万字调查：朝鲜如何渗透加密货币行业

2023 年，加密货币公司 Truflation 仍处于起步阶段，当时创始人 Stefan Rust 在不知情的情况下雇用了第一位朝鲜员工。

“我们一直在寻找优秀的开发人员，”Rust 在瑞士家中说道。出乎意料的是，“这个开发人员遇到了我们。”

“Ryuhei”通过 Telegram 发送了简历，声称自己在日本工作。他被录用后不久，奇怪的矛盾就开始浮出水面。

有一次，“我和那个人通话，他说他遇到了地震，”拉斯特回忆道。但日本最近并没有发生地震。然后，这名员工开始漏接电话，当他出现时，“不是他，”拉斯特说。“是其他人。”不管是谁，都去掉了日语口音。

Rust很快得知“Ryuhei”和其他四名员工（占其团队人数的三分之一以上）都是朝鲜人。Rust无意中落入了朝鲜的一项有组织的阴谋，该计划旨在为其员工提供远程海外工作，并将收入汇回平壤。

美国当局最近加强了警告，称朝鲜的IT 工作者正在渗透科技公司，包括加密货币雇主，并利用所得资金资助这个国家的核武器计划。根据2024 年联合国的一份报告，这些 IT 工作者每年为朝鲜赚取高达 6 亿美元的收入。

雇佣和支付工人的工资——即使是无意的——也违反了联合国的制裁，在美国和许多其他国家都是非法的。这也带来了严重的安全风险，因为众所周知，朝鲜黑客会通过秘密雇佣员工来攻击公司。

CoinDesk 的一项调查揭示了朝鲜求职者针对加密货币公司的积极性和频率——成功通过面试、通过背景调查，甚至在开源软件存储库 GitHub 上展示了令人印象深刻的代码贡献历史。

CoinDesk 采访了十多家加密货币公司，这些公司表示，他们无意中雇佣了来自朝鲜的 IT 工作者。

这些对创始人、区块链研究人员和行业专家的采访表明，朝鲜 IT 工作者在加密行业中比之前想象的要普遍得多。本文采访的几乎每位招聘经理都承认，他们曾面试过疑似朝鲜开发者，在不知情的情况下雇佣了他们，或者认识有人这样做过。

著名区块链开发者Zaki Manian表示：“在整个加密行业中，来自朝鲜的简历、求职者或贡献者的比例可能超过 50%。”他表示，自己在 2021 年无意中雇佣了两名朝鲜 IT 员工来帮助开发 Cosmos Hub 区块链。“每个人都在努力筛选掉这些人。”

CoinDesk 发现的不知情的朝鲜雇主中包括几个知名的区块链项目，例如 Cosmos Hub、Injective、ZeroLend、Fantom、Sushi 和 Yearn Finance。“这一切都是在幕后发生的，”Manian 说。

此次调查是这些公司首次公开承认无意中雇佣了朝鲜 IT 员工。

在许多情况下，朝鲜工人的工作方式与普通员工一样；因此，从某种意义上说，雇主基本上得到了他们所支付的报酬的交付物。但 CoinDesk 发现证据表明，这些员工随后将工资汇入与朝鲜政府相关的区块链地址。

CoinDesk 的调查还揭露了几起雇用朝鲜 IT 员工的加密项目后来遭到黑客攻击的案例。在其中一些案例中，能够将盗窃直接与公司工资单上的疑似朝鲜 IT 员工联系起来。Sushi 就是这种情况，Sushi 是一个著名的DeFi协议，在 2021 年的一次黑客事件中损失了 300 万美元。

美国财政部外国资产控制办公室 (OFAC) 和司法部于 2022 年开始公布朝鲜试图渗透美国加密货币行业。CoinDesk 发现的证据表明，朝鲜 IT 工作者早在那之前就开始以虚假身份在加密货币公司工作，至少早在 2018 年。

“我认为，很多人都误以为这是突然发生的事情，”Manian说。“这些人的 GitHub 账户和其他东西可以追溯到 2016 年、2017 年、2018 年。”（GitHub 归微软所有，是许多软件组织用来托管代码并允许开发人员协作的在线平台。）

