Проєкт Ketman, який одержав грант у межах програми ETH Rangers, за пів року виявив сотню північнокорейських IT-спеціалістів, що працювали в криптофірмах під фальшивими ідентичностями.
Програма ETH Rangers завершилася, і результати вражають: повернуто більше $5,8 млн, повідомлено про 785+ недоліків, ідентифіковано 100+ агентів КНДР та багато іншого.
Децентралізований захист для децентралізованої мережі.
Читайте повний звіт
— EF Ecosystem Support Program (@EF_ESP) April 16, 2026
Організація Ethereum Foundation оприлюднила доповідь щодо програми ETH Rangers — ініціативи, започаткованої наприкінці 2024 року для фінансування незалежних дослідників, котрі займаються безпекою екосистеми.
Один із грантоотримувачів використав кошти на створення проєкту Ketman, що спеціалізується на виявленні «фальшивих девелоперів» у криптогалузі. Дослідники зосередилися на операціях, що фінансуються КНДР.
Північнокорейські IT-спеціалісти роками наймаються у Web3-компанії під вигаданими іменами, одержують платню та одночасно здійснюють збір інформації й можливий доступ до інфраструктури проєктів. За наймасштабнішими операціями стоїть угруповання Lazarus Group.
За шість місяців роботи команда Ketman зафіксувала 100 операторів КНДР, котрі активно працювали всередині Web3-організацій, і повідомила 53 проєкти про вірогідну наявність у їхніх штатах діючих агентів.
Відповідно до матеріалів, представлених на сайті Ketman, експерти покладалися на виявлені риси «тактики, поведінки та оперативні моделі», властиві північнокорейським IT-операторам, зокрема:
- повторне використання аватарів і метаданих профілю на декількох акаунтах GitHub під різними іменами;
- ненавмисне розкриття не пов’язаних адрес електронної пошти під час спільного використання екрана на дзвінках;
- встановлення системної мови за умовчанням, що не відповідає заявленому громадянству;
- специфічні поведінкові патерни в комунікації та нетипові години роботи для вказаного часового поясу.
Детально методологію ідентифікації агентів КНДР у проєкті та Ethereum Foundation не розголосили.
Окрім слідчої діяльності, у Ketman розробили інструмент з відкритим кодом для автоматизованого виявлення підозрілої діяльності на GitHub. Також спільно з некомерційною організацією Security Alliance створено галузевий стандарт верифікації — фреймворк для ідентифікації IT-працівників КНДР під час найму.
«Ця робота безпосередньо усуває одну з найбільш актуальних загроз операційній безпеці, з якими сьогодні стикається екосистема Ethereum», — зазначено у звіті Ethereum Foundation за підсумками ETH Rangers.
У межах ініціативи загалом фонд підтримав 17 грантоотримувачів. Їхня діяльність охоплювала широкий спектр: від дослідження вразливостей та інструментів безпеки до освіти, аналізу загроз і реагування на інциденти.
Нагадаємо, 1 квітня DeFi-платформа Drift Protocol на базі Solana зазнала злому на $280 млн. За висновками команди проєкту та експертів із кібербезпеки, за атакою стоять хакери з КНДР.