Проект Ketman: Как 100 северокорейских оперативников проникли в Web3
Сто северокорейских оперативников. Пятьдесят три криптопроекта. Шесть месяцев кропотливой разведывательной работы — и неутешительный вывод: самая опасная атака КНДР на Web3 — это не очередной эксплойт, а инженер, который уже внедрил код в вашу ветку main в прошлом квартале.
Таков основной результат проекта Ketman — инициативы, поддерживаемой Ethereum Foundation и реализуемой в рамках программы безопасности ETH Rangers. Раскрытие данных в апреле 2026 года описывает не хакерскую атаку. Оно описывает рабочую силу — долгосрочный кадровый канал, который незаметно выкачивал доходы КНДР из крипто-зарплат, одновр�еменно обеспечивая тот вид инсайдерского доступа, который делает возможными такие события, как кража 1,5 миллиарда долларов у Bybit.
Для индустрии, привыкшей считать риски со стороны КНДР чем-то, что происходит на уровне мультисигов, это качественный сдвиг. Угроза больше не звучит как «они взломают нас». Она звучит как «они уже внутри, и они сами написали скрипт сборки».
От налётов к зарплате
Годами публичным лицом северокорейской криптопреступности были эксплойты: Ronin, Atomic Wallet, WazirX и длинный шлейф атак на мосты, приписываемых Lazarus Group. Цифры ошеломляют — по оценкам Chainalysis, в одном только 2025 году субъекты, связанные с КНДР, украли около 2,02 миллиарда долларов, что на 51% больше, чем в предыдущем году. Это довело совокупный объем краж до более чем 6,75 миллиарда долларов, несмотря на то, что количество известных атак сократилось на 74%. Выплаты больше, попыток меньше.
Инцидент с Bybit в феврале 2025 года — 1,5 миллиарда долла�ров в ETH, выведенных через скомпрометированный интерфейс Safe Wallet, в который был загружен вредоносный JavaScript с компьютера разработчика, — стал наглядной демонстрацией того, к чему всё идет. Это не было ошибкой в смарт-контракте. Это была компрометация цепочки поставок. Кто-то где-то в верхах процесса разработки имел доступ, которого у него не должно было быть.
Вклад проекта Ketman заключается в картировании трудовой стороны этой экономики. В ходе шестимесячного расследования было выявлено около 100 отдельных ИТ-работников КНДР, действовавших внутри Web3-организаций, и уведомлено около 53 затронутых проектов. Многие из этих оперативников были внедрены на месяцы, а в некоторых случаях и на годы, занимая должности от контрактных инженеров до комьюнити-лидов с расширенным доступом к репозиториям.
Если предположить консервативную зарплату в 150 000 долларов в год на одного оперативника, то только поток заработной платы составляет около 15 миллионов долларов в год — скромная статья расходов по сравнению с одним ограблением Lazarus, но структурно иной поток доходов. Он регулярный. Он предварительно финансируется компаниями-жертвами. И он оплачивает доступ, который делает ограбления возможными.
Что делает Ketman особенным
Предыдущие разоблачения деятельности КНДР в Web3 — Munchables (62 миллиона долларов в 2024 году), инциденты с подрядчиками Sushi и компрометация Axie Infinity / Ronin — носили в основном реактивный характер. Протокол взламывали. Следователи распутывали нить. Появлялась закономерность.
Ketman инвертирует рабочий процесс. Вместо того чтобы отслеживать путь от инцидента к оперативнику, проект сначала выявил самих оперативников, а затем перешел к проектам, с которыми они взаимодействовали. Методология, хотя и не является полностью публичной, опирается на набор методов, которые сообщество ончейн-криминалистики совершенствует со времени отчета CrowdStrike о КНДР за 2024 год:
- Кластеризация связанных кошельков. Зарплаты, выплачиваемые в стейблкоинах, со временем консолидируются. Как только вы находит�е один кошелек в кластере доходов КНДР, вы находите и остальные.
