萬字調查：朝鮮如何滲透加密貨幣行業

WEEX 唯客博客， 原文作者：Sam Kessler，Coindesk 原文編譯：Joy，PANews   文章要點： CoinDesk 發現有十多家加密貨幣公司在不知情的情況下雇傭了來自朝鮮的 IT 工作者，其中包括 Injective、ZeroLend、Fantom、Sushi、Yearn Finance 和 Cosmos Hub 等知名區塊鏈項目。 這些員工使用假身份證，成功通過面試，通過了資歷檢查，並提供了真實的工作經歷。 在美國和其他制裁朝鮮的國家，雇傭朝鮮工人是違法的。這也帶來了安全風險，CoinDesk 發現多家公司雇傭朝鮮 IT 工人後遭到黑客攻擊。 著名區塊鏈開發者Zaki Manian表示：「每個人都在努力篩選掉這些人。」他表示，自己在 2021 年無意中雇傭了兩名朝鮮 IT 工作者來幫助開發 Cosmos Hub 區塊鏈。 2023 年，加密貨幣公司 Truflation 仍處於起步階段，當時創始人 Stefan Rust 在不知情的情況下僱用了第一位朝鮮員工。 「我們一直在尋找優秀的開發人員，」Rust 在瑞士家中說道。出乎意料的是，「這個開發人員遇到了我們。」 「Ryuhei」通過 Telegram 發送了簡歷，聲稱自己在日本工作。他被錄用后不久，奇怪的矛盾就開始浮出水面。 有一次，「我和那個人通話，他說他遇到了地震，」拉斯特回憶道。但日本最近並沒有發生地震。然後，這名員工開始漏接電話，當他出現時，「不是他，」拉斯特說。「是其他人。」不管是誰，都去掉了日語口音。 Rust很快得知「Ryuhei」和其他四名員工（占其團隊人數的三分之一以上）都是朝鮮人。Rust無意中落入了朝鮮的一項有組織的陰謀，該計劃旨在為其員工提供遠程海外工作，並將收入匯回平壤。 美國當局最近加強了警告，稱朝鮮的IT 工作者正在滲透科技公司，包括加密貨幣僱主，並利用所得資金資助這個國家的核武器計劃。根據2024 年聯合國的一份報告，這些 IT 工作者每年為朝鮮賺取高達 6 億美元的收入。 雇傭和支付工人的工資——即使是無意的——也違反了聯合國的制裁，在美國和許多其他國家都是非法的。這也帶來了嚴重的安全風險，因為眾所周知，朝鮮黑客會通過秘密雇傭員工來攻擊公司。 CoinDesk 的一項調查揭示了朝鮮求職者針對加密貨幣公司的積極性和頻率——成功通過面試、通過背景調查，甚至在開源軟體存儲庫 GitHub 上展示了令人印象深刻的代碼貢獻歷史。 CoinDesk 採訪了十多家加密貨幣公司，這些公司表示，他們無意中雇傭了來自朝鮮的 IT 工作者。 這些對創始人、區塊鏈研究人員和行業專家的採訪表明，朝鮮 IT 工作者在加密行業中比之前想象的要普遍得多。本文採訪的幾乎每位招聘經理都承認，他們曾面試過疑似朝鮮開發者，在不知情的情況下雇傭了他們，或者認識有人這樣做過。 著名區塊鏈開發者Zaki Manian表示：「在整個加密行業中，來自朝鮮的簡歷、求職者或貢獻者的比例可能超過 50%。」他表示，自己在 2021 年無意中雇傭了兩名朝鮮 IT 員工來幫助開發 Cosmos Hub 區塊鏈。「每個人都在努力篩選掉這些人。」 CoinDesk 發現的不知情的朝鮮僱主中包括幾個知名的區塊鏈項目，例如 Cosmos Hub、Injective、ZeroLend、Fantom、Sushi 和 Yearn Finance。「這一切都是在幕後發生的，」Manian 說。 此次調查是這些公司首次公開承認無意中雇傭了朝鮮 IT 員工。 在許多情況下，朝鮮工人的工作方式與普通員工一樣；因此，從某種意義上說，僱主基本上得到了他們所支付的報酬的交付物。但 CoinDesk 發現證據表明，這些員工隨後將工資匯入與朝鮮政府相關的區塊鏈地址。 