Проєкт Ketman, що отримав фінансову підтримку в рамках програми ETH Rangers, за пів року виявив сотню північнокорейських IT-спеціалістів, які працювали в криптокомпаніях під чужими іменами.
Програма ETH Rangers завершилася, і результати вражають: повернуто понад $5,8 млн, зафіксовано понад 785 вразливостей, ідентифіковано понад 100 оперативників КНДР та інше.
Децентралізований захист для децентралізованої мережі.
Перегляньте повний звіт
— EF Ecosystem Support Program (@EF_ESP) April 16, 2026
Організація Ethereum Foundation опублікувала доповідь про програму ETH Rangers — ініціативу, започатковану наприкінці 2024 року для підтримки незалежних дослідників, які займаються охороною екосистеми.
Один із лауреатів стипендії направив ресурси на створення проєкту Ketman, що спеціалізується на виявленні «фальшивих розробників» у криптосфері. Дослідники зосередилися на активностях, що фінансуються КНДР.
Північнокорейські IT-спеціалісти вже тривалий час влаштовуються у Web3-компанії під вигаданими ідентичностями, одержують винагороду та водночас здійснюють збір інформації та можливий доступ до інфраструктури проєктів. За найбільш значними операціями стоїть угруповання Lazarus Group.
За пів року роботи команда Ketman зафіксувала 100 агентів КНДР, які активно працювали всередині Web3-організацій, і повідомила 53 проєкти про вірогідну присутність у їхніх штатах активних агентів.
Відповідно до матеріалів, оприлюднених на вебсайті Ketman, експерти спиралися на виявлені особливості «тактики, манери поведінки та оперативні методи», властиві північнокорейським IT-агентам, зокрема:
- повторне використання аватарів і метаданих профілю на декількох акаунтах GitHub під різними іменами;
- випадкове розголошення не пов’язаних адрес електронної пошти під час демонстрації екрана на дзвінках;
- встановлення системної мови за замовчуванням, що суперечить вказаному громадянству;
- характерні поведінкові патерни у спілкуванні та нетиповий час роботи для позначеного часового поясу.
Детально методологію ідентифікації агентів КНДР у проєкті та Ethereum Foundation не розголосили.
На додаток до розслідувальної роботи, у Ketman створили інструмент з відкритим кодом для автоматизованого виявлення підозрілої активності на GitHub. Також разом із некомерційною організацією Security Alliance розроблено галузевий стандарт перевірки — фреймворк для розпізнавання IT-працівників КНДР під час найму.
«Ця робота безпосередньо усуває одну з найбільш серйозних загроз операційній безпеці, з якими сьогодні стикається екосистема Ethereum», — вказано у звіті Ethereum Foundation за результатами ETH Rangers.
В рамках ініціативи загалом фонд підтримав 17 стипендіатів. Їхня діяльність охоплювала широкий спектр: від дослідження вразливостей і інструментів безпеки до навчання, аналізу загроз і реагування на інциденти.
Нагадаємо, 1 квітня DeFi-платформа Drift Protocol на базі Solana зазнала атаки на $280 млн. За висновками команди проєкту та фахівців із кібербезпеки, за нападом стоять хакери з КНДР.