Kyberbezpečnostní komunita znovu upozorňuje na dlouhodobou a systematickou infiltraci kryptoměnového sektoru ze strany pracovníků napojených na Severní Koreu. Podle bezpečnostní výzkumnice Taylor Monahan se tito lidé nejméně sedm let zapojují do vývoje decentralizovaných finančních protokolů a působí přímo uvnitř známých projektů.
Zjištění přichází v době, kdy trh řeší další velký bezpečnostní incident a kdy se stále častěji ukazuje, že riziko už nespočívá jen v technických zranitelnostech kódu, ale také v lidském faktoru. Útoky přes falešné identity, pracovní pohovory a důvěryhodně vystupující zprostředkovatele se stávají důležitou součástí hrozeb pro DeFi sektor.
Vývoj DeFi podle výzkumníků ovlivňovali i lidé z KLDR
Taylor Monahan, vývojářka spojená s MetaMask a známá bezpečnostní analytička, uvedla, že severokorejští IT pracovníci byli součástí kryptofirem a DeFi projektů už od období takzvaného DeFi summer. Podle jejích slov nejde o ojedinělé případy, ale o dlouhodobý trend, který mohl zasáhnout desítky protokolů. Tvrdí, že minimálně 40 platforem decentralizovaných financí mělo v určité fázi svého fungování mezi spolupracovníky či vývojáři osoby napojené na KLDR.
Monahan zároveň zdůraznila, že životopisy těchto lidí často nepůsobí podezřele právě proto, že část jejich zkušeností může být reálná. Pokud někdo uváděl sedm let zkušeností s blockchainovým vývojem, podle ní to nemusí být smyšlenka. Právě dlouhodobé budování odborného profilu zvyšuje důvěryhodnost těchto pracovníků a komplikuje jejich odhalení. To je pro kryptosektor mimořádně citlivé, protože mnoho projektů funguje globálně, vzdáleně a s vysokou mírou otevřenosti vůči externím talentům.
Lazarus Group a miliardové škody v kryptoměnách
Na severokorejské operace v kryptoměnovém prostoru se dlouhodobě váže jméno Lazarus Group, tedy hackerského uskupení spojovaného s režimem v Pchjongjangu. Podle analytiků ze sítě R3ACH má tato skupina od roku 2017 stát za krádežemi kryptoměn v odhadované hodnotě 7 miliard dolarů. Jde o číslo, které z Lazarus dělá jednoho z nejvýznamnějších aktérů v oblasti státem podporované kyberkriminality.
Skupina byla v minulosti spojována s několika nejznámějšími útoky v odvětví. Patří mezi ně například exploit Ronin Bridge z roku 2022 se škodou 625 milionů dolarů, hack burzy WazirX v roce 2024 za 235 milionů dolarů nebo útok na Bybit v roce 2025, kde škoda dosáhla 1,4 miliardy dolarů. Tyto incidenty ukazují, že nejde pouze o izolované pokusy menších útočníků, ale o rozsáhlou a dlouhodobě řízenou operaci.
Podezření po útoku na Drift Protocol
Aktuální varování získalo na síle krátce poté, co Drift Protocol uvedl, že má středně vysokou až vysokou míru jistoty, že nedávný exploit za 280 milionů dolarů provedla skupina napojená na severokorejský stát. Tato informace znovu otevřela debatu o tom, jak hluboko mohou podobné sítě pronikat do kryptoprojektů a jak dlouho si dokážou připravovat půdu před samotným útokem.
Pozdější analýza incidentu ze strany Drift Protocol naznačila, že příprava útoku trvala měsíce a nebyla improvizovaná. Projekt ve své zprávě uvedl, že schůzky tváří v tvář, které nakonec vedly k exploitu, neprobíhaly přímo se severokorejskými občany. Místo toho měli vystupovat zprostředkovatelé třetích stran s pečlivě vystavěnými identitami, pracovní historií, veřejně dohledatelnými profesními profily a kontaktní sítí.
Právě tento detail je pro celý sektor mimořádně důležitý. Naznačuje totiž, že útočníci nemusí spoléhat jen na přímé nasazení vlastních lidí, ale mohou využívat i další spolupracovníky, kteří působí navenek zcela legitimně. Takový model výrazně ztěžuje klasické prověřování zaměstnanců, dodavatelů i obchodních partnerů.