CoinDesk 使用各种方法将朝鲜 IT 工作者与公司联系起来，包括区块链支付记录、公开的 GitHub 代码贡献、美国政府官员的电子邮件以及直接对目标公司的采访。CoinDesk 调查的朝鲜最大的支付网络之一是由区块链调查员 ZachXBT 发现的，他在 8 月发布了一份疑似朝鲜开发者名单。

此前，雇主们因为担心不必要的曝光或法律后果而保持沉默。现在，面对 CoinDesk 挖掘出的大量付款记录和其他证据，他们中的许多人决定站出来，首次分享自己的故事，揭露朝鲜渗透加密货币行业的巨大成功和规模。

伪造文件

在雇佣了这位表面上是日本员工的 Ryuhei 之后，Rust 的 Truflation 收到了大量新申请。短短几个月内，Rust 又不知不觉地雇佣了四名朝鲜开发人员，他们自称分别驻扎在蒙特利尔、温哥华、休斯顿和新加坡。

加密行业特别容易受到朝鲜 IT 工作者的破坏。加密行业的劳动力分布非常全球化，与其他公司相比，加密公司往往更愿意雇佣完全远程（甚至是匿名）的开发人员。

CoinDesk 查看了加密货币公司从各种来源收到的朝鲜工作申请，包括 Telegram 和 Discord 等消息平台、Crypto Jobs List 等加密货币专用求职板以及 Indeed 等招聘网站。

“他们最有可能被雇佣的地方是那些真正新鲜的，新崛起的团队，他们愿意从Discord中雇佣，”加密钱包应用 MetaMask 的产品经理Taylor Monahan表示，他经常发布与朝鲜加密活动相关的安全研究。“他们没有制定流程来雇佣经过背景调查的人。他们很多时候都愿意用加密货币支付。”

Rust表示，他对 Truflation 所有新员工都进行了背景调查。“他们给我们寄来了护照和身份证，给了我们 GitHub 代码库，进行了测试，然后基本上我们就聘用了他们。”

一名申请人向加密货币公司 Truflation 提交了德克萨斯州驾照作为身份证明，目前该申请人被怀疑是朝鲜公民。CoinDesk 隐去了部分细节，因为朝鲜 IT 工作者曾使用偷来的身份证件。（图片由 Stefan Rust 提供）

在外行人看来，大多数伪造的文件与真正的护照和签证难以区分，但专家告诉 CoinDesk，专业的背景调查服务很可能会发现这些伪造的文件。

ZachXBT 确认的疑似朝鲜 IT 员工之一“Naoki Murano”向公司提供了一本看似真实的日本护照。（图片由 Taylor Monahan 提供）

尽管初创公司不太可能使用专业背景调查人员，但“我们确实在大公司看到朝鲜 IT 人员，要么是真正的员工，要么至少是承包商，”Monahan说。

隐藏在众目睽睽之下

在许多情况下，CoinDesk 发现朝鲜公司的 IT 工作者使用公开的区块链数据。

2021 年，区块链开发人员 Manian 的公司 Iqlusion 需要一些帮助。他寻找自由程序员，他们可能会帮助完成一个升级流行的 Cosmos Hub 区块链的项目。他找到了两名新员工；他们表现出色。

Manian 从未亲自见过自由职业者“Jun Kai”和“Sarawut Sanit”。他们之前曾合作过一个由密切关联的区块链网络 THORChain 资助的开源软件项目，他们告诉 Manian 他们在新加坡。

“一年来，我几乎每天都和他们交谈，”Manian 说。“他们完成了工作。坦率地说，我非常满意。”

在这些自由职业者完成工作两年后，Manian 收到了一封 FBI 特工的电子邮件，该特工正在调查似乎来自 Iqlusion 的代币转账，这些转账被转至疑似朝鲜加密钱包地址。涉案转账原来是 Iqlusion 向 Kai 和 Sanit 支付的款项。

左图：一名 FBI 特工（姓名已删除）要求 Zaki Manian 提供有关其公司 Iqlusion 的两笔区块链付款的信息。右图：Manian 告知特工，这些交易是在 Iqlusion 与多名承包商之间进行的。

FBI 从未向 Manian 证实他签约的开发人员是朝鲜特工，但 CoinDesk 对 Kai 和 Sanit 的区块链地址的审查显示，在 2021 年和 2022 年期间，他们将收入汇给了 OFAC 制裁名单上的两个人：Kim Sang Man和Sim Hyon Sop。