CoinDesk 的調查還揭露了幾起僱用朝鮮 IT 員工的加密項目後來遭到黑客攻擊的案例。在其中一些案例中，能夠將盜竊直接與公司工資單上的疑似朝鮮 IT 員工聯繫起來。Sushi 就是這種情況，Sushi 是一個著名的DeFi協議，在 2021 年的一次黑客事件中損失了 300 萬美元。 美國財政部外國資產控制辦公室 (OFAC) 和司法部於 2022 年開始公布朝鮮試圖滲透美國加密貨幣行業。CoinDesk 發現的證據表明，朝鮮 IT 工作者早在那之前就開始以虛假身份在加密貨幣公司工作，至少早在 2018 年。 「我認為，很多人都誤以為這是突然發生的事情，」Manian說。「這些人的 GitHub 賬戶和其他東西可以追溯到 2016 年、2017 年、2018 年。」（GitHub 歸微軟所有，是許多軟體組織用來託管代碼並允許開發人員協作的在線平台。） CoinDesk 使用各種方法將朝鮮 IT 工作者與公司聯繫起來，包括區塊鏈支付記錄、公開的 GitHub 代碼貢獻、美國政府官員的電子郵件以及直接對目標公司的採訪。CoinDesk 調查的朝鮮最大的支付網路之一是由區塊鏈調查員 ZachXBT 發現的，他在 8 月發布了一份疑似朝鮮開發者名單。 此前，僱主們因為擔心不必要的曝光或法律後果而保持沉默。現在，面對 CoinDesk 挖掘出的大量付款記錄和其他證據，他們中的許多人決定站出來，首次分享自己的故事，揭露朝鮮滲透加密貨幣行業的巨大成功和規模。 偽造文件 在雇傭了這位表面上是日本員工的 Ryuhei 之後，Rust 的 Truflation 收到了大量新申請。短短几個月內，Rust 又不知不覺地雇傭了四名朝鮮開發人員，他們自稱分別駐紮在蒙特利爾、溫哥華、休斯頓和新加坡。 加密行業特別容易受到朝鮮 IT 工作者的破壞。加密行業的勞動力分佈非常全球化，與其他公司相比，加密公司往往更願意雇傭完全遠程（甚至是匿名）的開發人員。 CoinDesk 查看了加密貨幣公司從各種來源收到的朝鮮工作申請，包括 Telegram 和 Discord 等消息平台、Crypto Jobs List 等加密貨幣專用求職板以及 Indeed 等招聘網站。 「他們最有可能被雇傭的地方是那些真正新鮮的，新崛起的團隊，他們願意從Discord中雇傭，」加密錢包應用 MetaMask 的產品經理Taylor Monahan表示，他經常發布與朝鮮加密活動相關的安全研究。「他們沒有制定流程來雇傭經過背景調查的人。他們很多時候都願意用加密貨幣支付。」 Rust表示，他對 Truflation 所有新員工都進行了背景調查。「他們給我們寄來了護照和身份證，給了我們 GitHub 代碼庫，進行了測試，然後基本上我們就聘用了他們。」 一名申請人向加密貨幣公司 Truflation 提交了德克薩斯州駕照作為身份證明，目前該申請人被懷疑是朝鮮公民。CoinDesk 隱去了部分細節，因為朝鮮 IT 工作者曾使用偷來的身份證件。（圖片由 Stefan Rust 提供） 在外行人看來，大多數偽造的文件與真正的護照和簽證難以區分，但專家告訴 CoinDesk，專業的背景調查服務很可能會發現這些偽造的文件。 ZachXBT 確認的疑似朝鮮 IT 員工之一「Naoki Murano」向公司提供了一本看似真實的日本護照。（圖片由 Taylor Monahan 提供） 儘管初創公司不太可能使用專業背景調查人員，但「我們確實在大公司看到朝鮮 IT 人員，要麼是真正的員工，要麼至少是承包商，」Monahan說。 隱藏在眾目睽睽之下 在許多情況下，CoinDesk 發現朝鮮公司的 IT 工作者使用公開的區塊鏈數據。 2021 年，區塊鏈開發人員 Manian 的公司 Iqlusion 需要一些幫助。他尋找自由程序員，他們可能會幫助完成一個升級流行的 Cosmos Hub 區塊鏈的項目。