Βορειοκορεάτες προγραμματιστές εργάστηκαν κρυφά σε δεκάδες εταιρείες κρυπτονομισμάτων για τουλάχιστον επτά χρόνια, σύμφωνα με αναλύτρια κυβερνοασφάλειας. Η ομάδα Lazarus, που συνδέεται με το βορειοκορεατικό κράτος, έχει κλέψει εκτιμώμενα 7 δισεκατομμύρια δολάρια σε κρυπτονομίσματα από το 2017. Το φαινόμενο αφορά και Έλληνες επενδυτές που τοποθετούν χρήματα σε διεθνείς πλατφόρμες DeFi.
Για επτά τουλάχιστον χρόνια, Βορειοκορεάτες προγραμματιστές κατάφεραν να εισχωρήσουν σε εταιρείες και πλατφόρμες κρυπτονομισμάτων, εργαζόμενοι κανονικά στην ανάπτυξη πρωτοκόλλων που σήμερα χρησιμοποιούν εκατομμύρια επενδυτές παγκοσμίως. Αυτό υποστηρίζει η Taylor Monahan, αναλύτρια κυβερνοασφάλειας και προγραμματίστρια στο MetaMask, ένα από τα πιο γνωστά ψηφιακά πορτοφόλια κρυπτονομισμάτων.
Σύμφωνα με την Monahan, τουλάχιστον 40 πλατφόρμες αποκεντρωμένης χρηματοδότησης — γνωστές στον χώρο ως DeFi, δηλαδή χρηματοοικονομικές υπηρεσίες που λειτουργούν χωρίς τράπεζες ή κεντρικούς μεσάζοντες — έχουν φιλοξενήσει στις ομάδες τους Βορειοκορεάτες εργαζόμενους. Μάλιστα, η ίδια σημειώνει ότι η «επταετής εμπειρία στην ανάπτυξη blockchain» που εμφανίζεται στα βιογραφικά τους δεν είναι ψέμα — απλώς δεν αποκαλύπτει για ποιον εργάζονταν πραγματικά.
Πίσω από αυτές τις διεισδύσεις βρίσκεται κατά κύριο λόγο η ομάδα Lazarus, ένα σύνολο κυβερνοεγκληματιών που χρηματοδοτείται από το βορειοκορεατικό κράτος. Από το 2017 έως σήμερα, η ομάδα αυτή έχει αποσπάσει εκτιμώμενα 7 δισεκατομμύρια δολάρια σε κρυπτονομίσματα μέσα από στοχευμένες επιθέσεις. Στον κατάλογο των θυμάτων συγκαταλέγονται μεγάλα ονόματα του χώρου: η παραβίαση του Ronin Bridge το 2022 με απώλειες 625 εκατομμυρίων δολαρίων, η επίθεση στο WazirX το 2024 με 235 εκατομμύρια δολάρια, και η πιο πρόσφατη υπόθεση Bybit το 2025, όπου κλάπηκαν 1,4 δισεκατομμύρια δολάρια.
Η τελευταία μεγάλη υπόθεση που έφερε ξανά το θέμα στο προσκήνιο είναι η επίθεση κατά του Drift Protocol, μιας πλατφόρμας συναλλαγών, με απώλειες 280 εκατομμυρίων δολαρίων. Η εταιρεία ανέφερε ότι η επίθεση δεν έγινε απευθείας από Βορειοκορεάτες, αλλά μέσω τρίτων προσώπων με πλαστές ταυτότητες — πλήρως κατασκευασμένα προφίλ με ιστορικό εργασίας, επαγγελματικά διαπιστευτήρια και παρουσία στα κοινωνικά δίκτυα. Με άλλα λόγια, η Lazarus δεν στέλνει πλέον μόνο Βορειοκορεάτες — χρησιμοποιεί και άλλους ανθρώπους για να κάνει τη βρώμικη δουλειά πρόσωπο με πρόσωπο.
Ο Tim Ahhl, ιδρυτής μιας πλατφόρμας συναλλαγών βασισμένης στο δίκτυο Solana, περιέγραψε πώς σε προηγούμενη δουλειά του συνέντευξαν έναν υποψήφιο που αποδείχθηκε ότι ήταν πράκτορας της Lazarus. Ο υποψήφιος συμμετείχε σε βιντεοκλήσεις, ήταν εξαιρετικά καταρτισμένος, αλλά αρνήθηκε να εμφανιστεί αυτοπροσώπως. Αργότερα το όνομά του εντοπίστηκε σε διαρροή δεδομένων που συνέδεε άτομα με τη Lazarus.
Ο γνωστός αναλυτής κυβερνοασφάλειας ZachXBT επισήμανε ότι οι απειλές μέσω αγγελιών εργασίας, LinkedIn, email ή βιντεοκλήσεων δεν είναι τεχνολογικά εξελιγμένες. Αυτό που τις κάνει επικίνδυνες είναι η επιμονή και ο όγκος τους. «Αν εσύ ή η ομάδα σου εξακολουθεί να πέφτει σε αυτές τις παγίδες το 2026, τότε υπάρχει σοβαρό πρόβλημα αμέλειας», σχολίασε χαρακτηριστικά.
Για όποιον επενδύει σε κρυπτονομίσματα μέσω διεθνών πλατφορμών, το μήνυμα είναι σαφές: η ασφάλεια μιας πλατφόρμας δεν εξαρτάται μόνο από την τεχνολογία της, αλλά και από το ποιους έχει προσλάβει. Οι αμερικανικές αρχές διαθέτουν ήδη εργαλεία ελέγχου για επιχειρήσεις που θέλουν να επαληθεύουν αν συνεργάτες ή υποψήφιοι εργαζόμενοι εμπίπτουν σε κυρώσεις. Η πρόληψη, σε αυτή την περίπτωση, είναι πολύ φθηνότερη από τη ζημιά.
