撰文:RUBY WANG
据联合国的报告,【朝鲜黑客】在过去 7 年窃取了超过 30 亿美元的加密货币。你可能不知道的是,大部分案件里,黑客都是通过「应聘远程工作」加入了 web3 项目方,甚至某些项目方超过 1/3 都是朝鲜黑客。你交互过的项目是否已经被黑客渗透?可以有哪些防范的方法?
最近我看了 Unchained 播客和 Coindesk 的深度调查报告,可以说用大开眼界、触目惊心来形容。CoinDesk 调查员 Sam Kessler 发现不少知名公链、Defi 公司在不知情的情况下雇佣的开发人员实为朝鲜员工,其中包括 Injective、ZeroLend、Fantom、Sushi、Yearn Finance 和 Cosmos Hub 等 12 家公司已证实 。
Chainanalysis 统计,2023 年朝鲜黑客盗取约 10 亿美元;预计今年会更高,因为从 2024 年开始,朝鲜就是所有最大的加密黑客攻击的幕后黑手,并且大约一半的攻击是由这些在加密公司里面的「开发者」以社会工程的方式主导的 。
让我们来看三个小故事:
故事 1️⃣: 某 Defi 项目三分之一员工是朝鲜黑客
Truflation 的 CEO Stefan Rust 招聘了一位日本员工 Ryuhei,过了一段时间他开始漏接电话,并借口是那天地震了;但是公司还有另外的员工 base 在日本东京,那天也并没有地震。
Stefan 开始感到奇怪,但还没引起足够怀疑。
直到有一天,这个 Ryuhei 的口音都变了(没有了日本口音),就像完全变了一个人。为此 Stefan 找到了他们的一位投资人帮忙研究,并最终发现 Ryuhei 是朝鲜特工。
不仅 Ryuhei,Truflation 还有 4 名员工来自朝鲜,分别声称来自马来西亚、新加坡、美国、加拿大;而这家公司总共只有 12 名员工。
这个故事最不幸的是,Truflation 最终没有逃过盗窃。
9 月 25 日,当编辑 Sam 计划与 Rust 进行通话,心慌意乱的 Rust 迟到了 15 分钟才加入。他刚被黑客攻击了。
Sam 在与他通话的过程中可从链上实时看到资金从他的区块链钱包中流出。最终,「500 万美元被耗尽」,Sam 在 Unchained 播客上分享。
就在这件事发生两周前,另一个 Defi 借贷项目 Delta Prime 刚被盗了 700 万美元,调查表明,其中一些在 Truflation 的员工也曾在那里工作过。
故事 2️⃣:公司面试与应聘黑客的攻防升级
MetaMask 安全人员 Taylor Monahan 分享在去年,招聘面试时「关闭摄像头通话」曾是他们认为需要警惕的信号。但是黑客进化速度很快,这个信号只有效了一个月!
当黑客们很难找到工作后,他们竟开始愿意上镜了。
他们发现可能会听到类似 call center 一样背景噪音,或者视频成像比较模糊,黑客的 Zoom 背景喜欢用金门大桥、假办公室或者卧室房间、白雪皑皑的咖啡馆等滤镜来掩盖真实背景。
故事 3️⃣: 面试中多问「正常的人类问题」
黑客们对于面试接受过培训且很有策略。
一些聪明有经验的人会快速使用谷歌搜索或 AI 工具回答技术类问题。
然后 Taylor 发现最有意思的可能是面试官问他们没有准备好,一些比较「正常的人类问题」:
比如问他们天气怎么样,问他们在哪里长大,是哪条街?
有一次,一个应聘者回答自己在荷兰的阿姆斯特丹,说他在那里长大。然后面试者让他用荷兰语说下自「我的名字是某某」或者「我是区块链开发人员」之类的,对方突然反应过来「你会说荷兰语?」 ,然后就挂掉电话消失了。
但是一两小时后,他突然发邮件回来问:你为什么问我这些问题?