据 OFAC 称，Sim 是朝鲜光鲜银行的代表，该银行对 IT 工作者资金进行洗钱，以帮助“资助朝鲜的大规模杀伤性武器和弹道导弹计划”。Sarawut 似乎已将其所有收入汇入Sim 和其他与 Sim 关联的区块链钱包。

2022 年 4 月至 12 月的区块链记录显示，“Sarawut Sanit”将他所有的工资都发送到与 OFAC 批准的朝鲜特工 Sim Hyon Sop 关联的钱包中。（CoinDesk 跟踪的以太坊钱包选择。资产价格由 Arkham 估算。）

与此同时，Kai直接向Kim汇款近 800 万美元。根据2023 年 OFAC 咨询报告，Kim是朝鲜运营的 Chinyong 信息技术合作公司的代表，该公司“通过其控制的公司及其代表，雇佣了在俄罗斯和老挝工作的朝鲜 IT 工作者代表团。”

2021 年全年，“Jun Kai”直接向与Kim Sang Man有关的 OFAC 制裁名单上的区块链地址发送了价值 770 万美元的加密货币。（CoinDesk 跟踪的以太坊钱包选择。资产价格由 Arkham 估算。）

Iqlusion 给 Kai 的工资只占他给 Kim 的近 800 万美元中的不到 5 万美元，其余资金部分来自其他加密货币公司。

例如，CoinDesk 发现，开发广泛使用的 Fantom 区块链的 Fantom 基金会向“Jun Kai”和另一位与朝鲜有关的开发者支付了款项。

Fantom 基金会的一位发言人告诉 CoinDesk：“Fantom 确实确认有两名外部人员在 2021 年与朝鲜有牵连。然而，涉事开发人员参与了一个从未完成且从未部署过的外部项目。”

据 Fantom 基金会称，“涉事的两名员工已被解雇，他们从未贡献过任何恶意代码，也从未访问过 Fantom 的代码库，Fantom 的用户也没有受到影响。”发言人表示，一名朝鲜员工曾试图攻击 Fantom 的服务器，但由于缺乏必要的访问权限而失败。

根据OpenSanctions 数据库，Kim的与朝鲜有关的区块链地址直到 2023 年 5 月才被政府公布，这距离 Iqlusion 和 Fantom 付款已经过去了两年多。

给予回旋余地

美国和联合国分别于2016年和2017年对雇用朝鲜IT工人实施了制裁。

无论你是否知情，向在美国的朝鲜工人支付工资都是违法的——这一法律概念被称为“严格责任”。

公司所在地也并不重要：对于在对朝鲜实施制裁的国家开展业务的任何公司来说，雇用朝鲜工人都会带来法律风险。

然而，美国和其他联合国成员国尚未起诉雇用朝鲜 IT 工人的加密公司。

美国财政部对总部位于美国的 Iqlusion 展开了调查，但Manian表示调查结束时并未对其采取任何处罚措施。

美国当局对于对这些公司提起指控一直很宽容——某种程度上承认，这些公司最好的情况下是遭遇了一种异常复杂和老练的身份欺诈，或者在最坏的情况下，遭遇了一种最令人羞辱的长期骗局。

除了法律风险之外，MetaMask 的 Monahan 解释道，向朝鲜 IT 工作者支付工资也是“不好的，因为你支付工资的人基本上是被政权剥削的人”。

根据联合国安理会长达 615 页的报告，朝鲜 IT 工作者只能保留工资的一小部分。报告指出，“低收入者保留 10%，而高收入者可以保留 30%”。

虽然这些工资相对于朝鲜的平均水平来说可能仍然很高，但“我不在乎他们住在哪里，” Monahan说。“如果我付钱给某人，而他们却被迫将全部薪水寄给他们的老板，那会让我感到非常不舒服。如果他们的老板是朝鲜政权，那我会更不舒服。”

CoinDesk 在报道过程中联系了多名疑似朝鲜 IT 工作人员，但尚未得到回复。

未来

CoinDesk 通过分析 OFAC 制裁实体的区块链支付记录，确定了 20 多家可能雇用朝鲜 IT 员工的公司。12 家提交了相关记录的公司向 CoinDesk 证实，他们之前曾在工资单上发现疑似朝鲜 IT 员工。

