Der On-Chain-Ermittler ZachXBT hat Zahlungen abgefangen, die direkt an nordkoreanische IT-Mitarbeiter geleistet wurden. Die Gehaltsliste deutet darauf hin, dass immer mehr Kryptoprojekte anfällig für potenzielle Cyberangriffe durch ihre eigenen Teams oder für Bugs und Hintertüren in Smart Contracts sind.
Eine neue Untersuchung von ZachXBT hat ergeben, dass IT-Mitarbeiter, die als nordkoreanische Agenten identifiziert wurden, weiterhin hohe Gehälter beziehen. Projektteams haben internationale IT-Mitarbeiter eingestellt, oft verdeckt mit gefälschten Profilen. Aktuell wurde eine Reihe von Profilen entdeckt, die Blockchain-, Web3- und DeFi-Projekte infiltriert haben.
ZachXBT hat seit Januar 2025 Zahlungen im Wert von 16,58 Millionen US-Dollar entdeckt, was auf Hunderte von Arbeitsplätzen bei Kryptoprojekten hindeutet.
1/ Meine jüngsten Untersuchungen haben ergeben, dass seit dem 1. Januar 2025 Zahlungen im Wert von über 16,58 Millionen US-Dollar oder 2,76 Millionen US-Dollar pro Monat an nordkoreanische IT-Mitarbeiter geflossen sind, die als Entwickler bei verschiedenen Projekten und Unternehmen angestellt waren.
Um das ins rechte Licht zu rücken: Die Zahlungen liegen zwischen 3.000 und 8.000 US-Dollar pro Monat, was bedeutet … pic.twitter.com/pjHZG9wJ4r
– ZachXBT (@zachxbt) 2. Juli 2025
Abgefangene Adressen und Gehaltsabrechnungen deuten darauf hin, dass einige IT-Mitarbeiter verschleierte Identitäten und falsche Standorte nutzten. Die jüngste Offenlegung weiterer Wallets und Identitäten erfolgte, nachdem das US-Justizministeriumgegen ein kürzlich auf US-Unternehmen abzielendes Cyber-Programm vorgegangen war .
Zu den Risiken zählen der Diebstahl von Kryptowährungen, Token-Angriffe, Liquiditätsabfluss sowie die Offenlegung und der Diebstahl vertraulicher Informationen.
Die Ergebnisse von ZachXBT folgen auch dem jüngsten Doxxing nordkoreanischer IT-Mitarbeiter, die sich als sehr aktive Meme-Token -Ersteller oder als Mitglieder bestehender Meme-Token-Teams entpuppten. Weitere Untersuchungen beinhalten Versuche, sich als Bauingenieure auszugeben oder sogar als Innenarchitekten aufzutreten . Die gefälschten Teams nutzen häufig künstliche Intelligenz als Forschungsinstrument und zur Verschleierung ihrer Identität.
Nordkoreanische IT-Teams wurden bei freiwilligen Ermittlungen entdeckt
Für manche sind nordkoreanische Hacker in Krypto-Teams immer noch eine Verschwörungstheorie. Die meisten der jüngsten Entdeckungen stehen im Zusammenhang mit realen OSINT-, Tracking- und Doxxing-Operationen.
ZachXBT bietet auch Wallet-Tracking an und verknüpft bekannte IT-Mitarbeiter mit prominenten Social-Media-Profilen anhand ihrer Wallet-Verbindungen häufig mit bekannten nordkoreanischen Wallet-Hacking-Clustern. ZachXBT warnt davor, dass nordkoreanische IT-Mitarbeiter auch traditionelle Technologieunternehmen infiltrieren. Kryptoprojekte ermöglichen jedoch oft eine einfachere Verfolgung, insbesondere wenn ihre Gehälter on-chain sind.
ZachXBT hat die Namen der am stärksten von Hackern betroffenen Krypto-Projekte noch nicht bekannt gegeben. Zuvor hatten selbst etablierte Protokolle wie Waves kompromittierte Smart Contracts gemeldet , da sie ungeprüftes IT-Personal eingestellt hatten.
Nordkoreanische IT-Mitarbeiter geben sich auch als Kryptowährungs-Influencer aus
Anfang Juni stellten die Ermittler außerdem fest, dass mehrere bekannte Krypto-Influencer mit Verbindungen zu alten Meme- und NFT-Projekten ebenfalls mit verdächtigen Wallet-Gruppen in Verbindung standen . Einige der von ZachXBT beobachteten Adressen sollen zudem mit dem Favvr-NFT-Projekt in Verbindung gestanden haben.
Nordkoreanische Hacker bleiben oft nicht lange an Projekten beteiligt, doch selbst für kurze Zeit ist ihre Beteiligung riskant. Nordkoreanische Hacker können in Projekten mehrere Rollen übernehmen, darunter den Zugriff auf Multi-Sig-Wallets oder andere wichtige Aufgaben. Da Kryptoprojekte nur alle Monate oder Jahre Audits durchführen, können einige DeFi-Plattformen, Meme-Token und andere Apps versteckte Exploit-Risiken aufweisen.
ZachXBT weist außerdem darauf hin, dass Hacker vor allem von MEXC sowie US-Börsen wie Robinhood und Coinbase angezogen werden. Binance, eine der am häufigsten genutzten Börsen, ist nicht mehr geeignet, da sie nachweislich Gelder einfriert und Behörden beim Abfangen verdächtiger Konten unterstützt. Nordkoreanische Hacker greifen häufig auf USDC zurück, versuchen jedoch, Transaktionen zu verbergen, da der Stablecoin eingefroren werden kann.
KEY Difference Wire : Das geheime Tool, das von Kryptoprojekten verwendet wird, um garantierte Medienberichterstattung zu erhalten