
Quelle est l'expérience de passer un entretien pour un poste d'ingénieur blockchain avec des "hackers nord-coréens" ?
TechFlow SélectionTechFlow Sélection

Quelle est l'expérience de passer un entretien pour un poste d'ingénieur blockchain avec des "hackers nord-coréens" ?
Nous devons rester perspicaces.
Quelle est l'expérience de rencontrer un ingénieur suspecté d'être un « pirate nord-coréen » lors d'un entretien ?
Jonwu, membre de l'équipe du protocole de confidentialité aztecnetwork, a quelque chose à dire : il a justement rencontré un tel candidat. L'entretien lui a semblé à la fois hilarant et effrayant, surtout à cause d'une phrase écrite par le candidat : « le monde verra de grands résultats grâce à mes mains » (the world will see the great result from my hands). Cette phrase l'a complètement déstabilisé — qui parle comme ça en temps normal ? Depuis, Jonwu l’a ajoutée à sa biographie Twitter. Haha.
Récit de Jonwu :
Tout d’abord, nous recrutons chez aztecnetwork. Nous avons reçu via @Greenhouse une candidature intitulée « Bobby Sierra - Solidity Engineer ».
Après examen interne, le système m’a attribué un entretien en ligne.
J’ai rapidement parcouru son CV.
Nom : Bobby Sierra
Poste visé : Ingénieur Solidity
Lieu : Ontario
Langues : Anglais et un peu de chinoisExpérience : F2pool, avec quelques projets DAO et NFT mentionnés sur le CV.
Retenez bien cela, ça aura son importance plus tard.
Puis j’ai lu sa lettre de motivation, qui commence par : « Je suis un développeur blockchain avec plus de 6 ans d'expérience approfondie. »
Ensuite, une série d’affirmations floues, du genre auto-promotion générique. Bon, on peut comprendre — tout le monde ne sait pas rédiger une lettre de motivation.
Mais voilà qu’à la fin, il écrit : « Le monde verra de grands résultats grâce à mes mains. »
...
Immédiatement, je me suis dit : ce type a tout d’un méchant dans un film de James Bond.
J’imaginais un gars dont le bras serait un canon laser, les yeux faits de plutonium ou je ne sais quoi.
« Le monde verra de grands résultats grâce à mes mains » ???
Qui parle comme ça, sérieusement ?
C’était franchement inquiétant. Je suis allé voir son Github : 12 commits au cours des 12 derniers mois ? Ce n’est pas ce qu’on appelle une « expérience approfondie ».
En outre, les projets auxquels il a participé semblent aléatoires :
BoredBunnies
PantherSwap
MetaverseDAO
Bon, me suis-je dit, la crypto est un univers étrange et fascinant, rempli de gens bizarres et intéressants ! Peut-être que Bobby est juste un drôle de personnage.
Et puis, l’entretien a commencé !
Salut, ici Jon d’Aztec, c’est bien Bobby ?
« Yes. This is...Bobby Sierra. »
J’ai fait plusieurs observations :
Sa caméra était éteinte ;
Plus de 5 personnes parlaient fort en arrière-plan ;
Un accent coréen très marqué ;
Je lui ai demandé pourquoi c’était si bruyant.
« Oh, je suis au bureau. »
WTF, mais pourquoi y a-t-il 5 autres personnes qui parlent un mélange de coréen et d’anglais ?
Vous vous demandez peut-être comment je sais qu’il est coréen ?
Eh bien, j’ai de bons amis coréens, donc je connais bien l’accent. Mais ce n’est pas l’accent typique d’un Américain coréen, ni d’un Canadien coréen, ni d’un Coréen vivant à l’étranger.
« Bobby » parle anglais, certes, mais d’une manière raide, formelle, presque incompréhensible.
Alors j’ai dit : « Bobby, présente-toi un peu. »
« Je, participé à beaucoup de développement blockchain, lancement de jetons, beaucoup de projets réussis, très réussi, beaucoup d’expérience blockchain, tous très bons résultats. Okay ? »
Analysons brièvement :
1) La première partie est purement incohérente — rien que pour ça, je voudrais annuler l’entretien.
2) « Okay »
Ce « Okay » m’a convaincu qu’il est coréen. Comment je le sais ?
Parce que la mère de mon ami coréen me sort ce genre de phrase chaque fois qu’elle me sert une soupe de côtes bouillante.
« C’est très bon, mange vite avant que ça refroidisse, okay ? »
Là, toutes les alarmes se sont déclenchées. Je savais que des attaques de hackers nord-coréens avaient été fréquentes récemment.
J’ai décidé d’approfondir.
Where are you based, Bobby ?
Bobby : « Based ? »
Oui, où es-tu actuellement ?
« Oh, Hong Kong. »
« Hong Kong ? Et ton dernier poste ? »
« Oh, Ateke. »
Qu’est-ce que c’est ?
« Une entreprise allemande, ou française. Je ne sais pas. »
Tu as indiqué avoir travaillé pour F2pool sur ton CV. Peux-tu me parler de F2pool ?
« Euh euh euh, tu peux attendre une minute ? »
Puis il m’a demandé de couper mon micro pendant 5 minutes.
Quand Bobby est revenu, on aurait dit une toute autre personne.
« Bonjour, tu es là ? »
Oui, Bobby, je suis là.
« Je suis un développeur blockchain expérimenté, je cherche un nouveau travail, très expérimenté, je peux apporter de la valeur à votre entreprise, je veux un poste d’ingénieur maintenant. Okay ? »
Vrai ou faux, j’ai raccroché.
Nous savons que des groupes de hackers nord-coréens comme Lazarus Group attaquent régulièrement des protocoles majeurs et des comptes individuels.
Ronin a perdu 600 millions de dollars ; Arthur0x, Mgnr et d’innombrables comptes célèbres ont été piratés.
Je ne connais pas le vecteur d’attaque exact.
-
Faut-il télécharger un CV .docx compromis ?
-
Demander à quelqu’un de partager son écran et de naviguer vers Metamask ?
-
Obtenir un accès à notre base de code et pousser une modification malveillante ?
Je laisse la communauté internet spéculer.
En réalité, je ne sais pas si ces personnes sont vraiment des hackers nord-coréens. Bobby pourrait simplement être un type extrêmement incompétent. Mais chaque fibre de mon corps me dit le contraire.
Au-delà de la peur et de l’amusement, j’ai tiré plusieurs enseignements de cet échange étrange.
1) Notre monde entier repose sur la confiance. Si quelqu’un nous montre son CV et son Github, nous le croyons.
2) Les risques liés aux contrats intelligents sont surestimés. Tout peut devenir un vecteur d’attaque : recrutement, événements, voyages, etc.
3) Ne téléchargez pas de pièces jointes au hasard. Isolez votre portefeuille sur une machine dédiée, etc.
Plus tard, « Bobby » a mis à jour son Github, redirigeant vers un nouveau compte, avec désormais davantage de commits.
Je crois que ces personnes apprennent, s’adaptent, deviennent plus intelligentes.
Heureusement, elles ne peuvent pas masquer à quel point elles sont profondément déconnectées et incompétentes.
Nous devons simplement rester vigilants.
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News













