作者: Sam Kessler ,Coindesk

編譯:Joy,PANews

文章重點:

  • CoinDesk 發現有十多家加密貨幣公司在不知情的情況下僱用了來自北韓的IT 工作者,其中包括Injective、ZeroLend、Fantom、Sushi、Yearn Finance 和Cosmos Hub 等知名區塊鏈專案。
  • 這些員工使用假身分證,成功通過面試,通過了資歷檢查,並提供了真實的工作經驗。
  • 在美國和其他制裁北韓的國家,僱用北韓工人是違法的。這也帶來了安全風險,CoinDesk 發現多家公司僱用北韓IT 工人後遭到駭客攻擊。
  • 著名區塊鏈開發者Zaki Manian表示:「每個人都在努力篩選掉這些人。」他表示,他在2021 年無意中僱用了兩名北韓IT 工作者來幫助開發Cosmos Hub 區塊鏈。

2023 年,加密貨幣公司Truflation 仍處於起步階段,當時創辦人Stefan Rust 在不知情的情況下僱用了第一位北韓員工。

「我們一直在尋找優秀的開發人員,」Rust 在瑞士家中說道。出乎意料的是,“這個開發人員遇到了我們。”

「Ryuhei」透過Telegram 發送了履歷,聲稱自己在日本工作。他被錄用後不久,奇怪的矛盾就開始浮現。

有一次,「我和那個人通話,他說他遇到了地震,」拉斯特回憶道。但日本最近並沒有發生地震。然後,這名員工開始漏接電話,當他出現時,「不是他,」拉斯特說。 「是其他人。」不管是誰,都去掉了日語口音。

Rust很快就得知「Ryuhei」和其他四名員工(佔其團隊人數的三分之一以上)都是朝鮮人。 Rust無意中落入了北韓的一項有組織的陰謀,該計劃旨在為其員工提供遠端海外工作,並將收入匯回平壤。

美國當局最近加強了警告,稱北韓的IT 工作者正在滲透科技公司,包括加密貨幣雇主,並利用所得資金資助這個國家的核武計畫。根據2024 年聯合國的報告,這些IT 工作者每年為北韓賺取高達6 億美元的收入。

僱用和支付工人的工資——即使是無意的——也違反了聯合國的製裁,在美國和許多其他國家都是非法的。這也帶來了嚴重的安全風險,因為眾所周知,北韓駭客會透過秘密僱用員工來攻擊公司。

CoinDesk 的一項調查揭示了北韓求職者針對加密貨幣公司的積極性和頻率——成功通過面試、通過背景調查,甚至在開源軟體儲存庫GitHub 上展示了令人印象深刻的程式碼貢獻歷史。

CoinDesk 採訪了十多家加密貨幣公司,這些公司表示,他們無意中僱用了來自北韓的IT 工作者。

這些對創始人、區塊鏈研究人員和行業專家的採訪表明,北韓IT 工作者在加密行業中比之前想像的要普遍得多。本文訪談的幾乎每位招募經理都承認,他們曾經面試過疑似北韓開發者,在不知情的情況下僱用了他們,或是認識有人這樣做過。

著名區塊鏈開發者Zaki Manian表示:「在整個加密產業中,來自北韓的履歷、求職者或貢獻者的比例可能超過50%。」​​他表示,自己在2021 年無意中僱用了兩名北韓IT員工來幫助開發Cosmos Hub 區塊鏈。 “每個人都在努力篩選掉這些人。”

CoinDesk 發現的不知情的北韓雇主中包括幾個知名的區塊鏈項目,例如Cosmos Hub、Injective、ZeroLend、Fantom、Sushi 和Yearn Finance。 「這一切都是在幕後發生的,」Manian 說。

此次調查是這些公司首次公開承認無意中僱用了北韓IT 員工。

在許多情況下,北韓工人的工作方式與普通員工一樣;因此,從某種意義上說,雇主基本上得到了他們所支付的報酬的交付物。但CoinDesk 發現證據表明,這些員工隨後將工資匯入與北韓政府相關的區塊鏈地址。

