Das Ethereum Foundation-Programm ETH Rangers hat im Rahmen einer sechsmonatigen Untersuchung etwa 100 nordkoreanische IT-Arbeiter identifiziert, die unter falschen Identitäten in Web3-Unternehmen infiltriert sind.
Die Ethereum Foundation hat im Rahmen ihres ETH Rangers-Sicherheitsprogramms gemeinsam mit unabhängigen Forschern ein Programm zur Aufdeckung von Bedrohungen gestartet, das im April 2026 seine Ergebnisse veröffentlichte. Dabei ging es nicht um klassische Bug-Bounty-Arbeit, sondern um eine systematische Analyse von Einstellungsprozessen und Online-Aktivitäten, um nordkoreanische IT-Arbeiter zu identifizieren, die sich falsche Identitäten zu Eigen machten, um in Web3-Unternehmen einzudringen.
Die Untersuchung, die von der Ketman Project-Einheit im Auftrag des ETH Rangers-Programms durchgeführt wurde, erstreckte sich über sechs Monate und beinhaltete die Analyse von Bewerbungsprofilen, Gitternutzungsmustern und Kommunikationsverhalten. Dabei wurden Anomalien wie inkonsistente Arbeitsverläufe, ungewöhnliche Zeitzonenaktivitäten und Zahlungsströme durch Vermittler erkannt. Diese Methoden ermöglichten es, etwa 100 Personen zu identifizieren, die laut Analysten mit staatlich geförderten Netzwerken aus Nordkorea verbunden sind.
Die Ergebnisse zeigen, dass die Bedrohungslage sich von früheren Angriffsmustern deutlich verändert hat. Statt isolierter Hackerangriffe oder Remote-Exploits konzentrieren sich nordkoreanische Akteure zunehmend auf eine langfristige Integration in Unternehmen, um Zugang zu internen Systemen, Codebasen und sensiblen Daten zu erlangen. Dies ermöglicht nicht nur die Generierung von Einnahmen durch legale Beschäftigung, sondern auch die Vorbereitung auf zukünftige Angriffswellen.
Ein prominentes Beispiel ist der Hack des DeFi-Protokolls Drift im April 2026, bei dem nordkoreanische Gruppen einen Schaden von 285 Millionen Dollar verursachten. Dieser Vorfall unterstreicht die direkte Verbindung zwischen der Identifizierung von Operativen und der Prävention oder Analyse von Cyberangriffen. Zudem wurden durch das ETH Rangers-Programm ingesamt über 5,8 Millionen Dollar an geschädigten Mitteln eingefroren und mehr als 785 Sicherheitslücken gemeldet.
Die Identifizierung von 100 nordkoreanischen IT-Arbeitern ist kein isolierter Erfolg, sondern Teil eines umfassenderen Bemühens, die Sicherheitsarchitektur von Web3 zu stärken. Durch die Kombination von offener Quellcode-Analyse, Incident-Response und der Entwicklung von Tools zur Erkennung verdächtiger Git-Nutzung trägt das Programm dazu bei, strukturelle Schwächen im Bereich der digitalen Beschäftigung zu adressieren. Dies könnte langfristig zu strengeren Prüfverfahren bei der Einstellung in Krypto-Unternehmen führen.
Die Ethereum Foundation betont, dass die Ergebnisse nicht nur für die eigene Ökosystem-Sicherheit, sondern auch als Vorbild für andere Blockchain-Projekte dienen sollen. Die Zusammenarbeit mit unabhängigen Forschern und die Veröffentlichung von Open-Source-Tools wie einem Verdachtsmelder für verdächtige GitHub-Konten zeigen, dass dezentrale Netzwerke auch dezentrale Verteidigungsstrategien benötigen, um sich vor staatlich unterstützten Bedrohungen zu schützen.
