Projeto de encriptação infiltrado por hackers de TI da Coreia do Norte exposto! ZachXBT revela: equipe de 5 pessoas forjou mais de 30 identificações, um buraco de 680 mil dólares pode ser da sua responsabilidade.
O conhecido detetive na cadeia ZachXBT publicou um relatório de investigação bombástico, revelando que o pessoal da República Popular Democrática da Coreia (DPRK) infiltrou-se profundamente na indústria de ativos de criptografia através de fraude sistemática de identificação. Uma equipe de hackers de 5 pessoas utilizou documentos falsificados para comprar contas premium do Upwork/LinkedIn, aplicando-se a posições de desenvolvimento com identidades falsas, obtendo acesso a permissões sensíveis de projetos. A fonte anônima conseguiu invadir seu dispositivo, expondo os detalhes de suas operações e carteiras associadas, e o endereço estava diretamente relacionado ao ataque de vulnerabilidade de 680.000 dólares do Favrr protocolo em junho de 2025. O relatório revela seu enorme modo de operação de “fábrica de identidades virtuais” e a cadeia de financiamento, soando o alarme para a segurança dos projetos de criptografia.
【Profundidade de penetração: operação da fábrica de identidade falsa totalmente exposta】
Rede de Identificação Falsa: Esta equipe da Coreia do Norte criou mais de 30 identidades falsas (como "Henry Zhang"), utilizando IDs governamentais falsificados para comprar contas certificadas em plataformas de empregos profissionais (Upwork, LinkedIn), conseguindo infiltrar-se em várias equipes de desenvolvimento de Ativos de criptografia.
Ferramentas completas: Os relatórios financeiros vazados mostram que seus instrumentos de crime sistemático incluem: número de Segurança Social dos EUA (SSN), conta de emprego de alta credibilidade, número de telefone, serviço de assinatura de IA, aluguel de computação em nuvem, VPN/Redes proxy avançadas (usadas para disfarçar a localização geográfica).
Divulgação de detalhes operacionais: Fontes anônimas invadiram seus dispositivos para obter dados críticos, como Google Drive e perfis de configuração do Chrome. A equipe usou controle remoto AnyDesk em conjunto com VPN para simular com precisão a localização geográfica; discussões internas no grupo Telegram sobre alocação de cargos e pagamento de salários (recebendo via Carteira ERC-20).
Objetivo claro: O documento contém um cronograma de reuniões para um projeto de criptografia específico e um roteiro detalhado para manter uma identificação falsa, com o intuito de obter o código fonte do projeto (GitHub) e permissões do sistema interno.
【Evidência chave: Endereço na cadeia aponta diretamente para o ataque de 680.000 dólares】
Carteira associada: A equipe de rastreamento ZachXBT frequentemente utiliza o endereço da carteira ERC-20 (0x78e1...), e descobriu que está diretamente associado ao ataque de vulnerability de 680,000 dólares sofrido pelo protocolo Favrr em junho de 2025.
Identificação confirmada: Este ataque foi atribuído ao CTO do projeto e a alguns desenvolvedores - agora está confirmado que esses "elementos técnicos" eram, na verdade, pessoal de TI da Coreia do Norte usando identidades falsas.
Impacto na indústria: Esta descoberta levou vários projetos de ativos de criptografia a realizar uma autoavaliação urgente, com alguns projetos a confirmarem que a sua equipe de desenvolvimento ou a camada de decisão tinha operadores norte-coreanos infiltrados.
【Verificação de origem: pegadas digitais bloqueiam o contexto da Coreia do Norte】
Apesar de a comunidade ter dúvidas sobre a origem das pessoas, ZachXBT apresentou provas irrefutáveis:
Marcas de linguagem: O histórico do navegador mostra um grande número de registros de tradução do coreano para o inglês no Google.
Localização física: Todas as atividades são realizadas através de endereços IP da Rússia, de acordo com o padrão típico de operações no exterior por pessoal de TI da Coreia do Norte.
Documentos fraudulentos: Grande quantidade de IDs governamentais falsificados e documentos de certificação profissional.
【Reação da Indústria: Vulnerabilidades de Segurança e Desafios de Defesa】
Vulnerabilidades na contratação em destaque: A comunidade critica que alguns projetos apresentam ausência de verificação de antecedentes (Background Check), e que mostram uma postura defensiva ao receber alertas de segurança. Shaun Potts, fundador da agência de recrutamento em criptografia Plexus, aponta: "Este é um risco operacional inerente à indústria, assim como os ataques de hackers não podem ser erradicados, mas os riscos podem ser mitigados."
Ameaças de segurança em ascensão: O incidente expôs os enormes riscos que os projetos de ativos de criptografia enfrentam na gestão de acesso ao código, muitas equipes podem não saber quem realmente teve acesso ao seu repositório de código principal.
Taxa de reconhecimento variável: Algumas plataformas (como a exchange Kraken em maio de 2025) conseguiram identificar e interceptar candidatos disfarçados da Coreia do Norte, mas mais projetos tornaram-se vítimas deste tipo de ATAQUE APT (ameaça persistente avançada).