CoinDesk 的調查也揭露了幾起僱用北韓IT 員工的加密項目後來遭到駭客攻擊的案例。在其中一些案例中,能夠將竊盜直接與公司薪資單上的疑似北韓IT 員工聯繫起來。 Sushi 就是這種情況,Sushi 是一個著名的DeFi協議,在2021 年的一次駭客事件中損失了300 萬美元。

美國財政部外國資產管制辦公室(OFAC) 和司法部於2022 年開始公佈北韓試圖滲透美國加密貨幣產業。 CoinDesk 發現的證據表明,北韓IT 工作者早在那之前就開始以虛假身分在加密貨幣公司工作,至少早在2018 年。

「我認為,很多人誤以為這是突然發生的事情,」Manian說。 「這些人的GitHub 帳戶和其他東西可以追溯到2016 年、2017 年、2018 年。」(GitHub 歸微軟所有,是許多軟體組織用來託管程式碼並允許開發人員協作的線上平台。)

CoinDesk 使用各種方法將北韓IT 工作者與公司聯繫起來,包括區塊鏈支付記錄、公開的GitHub 程式碼貢獻、美國政府官員的電子郵件以及直接對目標公司的採訪。 CoinDesk 調查的北韓最大的支付網路之一是由區塊鏈調查員ZachXBT 發現的,他在8 月發布了一份疑似北韓開發者名單。

此前,雇主們因為擔心不必要的曝光或法律後果而保持沉默。現在,面對CoinDesk 挖掘出的大量付款記錄和其他證據,他們中的許多人決定站出來,首次分享自己的故事,揭露北韓滲透加密貨幣行業的巨大成功和規模。

偽造文件

在僱用了這位表面上是日本員工的Ryuhei 之後,Rust 的Truflation 收到了大量新申請。短短幾個月內,Rust 又不知不覺地僱用了四名北韓開發人員,他們自稱分別駐紮在蒙特婁、溫哥華、休士頓和新加坡。

加密產業特別容易受到北韓IT 工作者的破壞。加密產業的勞動力分佈非常全球化,與其他公司相比,加密公司往往更願意僱用完全遠端(甚至是匿名)的開發人員。

CoinDesk 查看了加密貨幣公司從各種來源收到的北韓工作申請,包括Telegram 和Discord 等訊息平台、Crypto Jobs List 等加密貨幣專用求職板以及Indeed 等招聘網站。

「他們最有可能被雇用的地方是那些真正新鮮的,新崛起的團隊,他們願意從Discord中僱傭,」加密錢包應用MetaMask 的產品經理Taylor Monahan表示,他經常發布與朝鮮加密活動相關的安全研究。 “他們沒有製定流程來僱用經過背景調查的人。他們很多時候都願意用加密貨幣支付。”

Rust表示,他對Truflation 所有新員工都進行了背景調查。 “他們給我們寄了護照和身份證,給了我們GitHub 代碼庫,進行了測試,然後基​​本上我們就聘用了他們。”

萬字調查:北韓如何滲透加密貨幣產業

一名申請人向加密貨幣公司Truflation 提交了德州駕照作為身分證明,目前該申請人被懷疑是北韓公民。 CoinDesk 隱藏了部分細節,因為北韓IT 工作者曾經使用偷來的身分證件。 (圖片由Stefan Rust 提供)

在外行人看來,大多數偽造的文件與真正的護照和簽證難以區分,但專家告訴CoinDesk,專業的背景調查服務很可能會發現這些偽造的文件。

萬字調查:北韓如何滲透加密貨幣產業 ZachXBT 確認的疑似北韓IT 員工之一「Naoki Murano」向公司提供了一本看似真實的日本護照。 (圖片由Taylor Monahan 提供)

