加密货币公司Truflation在2023年仍处于早期阶段，当时创始人Stefan Rust在不知情的情况下雇佣了他的第一位朝鲜员工。

“我们一直在寻找优秀的开发者，”Rust在瑞士的家中说道。突然间，“这位开发者联系了我们。”

“Ryuhei”通过Telegram发送了他的简历，并声称他在日本。很快，他被雇佣后，奇怪的不一致开始浮现。

“有一次，我在和这个家伙通话，他说他遇到了地震，”Rust回忆道。可是在日本最近并没有地震。然后这位员工开始错过电话，当他出现时，“那不是他，”Rust说。“是其他人。”无论是谁，都没有了日本口音。

Rust很快了解到，“Ryuhei”和其他四名员工——超过他整个团队的三分之一——都是朝鲜人。Rust在不知情的情况下，成为了朝鲜为其人民争取远程海外工作的协调计划的受害者，并将收入汇回平壤。

美国当局最近加大了警告力度，称朝鲜的信息技术（IT）工人正在渗透科技公司，包括加密货币雇主，并利用收益资助这个被孤立国家的核武器计划。根据一份2024年联合国报告，这些IT工人为金正恩政权每年带来高达6亿美元的收入。

雇佣和支付这些工人——即使是无意的——违反了联合国制裁，并在美国和许多其他国家是非法的。这也带来了严重的安全风险，因为已知朝鲜黑客通过隐秘的工人针对公司。

CoinDesk的调查现在揭示了朝鲜求职者如何积极且频繁地针对加密货币公司——成功通过面试，顺利通过背景调查，甚至在开源软件库GitHub上展示令人印象深刻的代码贡献历史。

CoinDesk与十多家加密货币公司进行了交谈，这些公司表示他们无意中雇佣了来自朝鲜民主主义人民共和国（DPRK）的IT工人。

与创始人、区块链研究人员和行业专家的访谈显示，朝鲜IT工人在加密行业的普遍程度远超之前的想象。几乎每位CoinDesk为此故事接触的招聘经理都承认，他们曾面试过疑似朝鲜开发者，无意中雇佣了他们，或知道有人这样做过。

“你收到的简历，或者求职者，或者想要贡献的人——这些可能来自朝鲜的比例在整个加密行业中超过50%，”著名区块链开发者Zaki Manian说，他表示自己在2021年无意中雇佣了两名DPRK IT工人来帮助开发Cosmos Hub区块链。“每个人都在努力筛选这些人。”

CoinDesk识别出的无意中雇佣DPRK员工的雇主中，有几个知名的区块链项目，如Cosmos Hub、Injective、ZeroLend、Fantom、Sushi和Yearn Finance。“这一切都在幕后进行，”Manian说。

这项调查标志着这些公司首次公开承认他们无意中雇佣了DPRK IT工人。

在许多情况下，朝鲜工人的工作方式与典型员工相似；因此，从某种意义上说，雇主大多得到了他们所支付的。但CoinDesk发现证据表明，这些工人随后将工资转移到与朝鲜政府相关的区块链地址。

CoinDesk的调查还揭示了几个案例，其中雇佣DPRK IT工人的加密项目后来成为黑客攻击的受害者。在其中一些案例中，CoinDesk能够将这些盗窃事件直接与公司工资单上的疑似DPRK IT工人联系起来。Sushi就是一个例子，这个知名的去中心化金融协议在2021年的一次黑客事件中损失了300万美元。

美国财政部外国资产控制办公室（OFAC）和司法部开始公开宣传朝鲜试图渗透美国加密行业的行为，时间是在2022年。CoinDesk发现证据表明，DPRK IT工人早在2018年之前就开始以假身份在加密公司工作。

“我认为很多人误以为这是突然发生的新事物，”Manian说。“这些人的GitHub账户和其他东西可以追溯到2016年、2017年、2018年。”（GitHub是微软拥有的在线平台，许多软件组织用来托管代码并允许开发者协作。）

CoinDesk通过多种方法将DPRK IT工人与公司联系起来，包括区块链支付记录、公共GitHub代码贡献、美国政府官员的电子邮件以及与目标公司的直接访谈。CoinDesk调查的一个最大的朝鲜支付网络是由区块链调查员ZachXBT发现的，他在8月发布了一份疑似DPRK开发者的名单。