【Casos associados: o golpe de "trabalho remoto" dos hackers norte-coreanos】
Fraude de emprego: Em janeiro de 2025, métodos semelhantes foram utilizados em fraudes por SMS direcionadas a residentes de Nova Iorque, utilizando "assistência para trabalho remoto" como isca, enganando as vítimas a depositar USDT/USDC, roubando 2,2 milhões de dólares em ativos de criptografia.
Cobrança de fundos: Em junho de 2025, as autoridades dos EUA apreenderam mais de 770 mil dólares em criptografia, acusando-os de serem ganhos disfarçados de freelancers por pessoal de TI da Coreia do Norte, com a receita eventualmente indo para o governo da Coreia do Norte.
【Conclusão: O sino de alerta para a segurança da criptografia na guerra das identidades virtuais】
O relatório de investigação de ZachXBT revelou uma fenda na infiltração da indústria de criptomoedas por parte de uma organização estatal de hackers da Coreia do Norte. A "fábrica de identidades virtuais" sofisticada que eles construíram e a cadeia de fraudes de emprego madura não são ações individuais, mas sim um ataque sistemático de fornecimento na cadeia (Supply Chain Attack). As carteiras associadas apontam para eventos de ataque a vulnerabilidades significativas, provando que seu objetivo não é apenas roubar salários, mas também aproveitar a oportunidade para lançar ações de hacking em maior escala. Este evento serve como um alerta de segurança de nível máximo para todos os projetos de criptomoedas:
Reforçar a verificação de identificação: É necessário implementar uma verificação de múltiplas identidades e investigações de antecedentes rigorosas, especialmente para cargos técnicos remotos.
Minimização de permissões: Controle rigoroso do acesso ao repositório de código e a sistemas críticos, com auditorias regulares.
Aumento da consciência de ameaças: A indústria deve partilhar inteligência sobre ameaças e aumentar a capacidade de identificação de organizações de hackers com base em contextos geopolíticos.
Colaboração regulatória: Para lidar com ameaças de nível nacional, é necessário fortalecer a colaboração internacional na aplicação da lei e cortar a cadeia de financiamento.
Quando o código é riqueza, quem está a escrever o seu código? Esta tornou-se a questão central que determina a vida ou a morte dos projetos de criptografia.
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
Projeto de encriptação infiltrado por hackers de TI da Coreia do Norte exposto! ZachXBT revela: equipe de 5 pessoas forjou mais de 30 identificações, um buraco de 680 mil dólares pode ser da sua responsabilidade.
O conhecido detetive na cadeia ZachXBT publicou um relatório de investigação bombástico, revelando que o pessoal da República Popular Democrática da Coreia (DPRK) infiltrou-se profundamente na indústria de ativos de criptografia através de fraude sistemática de identificação. Uma equipe de hackers de 5 pessoas utilizou documentos falsificados para comprar contas premium do Upwork/LinkedIn, aplicando-se a posições de desenvolvimento com identidades falsas, obtendo acesso a permissões sensíveis de projetos. A fonte anônima conseguiu invadir seu dispositivo, expondo os detalhes de suas operações e carteiras associadas, e o endereço estava diretamente relacionado ao ataque de vulnerabilidade de 680.000 dólares do Favrr protocolo em junho de 2025. O relatório revela seu enorme modo de operação de “fábrica de identidades virtuais” e a cadeia de financiamento, soando o alarme para a segurança dos projetos de criptografia.
【Profundidade de penetração: operação da fábrica de identidade falsa totalmente exposta】
【Evidência chave: Endereço na cadeia aponta diretamente para o ataque de 680.000 dólares】
【Verificação de origem: pegadas digitais bloqueiam o contexto da Coreia do Norte】 Apesar de a comunidade ter dúvidas sobre a origem das pessoas, ZachXBT apresentou provas irrefutáveis:
【Reação da Indústria: Vulnerabilidades de Segurança e Desafios de Defesa】
【Casos associados: o golpe de "trabalho remoto" dos hackers norte-coreanos】
【Conclusão: O sino de alerta para a segurança da criptografia na guerra das identidades virtuais】 O relatório de investigação de ZachXBT revelou uma fenda na infiltração da indústria de criptomoedas por parte de uma organização estatal de hackers da Coreia do Norte. A "fábrica de identidades virtuais" sofisticada que eles construíram e a cadeia de fraudes de emprego madura não são ações individuais, mas sim um ataque sistemático de fornecimento na cadeia (Supply Chain Attack). As carteiras associadas apontam para eventos de ataque a vulnerabilidades significativas, provando que seu objetivo não é apenas roubar salários, mas também aproveitar a oportunidade para lançar ações de hacking em maior escala. Este evento serve como um alerta de segurança de nível máximo para todos os projetos de criptomoedas:
Quando o código é riqueza, quem está a escrever o seu código? Esta tornou-se a questão central que determina a vida ou a morte dos projetos de criptografia.