儘管新創公司不太可能使用專業背景調查人員,但「我們確實在大公司看到朝鮮IT 人員,要么是真正的員工,要么至少是承包商,」Monahan說。

隱藏在眾目睽睽之下

在許多情況下,CoinDesk 發現北韓公司的IT 工作者使用公開的區塊鏈數據。

2021 年,區塊鏈開發人員Manian 的公司Iqlusion 需要一些幫助。他尋找自由程式設計師,他們可能會幫助完成一個升級流行的Cosmos Hub 區塊鏈的專案。他找到了兩位新員工;他們表現出色。

Manian 從未親自見過自由工作者「Jun Kai」和「Sarawut Sanit」。他們之前曾合作過一個由密切關聯的區塊鏈網路THORChain 資助的開源軟體項目,他們告訴Manian 他們在新加坡。

「一年來,我幾乎每天都和他們交談,」Manian 說。 “他們完成了工作。坦率地說,我非常滿意。”

在這些自由工作者完成工作兩年後,Manian 收到了一封FBI 特工的電子郵件,該特工正在調查似乎來自Iqlusion 的代幣轉賬,這些轉賬被轉移到疑似北韓加密錢包地址。涉案轉帳原來是Iqlusion 向Kai 和Sanit 支付的款項。

萬字調查:北韓如何滲透加密貨幣產業

左圖:一名FBI 特工(姓名已刪除)要求Zaki Manian 提供有關其公司Iqlusion 的兩筆區塊鏈付款的資訊。右圖:Manian 告知特工,這些交易是在Iqlusion 與多名承包商之間進行的。

FBI 從未向Manian 證實他簽約的開發人員是北韓特工,但CoinDesk 對Kai 和Sanit 的區塊鏈地址的審查顯示,在2021 年和2022 年期間,他們將收入匯給了OFAC 制裁名單上的兩個人: Kim Sang ManSim Hyon Sop

據OFAC 稱,Sim 是北韓光鮮銀行的代表,該銀行對IT 工作者資金進行洗錢,以幫助「資助北韓的大規模殺傷性武器和彈道飛彈計劃」。 Sarawut 似乎已將其所有收入匯入Sim 和其他與Sim 關聯的區塊鏈錢包。

萬字調查:北韓如何滲透加密貨幣產業

2022 年4 月至12 月的區塊鏈記錄顯示,「Sarawut Sanit」將他所有的工資都發送到與OFAC 批准的北韓特工Sim Hyon Sop 關聯的錢包中。 (CoinDesk 追蹤的以太幣錢包選擇。資產價格由Arkham 估算。)

同時,Kai直接向Kim 匯款近800 萬美元。根據2023 年OFAC 諮詢報告,Kim是北韓運營的Chinyong 資訊技術合作公司的代表,該公司“通過其控制的公司及其代表,僱用了在俄羅斯和老撾工作的朝鮮IT 工作者代表團。”

萬字調查:北韓如何滲透加密貨幣產業

2021 年全年,「Jun Kai」直接向與Kim Sang Man有關的OFAC 制裁名單上的區塊鏈位址發送了價值770 萬美元的加密貨幣。 (CoinDesk 追蹤的以太幣錢包選擇。資產價格由Arkham 估算。)

Iqlusion 給Kai 的工資只佔他給Kim 的近800 萬美元中的不到5 萬美元,其餘資金部分來自其他加密貨幣公司。

例如,CoinDesk 發現,開發廣泛使用的Fantom 區塊鏈的Fantom 基金會向「Jun Kai」和另一位與北韓相關的開發者支付了款項。

Fantom 基金會的發言人告訴CoinDesk:“Fantom 確實確認有兩名外部人員在2021 年與北韓有牽連。然而,涉事開發人員參與了一個從未完成且從未部署過的外部項目。”

據Fantom 基金會稱,「涉事的兩名員工已被解僱,他們從未貢獻過任何惡意程式碼,也從未訪問過Fantom 的程式碼庫,Fantom 的用戶也沒有受到影響。」發言人表示,一名北韓員工曾試圖攻擊Fantom 的伺服器,但由於缺乏必要的存取權限而失敗。