之前，雇主因担心不必要的公众关注或法律后果而保持沉默。现在，面对CoinDesk挖掘出的广泛支付记录和其他证据，许多雇主决定首次站出来分享他们的故事，揭示朝鲜渗透加密行业的成功和规模之大。

在雇佣了表面上是日本员工的Ryuhei后，Rust的Truflation收到了大量新申请者。在短短几个月内，Rust无意中雇佣了四名声称在蒙特利尔、温哥华、休斯顿和新加坡的DPRK开发者。

加密行业特别容易受到朝鲜IT工人的破坏。该行业的劳动力特别全球化，加密公司往往比其他公司更愿意雇佣完全远程——甚至匿名的——开发者。

CoinDesk审查了加密公司从各种来源收到的DPRK求职申请，包括Telegram和Discord等消息平台、Crypto Jobs List等加密专用招聘网站，以及Indeed等招聘网站。

“他们最容易被雇佣的地方是那些非常新、刚起步的团队，这些团队愿意通过Discord招聘，”加密钱包应用MetaMask的产品经理Taylor Monahan说，他经常发布与朝鲜加密活动相关的安全研究。“他们没有建立背景调查的招聘流程。很多时候，他们愿意用加密货币支付。”

Rust表示，他对Truflation所有新员工进行了自己的背景调查。“他们给我们发送了护照和身份证，提供了GitHub仓库，经过了测试，然后基本上我们就雇佣了他们。”

对于未经训练的眼睛来说，大多数伪造文件看起来与真实护照和签证无异，尽管专家告诉CoinDesk，他们可能会被专业的背景调查服务发现。

尽管初创公司不太可能使用专业的背景调查服务，“我们确实在大公司中看到朝鲜IT工人，无论是作为真正的员工还是至少作为承包商，”Monahan说。

在许多情况下，CoinDesk通过公开可用的区块链数据发现了DPRK IT工人在公司工作的证据。

在2021年，区块链开发者Manian在他的公司Iqlusion需要一些帮助。他寻找能够帮助升级流行的Cosmos Hub区块链的自由职业编码员。他找到了两名招聘者，他们的表现相当出色。

Manian从未与这两名自由职业者“Jun Kai”和“Sarawut Sanit”见过面。他们之前在一个由THORChain资助的开源软件项目上合作过，并告诉Manian他们位于新加坡。

“我几乎每天都和他们交谈了一年，”Manian说。“他们完成了工作。坦率地说，我非常满意。”

在自由职业者完成工作两年后，Manian收到了来自FBI特工的电子邮件，调查似乎来自Iqlusion并前往疑似朝鲜加密钱包地址的代币转移。相关转移最终被确认是Iqlusion对Kai和Sanit的支付。

FBI从未向Manian确认他所雇佣的开发者是DPRK的代理，但CoinDesk对Kai和Sanit的区块链地址的审查显示，在2021年和2022年，他们将收入转移给了OFAC制裁名单上的两个人：Kim Sang Man和Sim Hyon Sop。

根据OFAC的说法，Sim是Kwangson Banking Corp的代表，这是一家朝鲜银行，洗钱IT工人的资金以帮助“资助DPRK的WMD和弹道导弹计划。”Sarawut似乎将他所有的收入都转移给了Sim和其他与Sim相关的区块链钱包。

与此同时，Kai直接将近800万美元转移给Kim。根据2023年OFAC的建议，Kim是朝鲜运营的Chinyong信息技术合作公司的代表，该公司“通过其控制的公司及其代表，雇佣在俄罗斯和老挝工作的DPRK IT工人代表团。”

Iqlusion支付给Kai的工资不到他发送给Kim的近800万美元中的5万美元，剩余的一些资金来自其他加密公司。

例如，CoinDesk发现Fantom基金会（开发广泛使用的Fantom区块链）向“Jun Kai”和另一名与DPRK相关的开发者支付了款项。

“Fantom确实在2021年识别出两名外部人员与朝鲜有关，”Fantom基金会的一位发言人告诉CoinDesk。“然而，相关开发者参与的外部项目从未完成，也从未部署。”

根据Fantom基金会的说法，“这两名相关人员已被解雇，从未贡献任何恶意代码，也从未接触Fantom的代码库，Fantom的用户没有受到影响。”发言人表示，其中一名DPRK工人试图攻击Fantom的服务器，但由于缺乏必要的访问权限而失败。

根据OpenSanctions数据库，Kim与DPRK相关的区块链地址直到2023年5月才被任何政府公布——这比Iqlusion和Fantom进行支付的时间晚了两年多。

美国和联合国分别在2016年和2017年对雇佣DPRK IT工人实施了制裁。

在美国，无论你是否知道这样做都是非法的，支付朝鲜工人被称为“严格责任”的法律概念。

公司所在的位置也并不重要：雇佣来自DPRK的工人可能会给在对朝鲜实施制裁的国家开展业务的任何公司带来法律风险。

然而，美国和其他联合国成员国尚未起诉任何加密公司雇佣朝鲜IT工人。

美国财政部对总部位于美国的Iqlusion展开了调查，但Manian表示调查在没有任何处罚的情况下结束。

美国当局在对这些公司提起指控时态度宽松——在某种程度上承认它们充其量是身份欺诈的受害者，最糟糕的情况则是遭遇了最令人羞辱的长期骗局。

除了法律风险，支付DPRK IT工人也是“不好的，因为你在支付那些基本上被政权剥削的人，”MetaMask的Monahan解释道。

根据联合国安全理事会的615页报告，DPRK IT工人只保留他们工资的一小部分。“低收入者保留10%，而高收入者可能保留30%，”报告指出。

虽然这些工资相对于朝鲜的平均水平可能仍然较高，但Monahan表示：“我不在乎他们住在哪里。如果我在支付某人，而他们实际上被迫将整个工资寄给他们的老板，那会让我感到非常不舒服。如果他们的老板是朝鲜政权，那会让我更加不舒服。”

在报道过程中，CoinDesk联系了多名疑似DPRK IT工人，但没有收到回复。

CoinDesk通过分析向OFAC制裁实体的区块链支付记录，识别出超过两打可能雇佣DPRK IT工人的公司。12家公司在提供记录后向CoinDesk确认，它们之前发现过疑似DPRK IT工人在其工资单上。

一些公司因担心法律后果而拒绝进一步评论，但其他公司同意分享他们的故事，希望其他人能从他们的经历中学习。

在许多情况下，DPRK员工在被雇佣后更容易被识别。

Injective的首席执行官Eric Chen表示，他在2020年雇佣了一名自由职业开发者，但因其表现不佳迅速解雇了他。

“他没待多久，”Chen说。“他写的代码很糟糕，效果不好。”直到去年，美国的一个“政府机构”联系了Injective，Chen才得知这名员工与朝鲜有关。

几家公司告诉CoinDesk，在甚至不知道与DPRK有任何联系的情况下就解雇了一名员工——比如，因工作质量不达标。

然而，DPRK IT工人与典型开发者相似，他们的能力可能各不相同。

一方面，你会遇到那些“出现在面试中，顺利通过面试过程，然后在工资单上混几个月的员工，”Manian说。“另一方面，你也会遇到这些人，当你面试他们时，他们的实际技术能力非常强。”

Rust回忆起在Truflation有“一位非常优秀的开发者”，他声称来自温哥华，但实际上来自朝鲜。“他真的很年轻，”Rust说。“感觉他刚从大学毕业。有点稚嫩，非常热衷，真的很兴奋能参与这个机会。”

在另一个例子中，去中心化金融初创公司Cluster在8月解雇了两名开发者，此前ZachXBT提供了他们与DPRK有关的证据。

“这些家伙知道的事情真是疯狂，”Cluster的匿名创始人z3n告诉CoinDesk。回想起来，有一些“明显的红旗”。例如，“他们每两周就更改一次支付地址，每个月左右就会更改一次他们的Discord名称或Telegram名称。”

在与CoinDesk的对话中，许多雇主表示，他们注意到了一些异常情况，当他们得知员工可能是朝鲜人时，这些情况变得更有意义。

有时这些线索很微妙，比如员工的工作时间与他们所声称的工作地点不匹配。

其他雇主，比如Truflation，注意到员工可能是多个假装成单一个体的人——员工会试图通过关闭摄像头来掩盖这一点。（他们几乎总是男性）。

有一家公司雇佣了一名员工，他早上参加会议，但似乎会忘记当天稍后的讨论内容——当雇主意识到她与多个不同的人交谈时，这一怪癖变得更有意义。

当Rust将他对“日本”员工Ryuhei的担忧告诉一位有追踪犯罪支付网络经验的投资者时，投资者迅速识别出Truflation工资单上的另外四名疑似DPRK IT工人。