Falešné nábory a pracovní pohovory jako vstupní brána
Své zkušenosti zveřejnili i lidé z oboru. Tim Ahhl, zakladatel Titan Exchange, což je agregátor decentralizovaných burz na Solaně, uvedl, že v předchozím zaměstnání vedli pohovor s člověkem, který se později ukázal jako operativce Lazarus. Kandidát podle něj absolvoval videohovory, působil velmi kvalifikovaně a po odborné stránce nevzbuzoval pochybnosti.
Podezření přišlo až ve chvíli, kdy odmítl osobní setkání. Následně se jeho jméno mělo objevit v úniku informací spojovaném s Lazarus. Tento případ dobře ilustruje, jak obtížné je podobné aktéry odhalit v prostředí, kde je vzdálený nábor běžnou praxí a kde kvalitní technické dovednosti často převažují nad důsledným bezpečnostním screenováním. DeFi projekty a kryptofirmy tak čelí riziku, že si samy otevřou dveře lidem, kteří později pomohou s útokem nebo interním průzkumem systému.
Americký Úřad pro kontrolu zahraničních aktiv, známý jako OFAC, proto nabízí databázi sankcionovaných subjektů, kterou mohou kryptofirmy využívat při prověřování protistran. Kromě kontroly seznamů je ale důležité sledovat i širší vzorce chování, které mohou odpovídat podvodům s falešnými IT pracovníky. Samotná shoda jména totiž v mnoha případech nestačí.
Podle ZachXBT nejsou všechny hrozby stejně sofistikované
Známý blockchainový vyšetřovatel ZachXBT upozornil, že pod označení Lazarus Group se často shrnují různí státem podporovaní severokorejští kybernetičtí aktéři, přestože úroveň jejich schopností a použitých metod se může výrazně lišit. Podle něj je chybou házet všechny útoky do jednoho pytle, protože tím může vznikat zkreslený obraz o tom, jaké typy rizik firmy skutečně řeší.
ZachXBT dodal, že útoky vedené přes pracovní nabídky, LinkedIn, e-mail, Zoom nebo pohovory jsou v zásadě poměrně základní a samy o sobě nejsou nijak mimořádně sofistikované. Jejich síla podle něj spočívá hlavně v neúnavnosti a opakování. Pokud na podobné techniky firmy či jejich zaměstnanci stále naletí i v roce 2026, jde podle něj spíše o selhání interní disciplíny a bezpečnostních procesů než o neporazitelnou útočnou technologii.
Tento pohled je pro sektor důležitý, protože ukazuje rozdíl mezi dvěma úrovněmi hrozeb. Na jedné straně stojí sociální inženýrství a infiltrace přes nábor, na druhé straně vysoce připravené operace využívající kombinaci lidského přístupu, falešných identit a technického útoku. Firmy, které podcení už první vrstvu obrany, se pak snadno stanou cílem i mnohem závažnějších incidentů.
Co to znamená pro kryptofirmy a DeFi projekty
Zveřejněná tvrzení znovu připomínají, že bezpečnost v kryptoměnovém průmyslu není jen otázkou auditu smart kontraktů a ochrany privátních klíčů. Neméně důležité je řízení přístupových práv, důsledné prověřování lidí, kontrola externích dodavatelů a jasně nastavené procesy při náboru. To platí dvojnásob pro decentralizované projekty, které často fungují napříč jurisdikcemi a spoléhají na vzdálenou spolupráci.
Praktickým krokem může být víceúrovňové ověřování identity, povinné osobní nebo důkladně ověřené videopohovory, kontrola digitální stopy kandidátů a omezení přístupu nových spolupracovníků k citlivým systémům. Stejně důležité je oddělení rolí, princip minimálních oprávnění a průběžný monitoring neobvyklého chování. Pokud se potvrdí, že severokorejští pracovníci působili ve více než čtyřech desítkách DeFi projektů, jde o varování pro celé odvětví, nikoli jen pro několik nešťastných obětí.
Kryptoměnový sektor si dlouho zakládal na otevřenosti, rychlosti a globálním talentu. Právě tyto vlastnosti se ale mohou stát slabinou, pokud je nedoprovází profesionální bezpečnostní kultura. Současná zjištění tak nejsou jen zprávou o Severní Koreji, ale i připomínkou, že v prostředí digitálních financí je důvěra cenná jen tehdy, když je systematicky ověřována.