根據OpenSanctions 資料庫,Kim的與北韓有關的區塊鏈地址直到2023 年5 月才被政府公佈,這距離Iqlusion 和Fantom 付款已經過去了兩年多。

給予迴旋餘地

美國和聯合國分別於2016年和2017年對僱用北韓IT工人實施了製裁。

無論你是否知情,向在美國的北韓工人支付工資都是違法的——這個法律概念被稱為「嚴格責任」。

公司所在地也並不重要:對於在對北韓實施制裁的國家開展業務的任何公司來說,僱用北韓工人都會帶來法律風險。

然而,美國和其他聯合國成員國尚未起訴僱用北韓IT 工人的加密公司。

美國財政部對總部位於美國的Iqlusion 展開了調查,但Manian表示調查結束時並未對其採取任何處罰措施。

美國當局對於對這些公司提起指控一直很寬容——某種程度上承認,這些公司最好的情況下是遭遇了一種異常複雜和老練的身份欺詐,或者在最壞的情況下,遭遇了一種最令人羞辱的長期騙局。

除了法律風險之外,MetaMask 的Monahan 解釋道,向北韓IT 工作者支付工資也是「不好的,因為你支付工資的人基本上是被政權剝削的人」。

根據聯合國安理會長達615 頁的報告,北韓IT 工作者只能保留薪資的一小部分。報告指出,「低收入者保留10%,而高收入者可以保留30%」。

雖然這些工資相對於北韓的平均水平來說可能仍然很高,但「我不在乎他們住在哪裡,」 Monahan說。 「如果我付錢給某人,而他們卻被迫將全部薪水寄給他們的老闆,那會讓我感到非常不舒服。如果他們的老闆是北韓政權,那我會更不舒服。”

CoinDesk 在通報過程中聯繫了多名疑似北韓IT 工作人員,但尚未得到回應。

未來

CoinDesk 透過分析OFAC 制裁實體的區塊鏈支付記錄,確定了20 多家可能僱用北韓IT 員工的公司。 12 家提交了相關記錄的公司向CoinDesk 證實,他們之前曾在薪資單上發現疑似北韓IT 員工。

有些人因擔心法律後果而拒絕進一步評論,但其他人同意分享他們的故事,希望其他人可以從他們的經歷中學習。

在許多情況下,北韓僱員在被雇用後就更容易被識別。

專注於去中心化金融的計畫Injective 的執行長Eric Chen 表示,他在2020 年與一名自由開發人員簽約,但很快就因表現不佳而解雇了他。

「他沒幹多久,」 Chen 說。 「他寫的程式碼很差勁,效果也不好。」直到去年,當美國一家「政府機構」聯繫Injective 時,Chen才知道這名員工與北韓有聯繫。

幾家公司告訴CoinDesk,他們在得知一名員工與北韓有任何聯繫之前就解雇了該員工— — 理由是工作品質不達標。

“幾個月的工資單”

不過,北韓IT 工作者與典型的開發人員類似,其能力也各有不同。

Manian說,一方面,你會有一些員工「來到公司,通過面試程序,就賺了幾個月的工資。」「還有一方面,當你面試這些人時,你會發現他們的實際技術能力真的很強。

Rust回憶說,在Truflation 時曾遇到過“一位非常優秀的開發人員”,他自稱來自溫哥華,但後來發現他來自北韓。 “他真的是一個年輕人,”Rust說。 “感覺他剛從大學畢業。有點青澀,非常熱衷,對有機會工作感到非常興奮。”

另一個例子是,DeFi新創公司Cluster 在ZachXBT 提供證據表明兩名開發人員與北韓有聯繫後,於8 月解雇了兩名開發人員。

Cluster 的匿名創始人z3n 告訴CoinDesk:「這些人知道的東西真的太多了,真是令人難以置信。」回想起來,有一些「明顯的危險信號」。例如,“他們每兩週就會更改付款地址,每個月左右就會更改Discord 名稱或Telegram 名稱。”

