Ein Entwickler mit mutmaßlichen Verbindungen nach Nordkorea hat rund einen Monat lang am Code von MetaMask gearbeitet, bevor Consensys den externen Auftragnehmer identifizierte, seine Zugriffsrechte entzog und erklärte, es seien weder Vermögenswerte noch Daten verloren gegangen.
Zentrale Punkte:
- Der Entwickler nutzte eine falsche Identität und gelangte über einen Drittanbieter zu Consensys.
- Er arbeitete am Kerncode der Wallet und an Funktionen, die Krypto mit Fiat-Zahlungsdiensten verbinden.
- Consensys stoppte Releases, schaltete Strafverfolger ein und verschärft nun die Kontrollen für Dienstleister.
Infiltration bei MetaMask
Der Berater trat unter dem Namen Tyler Knapp und dem GitHub-Handle „imyugioh“ auf, nachdem er über einen bereits von Consensys genutzten Auftragnehmer ins Unternehmen gelangt war. Seine öffentlich sichtbaren Beiträge reichen vom 9. März bis in den April – etwa ein Monat Zugang zur Entwicklungsumgebung der Wallet.
Interne Nachrichten belegen, dass Knapp sowohl an der Kernplattform von MetaMask als auch an Teilen der Mobile-Wallet arbeitete. Dazu gehörte Code für Krypto-zu-Fiat-Konvertierungen über externe Zahlungsdienstleister. Nachdem der Sicherheitsvorfall erkannt wurde, wies Chefjurist Matt Corva die Belegschaft an, Produktveröffentlichungen zu stoppen und jeglichen direkten Kontakt mit dem Berater zu vermeiden. Anschließend kappte Consensys dessen Zugänge.
„Wir haben die Bedrohung identifiziert … und eine umfassende Untersuchung eingeleitet, die bestätigt hat, dass es keine Veruntreuung von Vermögenswerten oder Daten, keinen eingeschleusten Schadcode und keine Beeinträchtigung der Nutzersicherheit gab“, erklärte Corva. Das Unternehmen informierte die Strafverfolgungsbehörden und überprüft nun seine Prüfprozesse für externe Entwickler.
Auch interessant: Manager warnen: Sechs Behörden verpassen Frist der GENIUS-Act-Regel
Personalrisiken in der Krypto-Branche
Der Fall zeigt, wie Entwicklerkonten Quellcode und Systeme zur Transaktionssignierung exponieren können, ohne dass Angreifer klassische Sicherheitsperimeter durchbrechen müssen.
TRM Labs warnt seit Längerem, dass kompromittierte Entwicklungsumgebungen einen direkten Angriffsweg auf Infrastruktur bieten, mit der Transfervorgänge autorisiert werden.
Der Vorfall reiht sich in eine breitere Kampagne ein, bei der nordkoreanische Arbeitskräfte mit gefälschten Identitäten Remote-Jobs im Technologiesektor erschleichen. Ein von Ethereum (ETH) finanziertes Programm meldete, innerhalb von sechs Monaten rund 100 mutmaßliche nordkoreanische Operative in 53 Kryptoprojekten identifiziert zu haben. US-Gerichte verurteilten zudem Amerikaner, die solchen Arbeitskräften geholfen hatten, sich als lokal ansässig auszugeben.
Das finanzielle Risiko bleibt erheblich. Das FBI schrieb den Diebstahl von rund 1,5 Milliarden US-Dollar bei Bybit im Jahr 2025 nordkoreanischen Hackern zu; Branchenschätzungen zufolge war das Land in diesem Jahr für mehr als die Hälfte der weltweiten Verluste durch Krypto-Diebstähle verantwortlich.
Nordkoreanische Operationen kombinieren zunehmend Scheinrekrutierungen, Remote-Arbeitsverhältnisse und klassische Cyberangriffe, statt sich auf eine einzelne Eintrittsmethode zu stützen. Consensys stoppte den betreffenden Auftragnehmer, bevor Schaden entstand – der Vorfall fügt sich jedoch in ein Muster ein, das Kryptounternehmen dazu zwingt, Identitätsprüfungen zu verschärfen und Bedrohungsinformationen verstärkt auszutauschen.
Weiterlesen: Trezor kontert ZachXBTs Vorwurf, die Wallets seien kompletter Müll