一些人因担心法律后果而拒绝进一步评论，但其他人同意分享他们的故事，希望其他人可以从他们的经历中吸取教训。

在许多情况下，朝鲜雇员在被雇用后就更容易被识别。

专注于去中心化金融的项目 Injective 的首席执行官 Eric Chen 表示，他在 2020 年与一名自由开发人员签约，但很快就因表现不佳而解雇了他。

“他没干多久，” Chen 说。“他写的代码很差劲，效果也不好。”直到去年，当美国一家“政府机构”联系 Injective 时，Chen才知道这名员工与朝鲜有联系。

几家公司告诉 CoinDesk，他们在得知一名员工与朝鲜有任何联系之前就解雇了该员工 — — 理由是工作质量不达标。

“几个月的工资单”

不过，朝鲜 IT 工作者与典型的开发人员类似，其能力也各有不同。

Manian说，一方面，你会有一些员工“来到公司，通过面试程序，就赚了几个月的工资。”“还有另一方面，当你面试这些人时，你会发现他们的实际技术能力真的很强。”

Rust回忆说，在 Truflation 时曾遇到过“一位非常优秀的开发人员”，他自称来自温哥华，但后来发现他来自朝鲜。“他真的是一个年轻人，”Rust说。“感觉他刚从大学毕业。有点青涩，非常热衷，对能有机会工作感到非常兴奋。”

另一个例子是，DeFi初创公司 Cluster 在 ZachXBT 提供证据表明两名开发人员与朝鲜有联系后，于 8 月解雇了两名开发人员。

Cluster 的匿名创始人 z3n 告诉 CoinDesk：“这些人知道的东西真的太多了，真是令人难以置信。”回想起来，有一些“明显的危险信号”。例如，“他们每两周就会更改付款地址，每个月左右就会更改 Discord 名称或 Telegram 名称。”

网络摄像头关闭

在与 CoinDesk 的对话中，许多雇主表示，当他们得知自己的员工可能是朝鲜人时，他们注意到了一些异常情况，这更有意义了。

有时这些暗示很微妙，比如员工的工作时间与其应有的工作地点不符。

Truflation 等其他雇主注意到，员工可能由多人假扮成一个人，员工会通过关闭网络摄像头来隐藏这一情况。（他们几乎都是男性）。

一家公司雇佣了一名员工，她早上参加会议，但似乎会忘记当天晚些时候讨论的所有事情，而她之前明明已经和很多人交谈过，这一怪癖就更有意义了。

当 Rust 向一位有追踪犯罪支付网络经验的投资者表达他对“日本”员工 Ryuhei 的担忧时，这位投资者很快就确定了 Truflation 工资单上的另外四名疑似朝鲜 IT 工作人员。

“我们立即切断了联系，”Rust 表示，并补充说他的团队对其代码进行了安全审核，增强了背景检查流程并更改了某些政策。其中一项新政策是要求远程工作人员打开摄像头。

价值300万美元的黑客攻击

CoinDesk 咨询的许多雇主都错误地认为朝鲜 IT 工作者是独立于朝鲜的黑客部门运作，但区块链数据和与专家的对话表明，朝鲜的黑客活动和 IT 工作者经常联系在一起。

2021 年 9 月，Sushi 建立的用于发行加密代币的平台 MISO 在一次被盗事件中损失了 300 万美元。CoinDesk 发现证据表明，此次攻击与 Sushi 雇用两名开发人员有关，这些开发人员的区块链支付记录与朝鲜有关。

黑客攻击发生时，Sushi 是新兴DeFi领域最受关注的平台之一。SushiSwap 已存入超过 50 亿美元，该平台主要充当“去中心化交易所”，供人们在没有中介的情况下交易加密货币。

当时 Sushi 的首席技术官 Joseph Delong 将 MISO 盗窃案追溯到两名参与开发该平台的自由开发人员：他们使用了 Anthony Keller 和 Sava Grujic 的名字。Delong 表示，这些开发人员（他现在怀疑是同一个人或同一个组织）向 MISO 平台注入了恶意代码，将资金转移到他们控制的钱包中。

当Keller 和Grujic受雇于管理 Sushi 协议的去中心化自治组织 Sushi DAO 时，他们提供了对于入门级开发人员来说足够典型甚至令人印象深刻的凭证。