- Анализ часовых поясов коммитов. Разработчик, утверждающий, что живет в Лиссабоне, но делающий коммиты только в рабочее время Пхеньяна, по статистике, находится не в Лиссабоне.
- Сопоставление паттернов OPSEC. Повторяющиеся аватары в учетных записях GitHub, настройки русского языка по умолчанию в IDE «японского» инженера, случайные утечки электронной почты во время демонстрации экрана — мелкие ошибки, которые складываются в высокоточную идентификацию.
- Криминалистическая экспертиза документов. Ketman выявил поддельные японские удостоверения личности как особо распространенный вектор для найма удаленных инженеров в криптофирмы.
Результатом стало то, чего не смогли добиться рекомендации ФБР по ИТ-работникам 2024 года и санкции OFAC в марте 2026 года: список людей, которые в данный момент трудоустроены, пишут код и которых там быть не должно.
Цепочка поставок теперь является поверхностью атаки
Вот часть, которая должна лишить сна технических директоров (CTO). Оперативнику, находящемуся в штате девять месяцев, не нужно ничего взламывать. Ему нужно подождать, а затем нажать merge.
Векторы атак непримечательны и хорошо известны любому, кто читал отчеты об инцидентах за последние три года:
- Пакет npm, незаметно переопубликованный с вредоносным скриптом post-install.
- GitHub Action с полномочиями более широкими, чем кто-либо проверял.
- Базовый образ Docker, обновленный до версии с одним дополнительным слоем.
- «Безвредная» UI-зависимость, которая отслеживает определенную структуру транзакции и переписывает её.
Атака на Bybit была доказательством концепции в масштабе: скомпрометированная среда разработки, внедренная полезная нагрузка в интерфейсе кошелька, подписанты, одобряющие то, что выглядело как легитимная транзакция. Произошла ли эта конкретн�ая компрометация по вине инсайдера из КНДР или внешнего подрядчика, подвергшегося фишингу, — вопрос спорный, но архитектура атаки — терпеливая, направленная на цепочку поставок и срабатывающая только в момент максимальной выгоды — это и есть сценарий, который подразумевают выводы Ketman в масштабах всей индустрии.
Когда вы нанимаете оперативника на год, вы не платите ему 150 000 долларов. Вы платите ему за один клик через шесть месяцев в транзакции, стоимость которой в десять тысяч раз больше.
Почему Ethereum Foundation финансирует наступательные операции
Наиболее поразительным институциональным сигналом в раскрытии данных Ketman является не количество сотрудников. Это сам спонсор.
Ethereum Foundation исторически направлял гранты на исследования протоколов, разнообразие клиентов, обществ�енные блага и инструменты для разработчиков. Финансирование того, что фактически является операцией наступательной разведки — оплата услуг исследователей, выявляющих конкретных лиц, связанных с подсанкционным государством, и последующее предупреждение частных компаний — это заметное расширение определения «общественного блага».
ETH Rangers, более широкая программа, в которую входит Ketman, отчитывается по метрикам, которые скорее ожидаешь увидеть от фирмы по кибербезопасности, чем от фонда: 17 финансируемых исследователей, 5,8 млн долларов возвращенных или замороженных похищенных средств, более 785 отслеженных уязвимостей, 36 реагирований на инциденты. Это центр управления безопасностью, замаскированный под программу грантов.
Подразумевается, что теперь фонд рассматривает оборонительную информационную безопасность как аналог разнообразия клиентов — проблему координации, которую не может решить ни один протокол в отдельности и которую экосистема должна финансировать независимо от того, указано ли это в дорожной карте. Учитывая, что субъекты из КНДР суммарно украли более 6,75 млрд долларов и эта сумма продолжает расти, с такой постановкой вопроса трудно спорить.