“我们立即切断了联系，”Rust说，并补充说他的团队对其代码进行了安全审计，增强了背景调查流程，并更改了某些政策。一项新政策是要求远程工作者打开摄像头。

许多CoinDesk咨询的雇主错误地认为DPRK IT工人独立于朝鲜的黑客部门，但区块链数据和与专家的对话表明，政权的黑客活动与IT工人经常是相互关联的。

在2021年9月，Sushi为推出加密代币而建立的平台MISO在一次广为报道的盗窃事件中损失了300万美元。CoinDesk发现证据表明，这次攻击与Sushi雇佣的两名与朝鲜有关的开发者的区块链支付记录有关。

在黑客攻击发生时，Sushi是新兴去中心化金融（DeFi）世界中最受关注的平台之一。超过50亿美元已存入SushiSwap，该平台主要作为一个“去中心化交易所”，供人们在没有中介的情况下进行加密货币之间的交换。

当时Sushi的首席技术官Joseph Delong追踪到MISO盗窃事件的两名自由开发者，他们帮助构建了该平台：使用Anthony Keller和Sava Grujic名字的个人。Delong表示，这些开发者——他现在怀疑是同一个人或组织——在MISO平台中注入了恶意代码，将资金重定向到他们控制的钱包。

当Keller和Grujic被Sushi DAO（治理Sushi协议的去中心化自治组织）雇佣时，他们提供的凭证看起来相当典型——甚至令人印象深刻——适合初级开发者。

Keller在公开场合使用化名“eratos1122”，但在申请MISO的工作时，他使用了看似真实的名字“Anthony Keller”。在Delong与CoinDesk分享的简历中，Keller声称居住在乔治亚州的盖恩斯维尔，并从凤凰城大学获得计算机工程学士学位。（该大学未回应确认是否有该名字的毕业生的请求。）

Keller的简历中包含了对之前工作的真实参考。其中最令人印象深刻的是Yearn Finance，这是一个极受欢迎的加密投资协议，为用户提供了一种通过多种预设投资策略赚取利息的方式。Yearn的核心开发者Banteg确认Keller参与了Coordinape的开发，这是Yearn为帮助团队协作和促进支付而构建的应用。（Banteg表示Keller的工作仅限于Coordinape，他没有访问Yearn核心代码库的权限。）

Keller将Grujic推荐给MISO，Delong表示两人自称是“朋友”。与Keller一样，Grujic也提供了一份以他所谓真实名字而非在线化名“AristoK3”的简历。他声称来自塞尔维亚，并毕业于贝尔格莱德大学，获得计算机科学学士学位。他的GitHub账户活跃，简历中列出了他在几个较小的加密项目和游戏初创公司的经验。

Rachel Chu，Sushi的前核心开发者，在盗窃事件发生前与Keller和Grujic密切合作，她表示在任何黑客攻击发生之前，她已经对这对组合“产生了怀疑”。

尽管声称彼此相隔遥远，Grujic和Keller却“有着相同的口音”和“相同的发短信方式，”Chu说。“每次我们交谈时，他们都会有一些背景噪音，就像他们在工厂里，”她补充道。Chu回忆起见过Keller的面孔，但从未见过Grujic的。根据Chu的说法，Keller的摄像头“放大了”，以至于她无法看清他身后的东西。

Keller和Grujic最终在同一时间停止了对MISO的贡献。“我们认为Anthony和Sava是同一个人，”Delong说，“所以我们停止支付他们。”这正值COVID-19疫情的高峰期，远程加密开发者假装成多个人以从工资中提取额外资金并不罕见。

在2021年夏季解雇Keller和Grujic后，Sushi团队未能撤销他们对MISO代码库的访问权限。

在9月2日，Grujic在他的“Aristok3”屏幕名称下向MISO平台提交了恶意代码，将300万美元重定向到一个新的加密货币钱包，基于CoinDesk提供的截图。

CoinDesk对区块链支付记录的分析表明Keller、Grujic与北朝鲜之间可能存在联系。在2021年3月，Keller在一条现已删除的推文中发布了一个区块链地址。CoinDesk发现了多个支付在这个地址、Grujic的黑客地址以及Sushi为Keller记录的地址之间。根据Delong的说法，Sushi的内部调查最终得出结论，该地址属于Keller。

