Un proiect finanțat de Fundația Ethereum a scos la iveală o realitate pe care mulți din industrie o bănuiau, dar nimeni nu reușise să o documenteze atât de clar: aproximativ 100 de specialiști IT legați de Coreea de Nord lucrau nestingheriți în cadrul a 53 de proiecte Web3, angajați prin procese obișnuite de recrutare, sub identități false.
Nu vorbim despre un atac cibernetic în sensul tradițional. Vorbim despre oameni care veneau la ședințe, scriau cod funcțional și încasau salarii, în timp ce o parte din acești bani ajungeau la Phenian.
Raportul publicat pe 16 aprilie 2026 de Fundația Ethereum prezintă bilanțul programului ETH Rangers și al componentei sale centrale, Ketman Project. Cifrele sunt sobre, dar grele: peste 5,8 milioane de dolari recuperați, mai mult de 785 de vulnerabilități raportate și cele 100 de persoane semnalate ca operativi ai Republicii Populare Democrate Coreene (RPDC).
Amenințarea descrisă aici nu seamănă cu hackurile spectaculoase despre care citim de obicei. E vorba despre o infiltrare lentă, metodică, aproape invizibilă, care se petrece chiar în interiorul echipelor de dezvoltare.
Programul ETH Rangers și apariția Proiectului Ketman
Fundația Ethereum a pornit programul ETH Rangers spre sfârșitul anului 2024, cu o premisă simplă: finanțarea unor cercetători independenți care să investigheze amenințări de securitate din interiorul ecosistemului. În loc să se bazeze exclusiv pe firme private de audit, fundația a optat pentru un model de granturi deschise, oferind burse persoanelor care lucrau pe probleme de securitate cu impact public.
Unul dintre beneficiarii acestui program a folosit fondurile pentru a construi Ketman Project, o inițiativă dedicată depistării dezvoltatorilor falși din organizațiile Web3. Proiectul s-a concentrat pe un fenomen cunoscut, dar prea puțin combătut: plasarea sistematică de specialiști IT nord-coreeni în companii crypto, prin intermediul unor identități fabricate cu grijă.
De-a lungul a șase luni, echipa Ketman a reușit să identifice 100 de astfel de operativi și a contactat 53 de proiecte pentru a le anunța că au sau au avut în echipă persoane cu legături directe cu regimul de la Phenian.
Un aspect care dă de gândit: această descoperire nu a venit din partea unui serviciu secret sau a unei corporații de securitate cibernetică. A venit dintr-un program de granturi cu buget modest, orientat spre binele public. Asta spune ceva atât despre amploarea problemei, cât și despre ce se poate realiza cu resurse limitate, dar bine direcționate.
Cum funcționează infiltrarea: identități false, competențe autentice
Unul dintre motivele pentru care acest tip de amenințare este atât de greu de contracarat ține de un paradox deranjant: operativii RPDC chiar știu să programeze. Taylor Monahan, cercetător în securitate și dezvoltator la MetaMask, a afirmat în mai multe rânduri că lucrătorii IT nord-coreeni au contribuit la construirea unor protocoale folosite pe scară largă în industrie.
Experiența lor de șapte ani în dezvoltare blockchain este reală, a spus Monahan, precizând că peste 40 de platforme au beneficiat de munca lor în diferite momente, încă din perioada numită informal „DeFi Summer”, în 2020.
Schema de infiltrare urmează un tipar bine rodat. Operativii aplică pentru poziții de lucru la distanță folosind CV-uri și acreditări falsificate, dar suficient de convingătoare încât să treacă de filtrele de recrutare. Participă la interviuri tehnice, contribuie la proiecte open-source și se integrează în echipe distribuite global.
Odată acceptați, lucrează ca orice alt angajat, livrează cod, rezolvă probleme și câștigă salarii. Între timp, o parte din veniturile obținute sunt convertite în criptomonede și trimise către Coreea de Nord, prin rețele de intermediari.
Proiectul Ketman a izolat mai multe semnale de alarmă care revin cu regularitate în activitatea acestor dezvoltatori falși. Același avatar sau aceleași metadate de profil apar pe conturi GitHub diferite. În timpul sesiunilor de partajare a ecranului, unii expun accidental adrese de e-mail care nu au legătură cu identitatea declarată.
Alții au limba implicită a sistemului de operare setată pe rusă sau coreeană, deși pretind că sunt din America de Sud sau din Europa de Est. Sunt detalii mici, ușor de trecut cu vederea într-o echipă aglomerată, dar foarte relevante pentru cine știe ce caută.
