6,75 miliarde $ furate din 2017.
53 proiecte Web3 infiltrate.
Unele încă din 2020.
Nu este un hack de protocol.
Sunt dezvoltatori angajați legal
care au construit din interior
înainte de a goli totul.
Iată playbook-ul exact pe care l-am documentat pas cu pas.
📌 Pasul 1: Creează o identitate falsă perfectă
Operatorii nord-coreeni se prezintă ca dezvoltatori experimentați din Europa de Est sau Asia de Sud-Est. Creează identități false cu documente falsificate, istorii de angajare fabricate, profiluri GitHub fictive, fotografii generate de IA și voci clonată convingătoare pentru interviuri la distanță.
Nu este un profil LinkedIn neglijat.
Sunt luni de pregătire.
Identități care trec verificările standard.
Conform lui ZachXBT: "Dacă tu sau echipa ta mai cădeți în această capcană în 2026, sunteți foarte probabil neglijenți."
📌 Pasul 2: Infiltrare prin canalele de angajare normale
Acești indivizi s-au integrat în principalele wallet-uri, exchange-uri descentralizate și infrastructuri blockchain critice ca simplii freelanceri sau dezvoltatori la distanță prin procesele de angajare normale, fără niciun hack.
Fără phishing. Fără malware inițial.
O simplă aplicație. Un interviu. Un contract.
Cercetătoarea în securitate Taylor Monahan a dezvăluit că operatori nord-coreeni au lucrat în peste 40 de platforme DeFi. Prezența lor datează din vara DeFi din 2020. Cele "7 ani de experiență blockchain" menționate în CV-urile lor nu sunt o exagerare — au ajutat de fapt la conceperea și construirea protocoalelor pe care le vizează astăzi.
Ei au construit protocolul.
Ei cunosc fiecare vulnerabilitate.
Ei așteaptă momentul potrivit.
📌 Pasul 3: Fă-ți plățile în stablecoins
Odată angajați, muncitorii nord-coreeni cer să fie plătiți în stablecoins — pentru valoarea lor stabilă și popularitatea lor printre traderii OTC care facilitează conversia în monedă fiat. Aceste wallet-uri primesc plăți regulate de sume consistente, aproximativ 5.000$ pe lună, ca caracteristici ale unui salariu.
Acesta este cel mai detectabil semnal.
Un dezvoltator freelancer care insistă pe plata în stablecoins
către un wallet specific → semnal de alarmă imediat.
📌 Pasul 4: Lansează atacul la momentul optim
În 2025 și 2026, operatorii nord-coreeni au dezvoltat o abordare în două etape: mai întâi să se angajeze ca dezvoltatori legitimi, apoi să pivoteze spre uzurparea identității recrutorilor pentru companii Web3 și IA proeminente orchestrând procese false de angajare concepute pentru a colecta identificatoare, a instala malware sau a accesa sistemele interne.
Coreea de Nord a furat 2,02 miliarde$ în crypto în 2025, ceea ce reprezintă o creștere de 51% într-un an, cu 74% mai puține atacuri cunoscute. Realizează furturi mai mari cu mai puține incidente, bazându-se pe muncitori infiltrați pentru acces privilegiat.
Mai puține atacuri. Mai mulți bani.
Infiltrarea este mai eficientă decât hack-ul frontal.
📌 Pasul 5: Spălare prin blockchain
Odată ce salariile lor sunt plătite, muncitorii transferă prin diverse tehnici de spălare: chain-hopping, token swapping prin exchange-uri descentralizate și protocoale de bridge pentru a complica urmărirea fondurilor. Fondurile sunt apoi convertite prin conturi fictive pe exchange-uri sau traderi OTC cu un ciclu de spălare de 45 de zile.
Rețeaua a generat aproape 800 milioane$ în 2024 pentru a finanța programul de înarmare nord-coreean prin scheme care operează în Vietnam, Laos și Spania.
📌 Ce schimbă asta pentru tine ca utilizator Web3
Nu recrutezi dezvoltatori.
Dar folosești protocoale.
Ethereum Foundation a finanțat un program de 6 luni numit ETH Rangers care a identificat aproximativ 100 de muncitori nord-coreeni suspecti operând în proiecte Web3, a înghețat 5,8 milioane$ de fonduri furate și a identificat 785 de vulnerabilități în proiectele infiltrate.
Ce te protejează concret:
✅ Verifică auditul de securitate al fiecărui protocol înainte de a depune fonduri
✅ Preferă protocoalele cu echipe KYC public verificabile
✅ Fii precaut cu noile proiecte DeFi cu echipe anonime care oferă APR-uri nerealiste
✅ Folosește hardware wallets pentru holdings importante
✅ Nu face niciodată clic pe un link de interviu tehnic nesolicitat, "screen-urile tehnice" care cer conectarea unui wallet sau executarea de cod sunt vectori de atac documentați
📌 Lecția pe care această situație o confirmă
În Web3 vorbim adesea despre securitatea protocoalelor.
Despre smart contracts auditate.
Despre multisigs.
Dar vulnerabilitatea cea mai exploatată în 2026
nu este în cod.
Este în oameni care îl creează.
Această descoperire declanșează o schimbare majoră în modul în care companiile blockchain recrutează, conducând la audituri interne riguroase, verificări de identitate consolidate și un schimb de informații mai mare între proiecte.
Web3 nu poate rămâne anonim pe termen nelimitat.
Această situație este cea mai brutală dovadă.
💬 Știai că protocoalele pe care le folosești ar putea fi construite de agenți nord-coreeni?
Care este reflexul tău de securitate numărul 1 în DeFi?
Spune-mi în comentarii.
\u003cc-149/\u003e
\u003cc-5/\u003e
\u003ct-52/\u003e \u003ct-54/\u003e \u003ct-56/\u003e \u003ct-58/\u003e