Keller 在公众面前使用化名“eratos1122”，但当他申请 MISO 工作时，他使用了看似是他真名的名字“Anthony Keller ”。在Delong与 CoinDesk 分享的简历中，凯勒声称自己居住在佐治亚州盖恩斯维尔，毕业于凤凰城大学，获得计算机工程学士学位。（该大学没有回应是否有同名毕业生的请求。）

“Anthony Keller”自称居住在佐治亚州盖恩斯维尔，他的简历中列出了他在流行的去中心化金融应用程序 Yearn 的工作经历。

Keller的简历中确实提到了之前的工作。其中最令人印象深刻的是 Yearn Finance，这是一个非常流行的加密投资协议，它为用户提供了一种通过一系列投资策略赚取利息的方式。Yearn 的核心开发人员Banteg证实，Keller曾参与开发 Coordinape，这是一款由 Yearn 开发的应用程序，旨在帮助团队协作和促进支付。（Banteg,说，Keller的工作仅限于 Coordinape，他无法访问 Yearn 的核心代码库。）

据Delong称，Keller将Grujic介绍给 MISO，两人自称是“朋友”。与Keller一样，Grujic提供的简历上写的是他的真实姓名，而不是他的网络笔名“AristoK3”。他自称来自塞尔维亚，毕业于贝尔格莱德大学，拥有计算机科学学士学位。他的 GitHub 帐户很活跃，简历上列出了他在几个较小的加密项目和游戏初创公司的工作经验。

在他的简历中，“Sava Grujic”列举了 5 年的编程经验，并声称他常驻在塞尔维亚的贝尔格莱德。

Rachel Chu 是 Sushi 的前核心开发人员，在盗窃事件发生前曾与 Keller 和 Grujic 密切合作，她表示在黑客攻击发生之前她就已经对这两人产生了“怀疑”。

尽管两人相距甚远，但Grujic和Keller “口音相同”且“发短信的方式相同”，Chu说。“每次我们通话时，他们都会有一些背景噪音，就像在工厂里一样，”她补充道。Chu回忆说，她见过Keller的脸，但从未见过Grujic的脸。据Chu说，Keller的相机“放大”了，所以她根本看不清他身后是什么。

Grujic和Keller最终在同一时间停止了对 MISO 的贡献。“我们认为他俩是同一个人，”Delong说，“所以我们停止向他们付钱。”当时正值 COVID-19 疫情最严重时期，远程加密货币开发人员假扮多人从工资单中赚取额外收入的情况并不罕见。

在Grujic和Keller于 2021 年夏天被解雇后，Sushi 团队忽视了撤销他们对 MISO 代码库的访问权限。

根据 CoinDesk 获得的一张截图，9 月 2 日，Grujic 以他的“Aristok3”网名向 MISO 平台提交了恶意代码，将 300 万美元转移到一个新的加密货币钱包。

“Sava Grujic” 使用化名 AristoK3 向 Sushi 的 MISO 提交了受污染的代码。（截图由 Joseph Delong 提供）

CoinDesk 对区块链支付记录的分析表明，Grujic、Keller和朝鲜之间可能存在联系。2021 年 3 月，Keller在一条现已删除的推文中发布了一个区块链地址。CoinDesk发现，该地址、Grujic的黑客地址和 Sushi 存档的Keller地址之间存在多笔付款。据 Delong 称，Sushi 的内部调查最终得出结论，该地址属于Keller。

2021 年至 2022 年期间，与Keller和Grujic绑定的区块链地址将大部分资金发送到与朝鲜关联的钱包。（CoinDesk 跟踪的以太坊钱包选择。资产价格由 Arkham 估算。）

CoinDesk 发现，该地址将大部分资金发送给了“Jun Kai”（Iqlusion 开发者，他向 OFAC 制裁的 Kim Sang Man 汇款）和另一个看似充当朝鲜代理的钱包（因为它也向 Kim 支付了费用）。

Sushi 的内部调查发现，Keller和Grujic经常使用俄罗斯的 IP 地址进行操作，这进一步证实了他们是朝鲜人的说法。OFAC 称，朝鲜的 IT 工作人员有时就驻扎在俄罗斯。（Keller简历上的美国电话号码已停用，他的“eratos1122”Github 和 Twitter 帐户也已被删除。）