De ce tocmai industria crypto a devenit o țintă atât de ușoară?
Structura descentralizată a ecosistemului crypto, care în mod normal îi conferă reziliență, devine un dezavantaj major în fața infiltrării umane. Proiectele blockchain funcționează rareori cu departamente de resurse umane structurate sau cu echipe centralizate de securitate internă, așa cum au băncile sau companiile de tehnologie mari. Lucrul la distanță este regula, nu excepția, iar echipele de dezvoltare sunt adesea distribuite pe trei sau patru continente, fără ca membrii să se fi întâlnit vreodată față în față.
Un dezvoltator care scrie cod bun, contribuie regulat la un repository GitHub și trece un interviu tehnic primește, de cele mai multe ori, acces direct la infrastructura proiectului. Puțini se întreabă cine este cu adevărat persoana din spatele numelui de pe ecran. Iar atunci când acel proiect gestionează milioane de dolari prin contracte inteligente, accesul la chei private sau la sistemele de semnare multi-sig transformă un angajat aparent obișnuit într-un risc major.
Cazul Drift Protocol este cel mai recent exemplu în acest sens. Un exploit de 285 de milioane de dolari a fost legat de o operațiune de inginerie socială atribuită actorilor nord-coreeni. Atacatorii nu au forțat nicio barieră tehnică. Au construit identități profesionale credibile, au petrecut luni câștigând încrederea echipei și abia apoi au executat breșa. Totul a arătat normal până în momentul în care banii au dispărut.
Lazarus Group: o istorie de un deceniu de furturi la scară industrială
Discuția despre operațiunile cibernetice ale Coreei de Nord nu poate ocoli Lazarus Group, colectivul de hackeri care operează sub Biroul General de Recunoaștere (RGB), serviciul de informații militare al Phenianului. Lazarus a intrat în atenția publică în 2014, odată cu atacul asupra Sony Pictures, și a escaladat rapid spre zona financiară.
În 2016, grupul a încercat să fure aproape un miliard de dolari de la Banca Centrală a Bangladeshului prin sistemul SWIFT. O greșeală de ortografie într-una dintre instrucțiunile frauduloase a blocat cea mai mare parte a transferului, dar 81 de milioane de dolari au ajuns totuși în Filipine.
Din 2017 încoace, Lazarus s-a orientat tot mai agresiv spre industria criptomonedelor. Potrivit Chainalysis, actorii cibernetici legați de RPDC au furat aproximativ 2,02 miliarde de dolari în criptomonede doar în 2025, o creștere de 51% față de anul precedent. Această sumă reprezenta aproape 60% din totalul furturilor de criptomonede la nivel mondial din acel an.
Printre atacurile cu cel mai mare impact se numără exploitul Ronin Bridge din 2022 (625 de milioane de dolari), breșa WazirX (235 de milioane de dolari) și jaful de la Bybit din februarie 2025, cel mai mare din istoria industriei, cu aproximativ 1,5 miliarde de dolari în Ethereum sustrași într-o singură operațiune.
Atacul de la Bybit este instructiv pentru că arată cât de departe au ajuns aceste operațiuni. Hackerii nu au spart blockchain-ul și nu au exploatat un bug într-un contract inteligent. Au compromis mai întâi laptopul unui dezvoltator care lucra la Safe{Wallet}, instrumentul folosit de Bybit pentru gestionarea portofelelor multi-sig. Apoi au alterat interfața grafică a aplicației.
Când CEO-ul Ben Zhou a vrut să aprobe o tranzacție de rutină, pe ecranul lui totul arăta normal: suma, destinatarul, butonul de confirmare. Dar în spatele interfeței, adresa reală de destinație fusese înlocuită cu una controlată de atacatori. Zhou a apăsat „approve” și 401.000 ETH au dispărut. Conform TRM Labs, în mai puțin de 48 de ore, peste 160 de milioane de dolari trecuseră deja prin canale de spălare.
Unde ajung banii: sancțiuni, rachete și criptomonede
Fondurile furate de Lazarus Group și de rețelele afiliate nu alimentează conturi private. Rapoartele ONU, ale Departamentului de Stat american și ale mai multor agenții de aplicare a legii converg spre aceeași concluzie: banii din furturile de criptomonede finanțează programele nucleare și balistice ale Coreei de Nord.
Pentru un regim supus unor sancțiuni internaționale drastice, criptomonedele au devenit una dintre puținele căi eficiente de a aduce valută din exterior, fără a depinde de un sistem bancar din care este practic exclus.