他找到了兩名新員工；他們表現出色。 Manian 從未親自見過自由職業者「Jun Kai」和「Sarawut Sanit」。他們之前曾合作過一個由密切關聯的區塊鏈網路 THORChain 資助的開源軟體項目，他們告訴 Manian 他們在新加坡。 「一年來，我幾乎每天都和他們交談，」Manian 說。「他們完成了工作。坦率地說，我非常滿意。」 在這些自由職業者完成工作兩年後，Manian 收到了一封 FBI 特工的電子郵件，該特工正在調查似乎來自 Iqlusion 的代幣轉賬，這些轉賬被轉至疑似朝鮮加密錢包地址。涉案轉賬原來是 Iqlusion 向 Kai 和 Sanit 支付的款項。 左圖：一名 FBI 特工（姓名已刪除）要求 Zaki Manian 提供有關其公司 Iqlusion 的兩筆區塊鏈付款的信息。右圖：Manian 告知特工，這些交易是在 Iqlusion 與多名承包商之間進行的。 FBI 從未向 Manian 證實他簽約的開發人員是朝鮮特工，但 CoinDesk 對 Kai 和 Sanit 的區塊鏈地址的審查顯示，在 2021 年和 2022 年期間，他們將收入匯給了 OFAC 制裁名單上的兩個人：Kim Sang Man和Sim Hyon Sop。 據 OFAC 稱，Sim 是朝鮮​​光鮮銀行的代表，該銀行對 IT 工作者資金進行洗錢，以幫助「資助朝鮮的大規模殺傷性武器和彈道導彈計劃」。Sarawut 似乎已將其所有收入匯入Sim 和其他與 Sim 關聯的區塊鏈錢包。 2022 年 4 月至 12 月的區塊鏈記錄顯示，「Sarawut Sanit」將他所有的工資都發送到與 OFAC 批准的朝鮮特工 Sim Hyon Sop 關聯的錢包中。（CoinDesk 跟蹤的以太坊錢包選擇。資產價格由 Arkham 估算。） 與此同時，Kai直接向Kim匯款近 800 萬美元。根據2023 年 OFAC 諮詢報告，Kim是朝鮮運營的 Chinyong 信息技術合作公司的代表，該公司「通過其控制的公司及其代表，雇傭了在俄羅斯和寮國工作的朝鮮 IT 工作者代表團。」 2021 年全年，「Jun Kai」直接向與Kim Sang Man有關的 OFAC 制裁名單上的區塊鏈地址發送了價值 770 萬美元的加密貨幣。（CoinDesk 跟蹤的以太坊錢包選擇。資產價格由 Arkham 估算。） Iqlusion 給 Kai 的工資只佔他給 Kim 的近 800 萬美元中的不到 5 萬美元，其餘資金部分來自其他加密貨幣公司。 例如，CoinDesk 發現，開發廣泛使用的 Fantom 區塊鏈的 Fantom 基金會向「Jun Kai」和另一位與朝鮮有關的開發者支付了款項。 Fantom 基金會的一位發言人告訴 CoinDesk：「Fantom 確實確認有兩名外部人員在 2021 年與朝鮮有牽連。然而，涉事開發人員參與了一個從未完成且從未部署過的外部項目。」 據 Fantom 基金會稱，「涉事的兩名員工已被解僱，他們從未貢獻過任何惡意代碼，也從未訪問過 Fantom 的代碼庫，Fantom 的用戶也沒有受到影響。」發言人表示，一名朝鮮員工曾試圖攻擊 Fantom 的伺服器，但由於缺乏必要的訪問許可權而失敗。 根據OpenSanctions 資料庫，Kim的與朝鮮有關的區塊鏈地址直到 2023 年 5 月才被政府公布，這距離 Iqlusion 和 Fantom 付款已經過去了兩年多。 給予迴旋餘地 美國和聯合國分別於2016年和2017年對僱用朝鮮IT工人實施了制裁。 無論你是否知情，向在美國的朝鮮工人支付工資都是違法的——這一法律概念被稱為「嚴格責任」。 公司所在地也並不重要：對於在對朝鮮實施制裁的國家開展業務的任何公司來說，僱用朝鮮工人都會帶來法律風險。 