El investigador en cadena ZachXBT interceptó pagos realizados directamente a trabajadores de TI de Corea del Norte. La nómina sugiere que más proyectos de criptomonedas están expuestos a posibles hackeos por parte de sus propios equipos, o errores y puertas traseras introducidas en contratos inteligentes.
Una nueva investigación de ZachXBT mostró nóminas significativas que aún llegan a trabajadores de TI descubiertos como agentes de la RPD de Corea. Los equipos del proyecto han contratado trabajadores de TI internacionales, a menudo encubiertos con perfiles falsos. Actualmente, una serie de perfiles están siendo expuestos por infiltrarse en proyectos de blockchain, Web3 y DeFi.
ZachXBT descubrió $16.58M en pagos desde enero de 2025, señalando cientos de trabajos en proyectos de criptomonedas.
1/ Mi reciente investigación descubrió más de $16.58M en pagos desde el 1 de enero de 2025, o $2.76M por mes, que se han enviado a trabajadores de TI de Corea del Norte contratados como desarrolladores en varios proyectos y empresas.
Para poner esto en perspectiva, los pagos oscilan entre $3K-8K por mes, lo que significa… pic.twitter.com/pjHZG9wJ4r
— ZachXBT (@zachxbt) 2 de julio de 2025
Las direcciones interceptadas y las nóminas sugieren que algunos de los trabajadores de TI han utilizado identidades disfrazadas y ubicaciones falsas. La reciente revelación de billeteras e identidades adicionales llegó después de que el Departamento de Justicia de EE. UU. reprimiera un reciente esquema de TI dirigido a empresas estadounidenses.
Los riesgos involucran el robo de criptomonedas, ataques contra tokens, drenaje de liquidez, además de exponer y robar información sensible.
Los descubrimientos de ZachXBT también siguen al reciente doxxing de trabajadores de TI de la RPD de Corea, que resultaron ser creadores de tokens de memes muy activos o se unieron a equipos existentes de tokens de memes. Otras investigaciones involucran intentos de presentarse como ingenieros civiles o incluso buscar roles como diseñadores de interiores. Los equipos falsos a menudo utilizan IA como herramienta de investigación y para disfrazar su identidad.
Los equipos de TI de Corea del Norte fueron expuestos en investigaciones voluntarias.
Para algunos, los hackers norcoreanos en equipos de criptomonedas siguen siendo una teoría de conspiración. La mayoría de los descubrimientos recientes están vinculados a esfuerzos de OSINT y seguimiento y doxxing en la vida real.
ZachXBT también agrega monitoreo de billeteras, a menudo vinculando a trabajadores de TI conocidos con perfiles prominentes en redes sociales basados en sus conexiones de billetera con clústeres de billeteras de hackers norcoreanos conocidos. ZachXBT advirtió que los trabajadores de TI de Corea del Norte también están infiltrándose en empresas tecnológicas tradicionales, pero los proyectos de criptomonedas a menudo permiten un seguimiento más fácil, especialmente si sus nóminas están en la cadena.
Por ahora, ZachXBT no ha anunciado los nombres de los proyectos de criptomonedas que fueron más afectados por los hackers. Anteriormente, incluso protocolos establecidos como Waves han informado sobre contratos inteligentes comprometidos debido a la contratación de trabajadores de TI no verificados.
Los trabajadores de TI de Corea del Norte también se hacen pasar por influencers de criptomonedas.
A principios de junio, los investigadores también señalaron varios influencers de criptomonedas de alto perfil vinculados a proyectos de memes y NFT más antiguos que también estaban conectados a clústeres de billeteras sospechosos. Algunas de las direcciones observadas por ZachXBT también fueron marcadas como conectadas al proyecto NFT Favvr.
Los hackers de la RPD de Corea a menudo no permanecen mucho tiempo en los proyectos, pero su participación es arriesgada incluso con una breve estancia. Los hackers de la RPD de Corea pueden tener múltiples roles en los proyectos, incluyendo acceso a billeteras multi-firma u otras responsabilidades clave. Dado que los proyectos de criptomonedas solo realizan auditorías cada pocos meses o años, algunas plataformas DeFi, tokens de memes y otras aplicaciones pueden tener riesgos ocultos para explotaciones.
ZachXBT también señala que los hackers son en su mayoría atraídos por MEXC, así como por intercambios con sede en EE. UU., incluidos Robinhood y Coinbase. Binance, uno de los mercados más utilizados, ahora es inadecuado, ya que tiene un historial de congelar fondos y ayudar a las autoridades a interceptar cuentas sospechosas. Los trabajadores de TI de Corea del Norte a menudo recurren a USDC, aunque tratan de ocultar las transacciones ya que la stablecoin puede ser congelada.
Tus noticias sobre criptomonedas merecen atención - KEY Difference Wire te coloca en más de 250 sitios principales