此外，CoinDesk 还发现证据表明，Sushi在雇佣 Keller 和 Grujic 的同时还雇佣了另一名疑似朝鲜 IT 承包商。ZachXBT称这名开发人员为“Gary Lee”，他使用化名 LightFury 进行编码，并将收入汇给“Jun Kai”和另一个与 Kim 关联的代理地址。

从 2021 年到 2022 年，Sushi 还雇佣了另一名明显是朝鲜承包商的人，名叫“Gary Lee”。这名工人将自己 2021 年至 2022 年的收入汇入与朝鲜相关的区块链地址，包括 Iqlusion 的“Jun Kai”使用的钱包。（CoinDesk 跟踪的以太坊钱包选择。资产价格由 Arkham 估算。）

在 Sushi 公开将攻击归咎于 Keller 的假名“eratos1122”并威胁要让 FBI 介入后，Grujic归还了被盗资金。虽然朝鲜 IT 工作者会关心保护假身份似乎有悖常理，但朝鲜 IT 工作者似乎会重复使用某些名字，并通过为许多项目做出贡献来建立自己的声誉，或许是为了赢得未来雇主的信任。

有人可能认为，从长远来看，保护 Anthony Keller 这个别名更有利可图：2023 年，即Sushi事件发生两年后，一个名叫“Anthony Keller”的人向 Stefan Rust 的公司 Truflation 提出了申请。

Coindesk尝试联系“Anthony Keller”和“Sava Grujic”寻求评论，但没有成功。

朝鲜式抢劫

据联合国称，过去七年来，朝鲜通过黑客攻击窃取了超过 30 亿美元的加密货币。区块链分析公司 Chainalysis 在 2023 年上半年追踪到的黑客攻击中，有 15 起与朝鲜有关，“其中约有一半涉及 IT 工作者相关的盗窃”，该公司发言人 Madeleine Kennedy 表示。

朝鲜的网络攻击并不像好莱坞版的黑客攻击，穿着连帽衫的程序员利用复杂的计算机代码和黑绿色的计算机终端侵入大型机。

朝鲜式的攻击显然技术含量较低。它们通常涉及某种形式的社会工程学，攻击者赢得持有系统密钥的受害者的信任，然后通过恶意电子邮件链接等简单方式直接提取这些密钥。

Monahan说：“到目前为止，我们从未见过朝鲜实施真正的攻击。他们总是先进行社会工程攻击，然后入侵设备，最后窃取私钥。”

IT 工作者很适合为朝鲜的抢劫活动做出贡献，他们要么获取可用于破坏潜在目标的个人信息，要么直接访问充斥着数字现金的软件系统。

一系列巧合

9 月 25 日，在本文即将发表之际，CoinDesk 安排与 Truflation 的 Rust 进行视频通话。计划是核实他之前分享的一些细节。

慌乱的 Rust 迟到了 15 分钟才加入通话。他刚刚被黑客入侵了。

CoinDesk 联系了 20 多个似乎被骗雇佣朝鲜 IT 员工的项目。仅在采访的最后两周，其中两个项目就遭到黑客攻击：Truflation 和一款名为Delta Prime 的加密货币借贷应用程序。

目前判断这两起黑客事件是否与朝鲜 IT 员工的无意聘用有直接联系还为时过早。

9 月 16 日，Delta Prime首次遭到入侵。CoinDesk 此前发现了 Delta Prime 与Naoki Murano之间的付款和代码贡献，Naoki Murano是匿名区块链侦探 ZachXBT宣传的与朝鲜有关联的开发商之一。

该项目损失了 700 多万美元，官方解释是因为“私钥被泄露”。Delta Prime 没有回应多次置评请求。

不到两周后，Truflation 黑客攻击事件也随之而来。在与 CoinDesk 通话前大约两小时，Rust 注意到他的加密钱包中资金流出。他刚从新加坡出差回来，正在努力弄清楚自己做错了什么。“我就是不知道事情是怎么发生的，”他说。“我把我的笔记本都锁在酒店墙上的保险箱里。我一直带着手机。”

就在 Rust 发表讲话时，数百万美元正从他的个人区块链钱包中流出。“我的意思是，这真的很糟糕。这些钱是我孩子的学费和养老金。”

Truflation 和 Rust最终损失了约 500 万美元。官方认定损失的原因是私钥被盗。