然而，美國和其他聯合國成員國尚未起訴僱用朝鮮 IT 工人的加密公司。 美國財政部對總部位於美國的 Iqlusion 展開了調查，但Manian表示調查結束時並未對其採取任何處罰措施。 美國當局對於對這些公司提起指控一直很寬容——某種程度上承認，這些公司最好的情況下是遭遇了一種異常複雜和老練的身份欺詐，或者在最壞的情況下，遭遇了一種最令人羞辱的長期騙局。 除了法律風險之外，MetaMask 的 Monahan 解釋道，向朝鮮 IT 工作者支付工資也是「不好的，因為你支付工資的人基本上是被政權剝削的人」。 根據聯合國安理會長達 615 頁的報告，朝鮮 IT 工作者只能保留工資的一小部分。報告指出，「低收入者保留 10%，而高收入者可以保留 30%」。 雖然這些工資相對於朝鮮的平均水平來說可能仍然很高，但「我不在乎他們住在哪裡，」 Monahan說。「如果我付錢給某人，而他們卻被迫將全部薪水寄給他們的老闆，那會讓我感到非常不舒服。如果他們的老闆是朝鮮政權，那我會更不舒服。」 CoinDesk 在報道過程中聯繫了多名疑似朝鮮 IT 工作人員，但尚未得到回復。 未來 CoinDesk 通過分析 OFAC 制裁實體的區塊鏈支付記錄，確定了 20 多家可能僱用朝鮮 IT 員工的公司。12 家提交了相關記錄的公司向 CoinDesk 證實，他們之前曾在工資單上發現疑似朝鮮 IT 員工。 一些人因擔心法律後果而拒絕進一步評論，但其他人同意分享他們的故事，希望其他人可以從他們的經歷中吸取教訓。 在許多情況下，朝鮮僱員在被僱用后就更容易被識別。 專註於去中心化金融的項目 Injective 的首席執行官 Eric Chen 表示，他在 2020 年與一名自由開發人員簽約，但很快就因表現不佳而解僱了他。 「他沒幹多久，」 Chen 說。「他寫的代碼很差勁，效果也不好。」直到去年，當美國一家「政府機構」聯繫 Injective 時，Chen才知道這名員工與朝鮮有聯繫。 幾家公司告訴 CoinDesk，他們在得知一名員工與朝鮮有任何聯繫之前就解僱了該員工 — — 理由是工作質量不達標。 「幾個月的工資單」 不過，朝鮮 IT 工作者與典型的開發人員類似，其能力也各有不同。 Manian說，一方面，你會有一些員工「來到公司，通過面試程序，就賺了幾個月的工資。」「還有另一方面，當你面試這些人時，你會發現他們的實際技術能力真的很強。」 Rust回憶說，在 Truflation 時曾遇到過「一位非常優秀的開發人員」，他自稱來自溫哥華，但後來發現他來自朝鮮。「他真的是一個年輕人，」Rust說。「感覺他剛從大學畢業。有點青澀，非常熱衷，對能有機會工作感到非常興奮。」 另一個例子是，DeFi初創公司 Cluster 在 ZachXBT 提供證據表明兩名開發人員與朝鮮有聯繫后，於 8 月解僱了兩名開發人員。 Cluster 的匿名創始人 z3n 告訴 CoinDesk：「這些人知道的東西真的太多了，真是令人難以置信。」回想起來，有一些「明顯的危險信號」。例如，「他們每兩周就會更改付款地址，每個月左右就會更改 Discord 名稱或 Telegram 名稱。」 網路攝像頭關閉 在與 CoinDesk 的對話中，許多僱主表示，當他們得知自己的員工可能是朝鮮人時，他們注意到了一些異常情況，這更有意義了。 有時這些暗示很微妙，比如員工的工作時間與其應有的工作地點不符。 Truflation 等其他僱主注意到，員工可能由多人假扮成一個人，員工會通過關閉網路攝像頭來隱藏這一情況。（他們幾乎都是男性）。 一家公司雇傭了一名員工，她早上參加會議，但似乎會忘記當天晚些時候討論的所有事情，而她之前明明已經和很多人交談過，這一怪癖就更有意義了。 