Un raport al Națiunilor Unite din 2023 estima că RPDC trimisese între 3.000 și 10.000 de lucrători IT în străinătate. Conform datelor mai recente, asociate Departamentului de Stat, în jur de 1.500 se aflau în China, cu planuri de extindere a plasamentelor și în Rusia.
Mulți dintre aceștia nu sunt hackeri în accepțiunea obișnuită a cuvântului. Sunt programatori capabili care obțin contracte reale, câștigă salarii reale și trimit acasă o parte consistentă din venituri, prin intermediari care convertesc banii în crypto și îi redirecționează spre Phenian.
Dosarul judiciar anunțat pe 16 aprilie 2026 de Departamentul de Justiție al SUA completează tabloul. Doi cetățeni americani au fost condamnați la cel puțin șapte ani de închisoare fiecare, după ce s-au declarat vinovați de conspirație la fraudă electronică și spălare de bani.
Rolul lor fusese să ajute lucrători IT nord-coreeni să se prezinte drept americani și să obțină acces la aproximativ 100 de companii. Pentru asta, cei doi primiseră circa 700.000 de dolari. Autoritățile au precizat că alți opt inculpați din aceeași schemă sunt încă în libertate.
Ce a construit Ketman Project dincolo de investigație?
Proiectul Ketman nu s-a oprit la identificarea celor 100 de operativi. Echipa a dezvoltat un instrument open-source menit să detecteze activitate suspectă pe GitHub, urmărind tipare comportamentale pe care un recrutor sau un manager de proiect nu le-ar observa de obicei: coerența metadatelor de profil pe mai multe platforme, frecvența și natura contribuțiilor la diverse proiecte, continuitatea identității digitale.
Tot în cadrul acestui proiect, Ketman a colaborat cu Security Alliance (SEAL), o organizație non-profit axată pe securitatea blockchain, pentru a redacta un cadru standard de identificare a lucrătorilor IT cu posibile conexiuni RPDC. Documentul oferă organizațiilor Web3 un set de criterii și proceduri aplicabile intern, gândite să reducă riscul de a angaja, fără să realizeze, persoane implicate în operațiuni nord-coreene.
Site-ul Ketman Project găzduiește o colecție extinsă de materiale care documentează tacticile, comportamentele și tiparele operaționale ale acestor actori. Abordarea este una de „threat intelligence” concentrată pe profilul uman, nu pe semnătura tehnică. E o distincție importantă, pentru că un audit de cod nu va descoperi niciodată că dezvoltatorul care l-a scris trimite o parte din salariu la Phenian.
Bilanțul complet al programului ETH Rangers
Ketman Project a fost componenta cea mai vizibilă, dar programul ETH Rangers a produs rezultate pe mai multe fronturi. Fundația Ethereum a raportat că, pe ansamblul inițiativei, au fost identificate peste 785 de vulnerabilități de securitate, s-au declanșat zeci de răspunsuri la incidente și au fost recuperați aproximativ 5,8 milioane de dolari din fonduri compromise.
Cercetătorul Nick Bax, un alt beneficiar al programului, a identificat și alertat peste 30 de echipe că aveau lucrători nord-coreeni pe statul de plată, contribuind la înghețarea a sute de mii de dolari din fonduri încasate de actorii malițioși.
Modelul în sine este demn de atenție. ETH Rangers nu a fost un audit clasic comandat unei firme de consultanță și nici o operațiune coordonată de vreo agenție guvernamentală. A fost un program de granturi care a dat bani unor cercetători independenți și i-a lăsat să lucreze pe problemele pe care le considerau cele mai urgente. Faptul că un model atât de simplu a produs rezultate măsurabile sugerează că ar putea fi replicat, cu resurse mai mari și la o scară mai amplă.
Securitatea în Web3 trebuie regândită de la zero
Descoperirile ETH Rangers obligă industria crypto să-și reconsidere modul în care abordează securitatea. Până acum, conversația s-a purtat predominant în jurul aspectelor tehnice. Auditul contractelor inteligente, rezistența protocoalelor la atacuri de tip flash loan, protejarea cheilor private, toate aceste preocupări rămân legitime, dar nu mai sunt suficiente.
Infiltrarea umană funcționează pe un registru complet diferit. Nu lasă urme pe blockchain până când paguba e deja făcută. Nu poate fi detectată de un scanner automat. Și, cel mai important, exploatează încrederea, nu o vulnerabilitate software.