網路攝影機關閉

在與CoinDesk 的對話中,許多雇主表示,當他們得知自己的員工可能是北韓人時,他們注意到了一些異常情況,這更有意義了。

有時這些暗示很微妙,例如員工的工作時間與其應有的工作地點不符。

Truflation 等其他雇主注意到,員工可能由多人假扮成一個人,員工會透過關閉網路攝影機來隱藏這種情況。 (他們幾乎都是男性)。

一家公司僱用了一名員工,她早上參加會議,但似乎會忘記當天晚些時候討論的所有事情,而她之前明明已經和很多人交談過,這一怪癖就更有意義了。

當Rust 向一位有追蹤犯罪支付網絡經驗的投資者表達他對「日本」員工Ryuhei 的擔憂時,這位投資者很快就確定了Truflation 工資單上的另外四名疑似朝鮮IT 工作人員。

「我們立即切斷了聯繫,」Rust 表示,並補充說他的團隊對其程式碼進行了安全審核,增強了背景檢查流程並更改了某些政策。其中一項新政策是要求遠端工作人員打開攝影機。

價值300萬美元的駭客攻擊

CoinDesk 諮詢的許多雇主都錯誤地認為北韓IT 工作者是獨立於北韓的駭客部門運作,但區塊鏈數據和與專家的對話表明,北韓的駭客活動和IT 工作者經常聯繫在一起。

2021 年9 月,Sushi 建立的發行加密代幣的平台MISO 在一次被盜事件中損失了300 萬美元。 CoinDesk 發現證據表明,這次攻擊與Sushi 僱用兩名開發人員有關,這些開發人員的區塊鏈支付記錄與北韓有關。

駭客攻擊發生時,Sushi 是新興DeFi領域最受關注的平台之一。 SushiSwap 已存入超過50 億美元,該平台主要充當“去中心化交易所”,供人們在沒有中介的情況下交易加密貨幣。

當時Sushi 的技術長Joseph Delong 將MISO 竊案追溯到兩名參與開發該平台的自由開發人員:他們使用了Anthony Keller 和Sava Grujic 的名字。 Delong 表示,這些開發人員(他現在懷疑是同一個人或同一個組織)向MISO 平台注入了惡意程式碼,將資金轉移到他們控制的錢包中。

當Keller 和Grujic受僱於管理Sushi 協議的去中心化自治組織Sushi DAO 時,他們提供了對於入門級開發人員來說足夠典型甚至令人印象深刻的憑證。

Keller 在公眾面前使用化名“eratos1122”,但當他申請MISO 工作時,他使用了看似是他真名的名字“Anthony Keller ”。在Delong與CoinDesk 分享的履歷中,凱勒聲稱自己居住在喬治亞州蓋恩斯維爾,畢業於鳳凰城大學,獲得電腦工程學士學位。 (該大學沒有回應是否有同名畢業生的請求。)

萬字調查:北韓如何滲透加密貨幣產業

Anthony Keller 」自稱居住在喬治亞州蓋恩斯維爾,他的簡歷中列出了他在流行的去中心化金融應用程式Yearn 的工作經歷。

Keller的履歷中確實提到了先前的工作。其中最令人印象深刻的是Yearn Finance,這是一個非常受歡迎的加密投資協議,它為用戶提供了一種透過一系列投資策略賺取利息的方式。 Yearn 的核心開發人員Banteg證實,Keller曾參與開發Coordinape,這是一個由Yearn 開發的應用程序,旨在幫助團隊協作和促進支付。 (Banteg,說,Keller的工作僅限於Coordinape,他無法存取Yearn 的核心程式碼庫。)

據Delong稱,Keller將Grujic介紹給MISO,兩人自稱是「朋友」。與Keller一樣,Grujic提供的履歷上寫的是他的真實姓名,而不是他的網路筆名「AristoK3」。他自稱來自塞爾維亞,畢業於貝爾格萊德大學,擁有電腦科學學士學位。他的GitHub 帳戶很活躍,履歷表上列出了他在幾個較小的加密專案和遊戲新創公司的工作經驗。

萬字調查:北韓如何滲透加密貨幣產業

在他的簡歷中,「Sava Grujic」列舉了5 年的程式設計經驗,並聲稱他常駐在塞爾維亞的貝爾格萊德。

Rachel Chu 是Sushi 的前核心開發人員,在竊盜事件發生前曾與Keller 和Grujic 密切合作,她表示在駭客攻擊發生之前她已經對這兩人產生了「懷疑」。

儘管兩人相距甚遠,但Grujic和Keller “口音相同”且“發短信的方式相同”,Chu說。 「每次我們通話時,他們都會有一些背景噪音,就像在工廠裡一樣,」她補充道。 Chu回憶說,她見過Keller的臉,但從未見過Grujic的臉。據Chu說,Keller的相機「放大」了,所以她根本看不清楚他身後是什麼。

Grujic和Keller最終在同一時間停止了對MISO 的貢獻。 「我們認為他倆是同一個人,」Delong說,「所以我們停止向他們付錢。」當時正值COVID-19 疫情最嚴重時期,遠程加密貨幣開發人員假扮多人從工資單中賺取額外收入的情況並不罕見。

在Grujic和Keller於2021 年夏天被解僱後,Sushi 團隊忽視了撤銷他們對MISO 程式碼庫的存取權。

根據CoinDesk 獲得的一張截圖,9 月2 日,Grujic 以他的「Aristok3」網名向MISO 平台提交了惡意程式碼,將300 萬美元轉移到一個新的加密貨幣錢包。

萬字調查:北韓如何滲透加密貨幣產業 「Sava Grujic」 使用化名AristoK3 向Sushi 的MISO 提交了受污染的程式碼。 (截圖由Joseph Delong 提供)

CoinDesk 對區塊鏈支付記錄的分析表明,Grujic、Keller和北韓之間可能存在關聯。 2021 年3 月,Keller在一則現已刪除的推文中發布了一個區塊鏈位址。 CoinDesk 發現,該地址、 Grujic 的駭客地址和Sushi 存檔的Keller地址之間存在多筆付款。據Delong 稱,Sushi 的內部調查最終得出結論,該地址屬於Keller。

萬字調查:北韓如何滲透加密貨幣產業

2021 年至2022 年期間,與Keller和Grujic綁定的區塊鏈地址將大部分資金發送到與北韓關聯的錢包。 (CoinDesk 追蹤的以太幣錢包選擇。資產價格由Arkham 估算。)

CoinDesk 發現,該地址將大部分資金發送給了「Jun Kai」(Iqlusion 開發者,他向OFAC 制裁的Kim Sang Man 匯款)和另一個看似充當朝鮮代理的錢包(因為它也向Kim 支付了費用)。

Sushi 的內部調查發現, Keller和Grujic經常使用俄羅斯的IP 位址進行操作,這進一步證實了他們是北韓人的說法。 OFAC 稱,北韓的IT 工作人員有時就駐紮在俄羅斯。 (Keller簡歷上的美國電話號碼已停用,他的“eratos1122”Github 和Twitter 帳戶也已被刪除。)

此外,CoinDesk 還發現證據表明,Sushi在僱用Keller 和Grujic 的同時還僱用了另一名疑似北韓IT 承包商。 ZachXBT這名開發人員為“Gary Lee”,他使用化名LightFury 進行編碼,並將收入匯給“Jun Kai”和另一個與Kim 關聯的代理地址。