當 Rust 向一位有追蹤犯罪支付網路經驗的投資者表達他對「日本」員工 Ryuhei 的擔憂時，這位投資者很快就確定了 Truflation 工資單上的另外四名疑似朝鮮 IT 工作人員。 「我們立即切斷了聯繫，」Rust 表示，並補充說他的團隊對其代碼進行了安全審核，增強了背景檢查流程並更改了某些政策。其中一項新政策是要求遠程工作人員打開攝像頭。 價值300萬美元的黑客攻擊 CoinDesk 諮詢的許多僱主都錯誤地認為朝鮮 IT 工作者是獨立於朝鮮的黑客部門運作，但區塊鏈數據和與專家的對話表明，朝鮮的黑客活動和 IT 工作者經常聯繫在一起。 2021 年 9 月，Sushi 建立的用於發行加密代幣的平台 MISO 在一次被盜事件中損失了 300 萬美元。CoinDesk 發現證據表明，此次攻擊與 Sushi 僱用兩名開發人員有關，這些開發人員的區塊鏈支付記錄與朝鮮有關。 黑客攻擊發生時，Sushi 是新興DeFi領域最受關注的平台之一。SushiSwap 已存入超過 50 億美元，該平台主要充當「去中心化交易所」，供人們在沒有中介的情況下交易加密貨幣。 當時 Sushi 的首席技術官 Joseph Delong 將 MISO 盜竊案追溯到兩名參與開發該平台的自由開發人員：他們使用了 Anthony Keller 和 Sava Grujic 的名字。Delong 表示，這些開發人員（他現在懷疑是同一個人或同一個組織）向 MISO 平台注入了惡意代碼，將資金轉移到他們控制的錢包中。 當Keller 和Grujic受雇於管理 Sushi 協議的去中心化自治組織 Sushi DAO 時，他們提供了對於入門級開發人員來說足夠典型甚至令人印象深刻的憑證。 Keller 在公眾面前使用化名「eratos1122」，但當他申請 MISO 工作時，他使用了看似是他真名的名字「Anthony Keller 」。在Delong與 CoinDesk 分享的簡歷中，凱勒聲稱自己居住在喬治亞州蓋恩斯維爾，畢業於鳳凰城大學，獲得計算機工程學士學位。（該大學沒有回應是否有同名畢業生的請求。） 「Anthony Keller」自稱居住在喬治亞州蓋恩斯維爾，他的簡歷中列出了他在流行的去中心化金融應用程序 Yearn 的工作經歷。 Keller的簡歷中確實提到了之前的工作。其中最令人印象深刻的是 Yearn Finance，這是一個非常流行的加密投資協議，它為用戶提供了一種通過一系列投資策略賺取利息的方式。Yearn 的核心開發人員Banteg證實，Keller曾參與開發 Coordinape，這是一款由 Yearn 開發的應用程序，旨在幫助團隊協作和促進支付。（Banteg,說，Keller的工作僅限於 Coordinape，他無法訪問 Yearn 的核心代碼庫。） 據Delong稱，Keller將Grujic介紹給 MISO，兩人自稱是「朋友」。與Keller一樣，Grujic提供的簡歷上寫的是他的真實姓名，而不是他的網路筆名「AristoK3」。他自稱來自塞爾維亞，畢業於貝爾格萊德大學，擁有計算機科學學士學位。他的 GitHub 帳戶很活躍，簡歷上列出了他在幾個較小的加密項目和遊戲初創公司的工作經驗。 在他的簡歷中，「Sava Grujic」列舉了 5 年的編程經驗，並聲稱他常駐在塞爾維亞的貝爾格萊德。 Rachel Chu 是 Sushi 的前核心開發人員，在盜竊事件發生前曾與 Keller 和 Grujic 密切合作，她表示在黑客攻擊發生之前她就已經對這兩人產生了「懷疑」。 儘管兩人相距甚遠，但Grujic和Keller 「口音相同」且「發簡訊的方式相同」，Chu說。「每次我們通話時，他們都會有一些背景噪音，就像在工廠里一樣，」她補充道。Chu回憶說，她見過Keller的臉，但從未見過Grujic的臉。據Chu…