik miał w sobie skrypt, który pozwolił później przejąć kontrolę nad komputerem danej osoby i od tej strony dostać się do kluczy multisiga. Efekt – ponad 0,5 mld dolarów zostało skradzione.

Co dalej ze skradzionym krypto?

Wracając do Korei Północnej, ukradzione środki są potem przepuszczane przez tzw. mixery, czyli narzędzia zacierające ślady przepływu środków w blockchainie. Robione jest to po to, żeby nie dało się łatwo śledzić przepływu środków pochodzących z kradzieży. To przygotowanie pod ich późniejszą wypłatę.

Następnie ukradzione krypto jest wymieniane na zagranicznych giełdach na RMB, czyli renminbi – walutę obowiązującą w Chinach (tzw. Juan chiński). Później trafiają zapewne do gospodarki koreańskiej i stanowią duży zastrzyk środków dla systemu.

Więcej na ten temat przeczytasz w artykułach:


Jeśli interesują Cię tematy związane z web3 to posłuchaj podcastu Podróż po web3. Rozmawiamy tam z Polakami, którzy tworzą albo rozwijają ciekawe projekty w świecie web3. Opowiadamy też o ciekawych tematach, projektach i hackach: