Внутрішня кухня північнокорейських хакерів: CryptoQuant зафіксував візит з IP з КНДР
Аналітична платформа CryptoQuant зафіксувала незвичну активність: візит користувача, чия IP-адреса належить Північній Кореї. Ця подія, про яку сервіс повідомив у своєму акаунті, проливає світло на те, якими інструментами та даними цікавляться хакери з КНДР, і дозволяє зробити важливі висновки про структуру їхніх операцій.
Деталі візиту: що шукав «користувач» із КНДР?
Згідно з опублікованими скріншотами з системи аналітики Amplitude, візит мав цілком конкретні параметри. Користувач перейшов на сторінку з метрикою Bitcoin: MVRV Ratio через пошук Google. Його операційна система — Mac OS X, а країна — Північна Корея.
Автор допису припустив, що за цим візитом стоять не пересічні громадяни, а представники вищого керівництва країни, які тепер особисто цікавляться ончейн-аналітикою. Якщо ця гіпотеза вірна, це означає, що інтерес до ринкових метрик проявляється на найвищому рівні.
Чому це саме хакери, а не звичайні громадяни?
Доступ до всесвітньої мережі в Північній Кореї — це привілей, а не право. Інтернет у країні жорстко контролюється і доступний в основному тим, хто пов'язаний з державними, військовими або дипломатичними структурами. Саме тому візит з північнокорейського IP з високою ймовірністю вказує на державного агента, а не на випадкового користувача.
Сам по собі одиничний візит не дозволяє встановити особу користувача і не підтверджує прямий зв'язок з державними структурами. Визначення країни за IP-адресою вказує лише на точку виходу в мережу, а не на конкретну людину.
MVRV Ratio: що це і навіщо він хакерам?
MVRV Ratio (Market Value to Realized Value) — це ключова метрика, яка зіставляє ринкову капіталізацію активу з його реалізованою капіталізацією. Вона використовується для оцінки того, наскільки біткоїн переоцінений або недооцінений відносно середньої ціни придбання монет.
Навіщо ця метрика знадобилася північнокорейському користувачеві — невідомо. Однак сам факт інтересу до ончейн-аналітики з боку представників КНДР свідчить про високий рівень їхньої підготовки та розуміння ринку.
Криптовалюта та КНДР: контекст загрози
Увагу до цього допису посилює контекст. КНДР регулярно фігурує у звітах блокчейн-аналітиків у зв'язку з активністю криптохакерів. За поширеною серед дослідників версією, кібероперації приносять закритій і підсанкційній країні кошти, які складно отримати легальними способами. Цифрові активи стали важливим економічним ресурсом для Пхеньяна.
З Пхеньяном пов'язують низку угруповань, найвідоміше з яких — Lazarus Group. Їм приписують найбільші в історії криптокрадіжки, включаючи виведення понад $600 млн з мережі Ronin (Axie Infinity) у 2022 році та злом біржі Coincheck на суму близько $534 млн у 2018 році. Сама влада Північної Кореї причетність до подібних атак заперечує.
Експертна думка Cryptalist: Фіксація візиту з IP з КНДР на платформу ончейн-аналітики — це не просто курйоз. Це прямий доказ того, що північнокорейські хакери переходять від простого моніторингу до глибокого аналізу ринкових метрик. Це означає, що їхні стратегії стають більш витонченими та адаптивними до ринкових умов. Ігнорувати цей факт — значить недооцінювати загрозу. Ринку варто готуватися до більш складних і продуманих атак з боку цієї групи.