Что протоколы должны внедрить прямо сейчас
Если вы управляете, финансируете или участвуете в проекте Web3, раскрытие Ketman превращает расплывчатую угрозу в немедленный операционный контрольный список. Ни один из этих пунктов не является экзотикой. Скандал заключается в том, что они до сих пор не стали повсеместными.
Знай своего сотрудника (KYE), а не только клиента (KYC). Проверка по санкционным спискам на уровне кошельков — это базовый минимум. Проверка на уровне платежных ведомостей — прогон каждого адреса для выплат подрядчикам через списки кластеров OFAC — пока нет, но должна быть. 45-дневный цикл отмывания средств после кражи, который последовательно использует КНДР, означает, что даже ретроспективные совпадения кошельков имеют ценность.
Проверяйте личность с пристрастием, особенно при удаленном найме. Видеоинтервью в прямом эфире с использованием нескольких каналов связи. Тщательная проверка документов, исходя из того, что удостоверения личности Японии, Кореи и Восточной Европы являются наиболее вероятными целями для подделки. Активный поиск артефактов дипфейков, созданных ИИ, во время звонков. «Тест на Ким Чен Ына» — прямые вопросы о режиме КНДР, на которые настоящий оперативник будет заметно затрудняться ответить на камеру, — имеет более высокий процент успеха, чем следовало бы.
Относитесь к своему конвейеру CI/CD как к казначейству. Подписание кода для релизов. Воспроизводимые сборки. Обязательная проверка двумя людьми любых изменений в GitHub Actions, скриптах развертывания или манифестах зависимостей. Фиксация версий. Аудит транзитивных зависимостей. Атака на Bybit произошла потому, что у кого-то где-то был доступ на запись в интерфейс (UI), которому доверяли подписанты.
Изолируйте операции с административными ключами. Если один взломанный ноутбук разработчика может привести к потере 1,5 млрд долларов, значит, модель угроз неверна. Аппаратно-изолированные потоки подписи, обнаружение «слепой подписи» (blind-signing) и симуляция транзакций перед подписанием — это не паранойя, а цена ведения бизнеса в масштабе.
Предполагайте, что злоумышленник уже внутри. Выводы Ketman заключаются в том, что как минимум для 53 проектов это было правдой. Глубокая эшелонированная оборона означает проектирование системы так, будто каждый коммит может быть враждебным, а каждый подрядчик — подставным лицом, а затем обеспечение выживаемости системы при таком сценарии.
Тихая война — это настоящая война
Обеспечение соблюдения санкций гонится за громкими событиями. Назначение OFAC в марте 2026 года в отношении шести физических лиц и двух организаций, связанных с мошенничеством ИТ-работников из КНДР — схем, которые принесли режиму почти 800 млн долларов только в 2024 году, — стало значимым шагом. Как и 5,8 млн долларов, которые ETH Rangers помогли вернуть. И то, и другое необходимо.
Но вклад проекта Ketman заключается в утверждении, что громкие события — Bybit, Ronin, Munchables — являются следствием более тихого процесса. Инфильтрация — это сама кампания. Эксплойт — это просто момент выплаты.
Для Web3 это означает, что периметр безопасности сместился. Он больше не находится на границе смарт-контракта или интерфейса кошелька. Он находится на этапе подачи заявки на работу, коммита в GitHub, публикации в npm. И цена притворства в обратном теперь исчисляется миллиардами в год.
Протоколы, которые выживут в следующем десятилетии, — это те, что осознают суровую истину: в индустрии, где код — это деньги, а удаленная работа — норма по умолчанию, ваша воронка найма является вашей поверхностью атаки.
BlockEden.xyz управляет инфраструктурой RPC и индексации производственного уровня для Sui, Aptos, Ethereum, Solana и десятка других сетей — инфраструктурой, в которой целостность цепочки поставок, подписанные релизы и изолированные операции с ключами не являются опциональными. Изучите наш маркетплейс API, чтобы строить на базе инфраструктуры, разработанной с учетом моделей угроз, с которыми индустрия сталкивается на самом деле.