Un om care vine la ședințe, rezolvă bug-uri, răspunde la mesaje și livrează cod funcțional nu ridică semne de întrebare. Tocmai asta este și strategia: să fii un coleg bun suficient de mult încât nimeni să nu se mai întrebe cine ești de fapt.
Cercetătorii implicați în program recomandă proiectelor Web3 să adopte verificări mai stricte de identitate pentru angajații cu acces la infrastructura critică. Monitorizarea activității pe GitHub, verificarea coerenței identității digitale pe mai multe platforme și colaborarea cu firme de analiză blockchain pentru depistarea rutelor de plată suspecte sunt pași concreți pe care orice echipă îi poate implementa. Securitatea nu mai poate fi doar despre cod. Trebuie să fie și despre oamenii care îl scriu.
Un tipar care se accelerează, nu se oprește
Raportul Fundației Ethereum ajunge într-un moment tensionat pentru industria crypto. Presiunile regulatorii cresc, atacurile cibernetice devin mai sofisticate, iar încrederea publică în capacitatea ecosistemului de a se proteja singur se erodează cu fiecare incident major.
Descoperirea a 100 de operativi nord-coreeni activi în 53 de proiecte diferite arată că amenințarea nu e nici ipotetică, nici izolată. E un tipar persistent, organizat la nivel statal și aflat în plină expansiune.
Coreea de Nord a arătat, pe parcursul ultimului deceniu, că poate folosi ecosistemul crypto ca sursă de finanțare pentru programele sale de armament. Atacurile directe precum cel de la Bybit coexistă cu infiltrarea pe termen lung a lucrătorilor IT în companii legitime, iar cele două tipuri de operațiuni se completează reciproc. Hackerii obțin informații și acces din interior, iar fondurile furate alimentează un aparat militar care preocupă comunitatea internațională.
Programul ETH Rangers a demonstrat că industria are resursele și expertiza necesare pentru a răspunde. Întrebarea reală este dacă lecțiile acestei investigații vor fi preluate și aplicate la scară largă sau dacă fiecare proiect va continua să creadă că problema nu îl privește, până când va descoperi, prea târziu, că o privea de la bun început.
Intrebari frecvente
Î: Ce este programul ETH Rangers al Fundației Ethereum?
R: ETH Rangers este un program de granturi lansat de Fundația Ethereum la sfârșitul anului 2024, care a finanțat cercetători independenți pentru a investiga amenințări de securitate în ecosistemul Ethereum.
Programul a funcționat timp de șase luni și a condus la identificarea a peste 100 de operativi nord-coreeni, recuperarea a 5,8 milioane de dolari și raportarea a peste 785 de vulnerabilități.
Î: Ce este Ketman Project și ce a descoperit?
R: Ketman Project este o inițiativă finanțată prin ETH Rangers, concentrată pe depistarea dezvoltatorilor falși din organizațiile Web3. Proiectul a identificat 100 de lucrători IT cu legături cu Coreea de Nord și a alertat 53 de proiecte crypto că aveau sau avuseseră astfel de persoane în echipele lor.
Î: Cum reușesc lucrătorii IT nord-coreeni să se infiltreze în companii crypto?
R: Operativii aplică pentru poziții de lucru la distanță folosind identități și acreditări false, trec interviuri tehnice și se integrează în echipe de dezvoltare. Mulți au competențe tehnice reale și contribuie activ la proiecte, ceea ce face detectarea foarte dificilă. Semnale de alarmă includ reutilizarea avatarelor pe conturi GitHub diferite, expunerea accidentală a unor e-mailuri nelegate de identitatea declarată și setări de limbă ale sistemului de operare care contrazic naționalitatea pretinsă.
Î: Cât au furat hackerii nord-coreeni din industria crypto?
R: Potrivit Chainalysis, actorii cibernetici legați de Coreea de Nord au furat aproximativ 2,02 miliarde de dolari în criptomonede doar în 2025. Cel mai mare atac individual a fost jaful de la Bybit din februarie 2025, cu aproximativ 1,5 miliarde de dolari în Ethereum. Analiștii R3ACH estimează totalul fondurilor furate de la aproximativ 7 miliarde de dolari din 2017 încoace.
Î: Ce este Lazarus Group?
R: Lazarus Group este un colectiv de hackeri sponsorizat de statul nord-coreean, care operează sub Biroul General de Recunoaștere (RGB), serviciul de informații militare al Phenianului. Grupul este responsabil pentru unele dintre cele mai mari furturi de criptomonede din istorie, precum exploitul Ronin Bridge (625 milioane dolari), breșa WazirX (235 milioane dolari) și atacul Bybit (1,5 miliarde dolari).