CoinDesk发现，该地址大部分资金发送给了“Jun Kai”（向美国财政部外国资产控制办公室（OFAC）制裁的金相满汇款的Iqlusion开发者）和另一个似乎作为DPRK代理的钱包（因为它也向金汇款）。

进一步支持Keller和Grujic是北朝鲜人的理论，Sushi的内部调查发现这对组合经常使用位于俄罗斯的IP地址进行操作，而OFAC表示北朝鲜的DPRK IT工作人员有时就位于那里。（Keller简历上的美国电话号码已停用，他的“eratos1122” GitHub和Twitter账户已被删除。）

此外，CoinDesk发现证据表明Sushi在Keller和Grujic同时雇佣了另一名疑似DPRK IT承包商。这名开发者被ZachXBT识别为“Gary Lee”，以化名LightFury进行编码，并将他的收入转移给“Jun Kai”和另一个与金相关的代理地址。

在Sushi公开将攻击归咎于Keller的化名“eratos1122”并威胁要涉及FBI后，Grujic归还了被盗资金。虽然这似乎与一个DPRK IT工作人员保护虚假身份的直觉相悖，但DPRK IT工作人员似乎会重复使用某些名字，并通过参与多个项目逐渐建立声誉，也许这是为了在未来的雇主面前赢得信誉。

有人可能决定保护Anthony Keller这个别名在长远来看更有利可图：在2023年，Sushi事件发生两年后，有人名为“Anthony Keller”申请了Stefan Rust的公司Truflation。

尝试联系“Anthony Keller”和“Sava Grujic”以获取评论未果。

根据联合国的说法，北朝鲜在过去七年中通过黑客攻击窃取了超过30亿美元的加密货币。在区块链分析公司Chainalysis在2023年上半年追踪到的与DPRK相关的黑客攻击中，“大约一半涉及IT工作人员相关的盗窃，”该公司的发言人Madeleine Kennedy表示。

北朝鲜的网络攻击往往与好莱坞版本的黑客行为不同，后者是穿着连帽衫的程序员使用复杂的计算机代码和黑绿相间的计算机终端入侵主机。

朝鲜民主主义人民共和国（DPRK）风格的攻击显然技术含量较低。它们通常涉及某种形式的社会工程，攻击者通过获得持有系统密钥的受害者的信任，然后通过简单的恶意电子邮件链接直接提取这些密钥。

“到目前为止，我们从未见过DPRK进行真正的利用，”Monahan说。“它总是：社会工程，然后妥协设备，然后妥协私钥。”

IT工作人员非常适合参与DPRK的盗窃行动，既可以提取可能用于破坏潜在目标的个人信息，也可以直接访问充满数字现金的软件系统。

在这篇文章即将发布的9月25日，CoinDesk与Truflation的Rust安排了一次视频通话。计划是核实他之前分享的一些细节。

一位慌乱的Rust迟到了15分钟才加入通话。他刚刚被黑客攻击。

CoinDesk联系了二十多个看似被欺骗雇佣DPRK IT工作人员的项目。在最后两周的报道中，仅这两个项目就遭到了黑客攻击：Truflation和一个名为Delta Prime的加密借贷应用。

现在还为时已晚，无法确定这两次黑客攻击是否与无意中雇佣DPRK IT工作人员直接相关。

Delta Prime 首先遭到攻击，发生在9月16日。CoinDesk之前发现了支付记录和代码贡献将Delta Prime与DPRK相关的开发者Naoki Murano联系起来，这位开发者被化名区块链侦探ZachXBT公开。

该项目损失超过700万美元，官方原因是“私钥被泄露。”Delta Prime未对多次评论请求作出回应。

Truflation的黑客攻击在不到两周后发生。Rust在与CoinDesk的通话前大约两个小时注意到资金从他的加密钱包中流出。他刚从新加坡的旅行中回到家，正在努力弄清楚自己做错了什么。“我真的不知道这是怎么发生的，”他说。“我把笔记本都锁在酒店墙壁里的保险箱里。我整个时间都带着手机。”

在他讲话时，数百万美元正从Rust的个人区块链钱包中流出。“我的意思是，这真的很糟糕。这是我孩子的学费；养老金费用。”

Truflation和Rust最终损失约500万美元。官方原因是私钥被盗。

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。