萬字調查:北韓如何滲透加密貨幣產業

從2021 年到2022 年,Sushi 還僱用了另一名明顯是北韓承包商的人,名叫「Gary Lee」。這名工人將自己2021 年至2022 年的收入匯入與北韓相關的區塊鏈地址,包括Iqlusion 的「Jun Kai」所使用的錢包。 (CoinDesk 追蹤的以太幣錢包選擇。資產價格由Arkham 估算。)

在Sushi 公開將攻擊歸咎於Keller 的假名“eratos1122”並威脅要讓FBI 介入後,Grujic 歸還了被盜資金。雖然北韓IT 工作者會關心保護假身分似乎有悖常理,但北韓IT 工作者似乎會重複使用某些名字,並透過為許多計畫做出貢獻來建立自己的聲譽,或許是為了贏得未來雇主的信任。

有人可能認為,從長遠來看,保護Anthony Keller 這個別名更有利可圖:2023 年,即Sushi事件發生兩年後,一個名叫“Anthony Keller”的人向Stefan Rust 的公司Truflation 提出了申請。

Coindesk嘗試聯繫“Anthony Keller”和“Sava Grujic”尋求評論,但沒有成功。

北韓式搶劫

據聯合國稱,過去七年來,北韓透過駭客攻擊竊取了超過30 億美元的加密貨幣。區塊鏈分析公司Chainalysis 在2023 年上半年追蹤到的駭客攻擊中,有15 起與北韓有關,“其中約有一半涉及IT 工作者相關的盜竊”,該公司發言人Madeleine Kennedy 表示。

北韓的網路攻擊不像好萊塢版的駭客攻擊,穿著連帽衫的程式設計師利用複雜的電腦程式碼和黑綠色的電腦終端入侵大型主機。

朝鮮式的攻擊顯然技術含量較低。它們通常涉及某種形式的社會工程學,攻擊者贏得持有系統金鑰的受害者的信任,然後透過惡意電子郵件連結等簡單方式直接提取這些金鑰。

Monahan說:“到目前為止,我們從未見過北韓實施真正的攻擊。他們總是先進行社會工程攻擊,然後入侵設備,最後竊取私鑰。”

IT 工作者很適合為北韓的搶劫活動做出貢獻,他們要么獲取可用於破壞潛在目標的個人信息,要么直接訪問充斥著數位現金的軟體系統。

一系列巧合

9 月25 日,在本文即將發表之際,CoinDesk 安排與Truflation 的Rust 進行視訊通話。計劃是核實他之前分享的一些細節。

慌亂的Rust 遲到了15 分鐘才加入通話。他剛剛被駭客入侵了。

CoinDesk 聯繫了20 多個似乎被騙僱用北韓IT 員工的專案。僅在採訪的最後兩週,其中兩個項目就遭到駭客攻擊:Truflation 和一款名為Delta Prime 的加密貨幣借貸應用程式。

目前判斷這兩起駭客事件是否與北韓IT 員工的無意聘用有直接聯繫還為時過早。

9 月16 日,Delta Prime 首次遭到入侵。 CoinDesk 先前發現了Delta Prime 與Naoki Murano之間的付款代碼貢獻,Naoki Murano是匿名區塊鏈偵探ZachXBT宣傳的與北韓有關的開發人員之一。

該項目損失了700 多萬美元,官方解釋是因為「私鑰洩露」。 Delta Prime 沒有回應多次置評請求。

不到兩週後,Truflation 駭客攻擊事件也隨之而來。在與CoinDesk 通話前大約兩小時,Rust 注意到他的加密錢包中資金流出。他剛從新加坡出差回來,正在努力弄清楚自己做錯了什麼。 「我就是不知道事情是怎麼發生的,」他說。 “我把我的筆記本都鎖在酒店牆上的保險箱裡。我一直帶著手機。”

就在Rust 發表演說時,數百萬美元正從他的個人區塊鏈錢包中流出。 “我的意思是,這真的很糟糕。這些錢是我孩子的學費和養老金。”

Truflation 和Rust最終損失了約500 萬美元。官方認定損失的原因是私鑰被盜。