Сліди північнокорейських хакерів: CryptoQuant зафіксував візит з IP з КНДР та розкрив їхні аналітичні інструменти
Аналітична платформа CryptoQuant зафіксувала незвичну активність: візит користувача з IP-адресою, що належить Північній Кореї. Цей інцидент проливає світло на те, якими інструментами та даними цікавляться хакери з КНДР, відомі своєю активністю на криптовалютному ринку. У дописі на платформі X (раніше Twitter) були опубліковані деталі цього візиту, які красномовно свідчать про професійний рівень користувачів.
Деталі візиту: MVRV Ratio та Mac OS X
Згідно зі скріншотом із системи аналітики Amplitude, користувач перейшов на сторінку CryptoQuant із пошуку Google, шукаючи дані за метрикою MVRV Ratio (Market Value to Realized Value). Заголовок сторінки — «Bitcoin: MVRV Ratio», операційна система — Mac OS X, а країна — Північна Корея. Автор спостереження припустив, що ончейн-аналітикою тепер можуть займатися наближені до вищого керівництва країни. Це припущення не безпідставне, враховуючи жорстку ізоляцію інтернету в КНДР.
Доступ до всесвітньої мережі в Північній Кореї — привілей обраних. Ним володіють переважно особи, пов'язані з державними, посольськими або військовими структурами. Саме тому візит із північнокорейської IP-адреси з високою ймовірністю вказує на державного агента, а не на пересічного громадянина. Користувач шукав MVRV Ratio — метрику, яка порівнює ринкову капіталізацію активу з реалізованою та використовується для оцінки переоціненості або недооціненості біткоїна відносно середньої ціни придбання монет. Навіщо вона знадобилася північнокорейцю — залишається загадкою, але контекст говорить сам за себе.
Криптовалюта та КНДР: контекст загрози
Зв'язок Північної Кореї з криптохакерськими угрупованнями — не новина. Пхеньян регулярно фігурує у звітах блокчейн-аналітиків у зв'язку з активністю таких груп, як Lazarus Group. Їм приписують найбільші в історії криптокрадіжки, включаючи виведення понад $600 млн із мережі Ronin (Axie Infinity) у 2022 році та злом біржі Coincheck на суму близько $534 млн у 2018 році. За поширеною версією, кібероперації приносять закритій та підсанкційній країні кошти, які складно отримати легальними способами. Цифрові активи стали важливим економічним ресурсом для Пхеньяна.
Думка експерта: Одиничний візит з IP-адреси з КНДР не дозволяє встановити особу користувача та безпосередньо підтверджує лише точку виходу в мережу, а не конкретну людину. Однак сам факт інтересу до ончейн-метрик, особливо до такого складного інструменту, як MVRV Ratio, з боку представника країни, чий інтернет-доступ жорстко контролюється, — це потужний сигнал. Це вказує на те, що північнокорейські хакери не просто крадуть активи, а й активно вивчають ринкову аналітику, щоб розуміти, коли і як краще їх реалізовувати, не обрушивши ринок. Ринку варто бути готовим до того, що великі рухи з боку КНДР можуть бути не лише хаотичними скиданнями, а й розрахованими діями.