Un développeur lié à la Corée du Nord a travaillé sur le code de MetaMask pendant environ un mois avant que Consensys n’identifie le sous-traitant, ne révoque ses accès et n’annonce l’absence de pertes d’actifs ou de fuite de données.
Points clés
- Le développeur a utilisé une fausse identité et a rejoint Consensys via un prestataire tiers.
- Il a contribué au code cœur du portefeuille et à des fonctionnalités reliant la crypto aux services de paiement en monnaie fiduciaire.
- Consensys a gelé les mises en production, alerté les autorités et lancé un audit de ses procédures de gestion des sous-traitants.
Une infiltration chez MetaMask
Le consultant a utilisé le nom Tyler Knapp et le compte GitHub « imyugioh » après avoir été intégré via un prestataire déjà employé par Consensys. Ses contributions publiques s’étendent du 9 mars à avril, lui offrant environ un mois d’accès à l’environnement de développement du portefeuille.
Des échanges internes montrent que Knapp a travaillé sur la plateforme cœur de MetaMask et sur certaines briques de son portefeuille mobile, notamment le code permettant les conversions crypto‑fiat via des prestataires de paiement externes. Une fois la menace détectée, le directeur juridique, Matt Corva, a demandé aux équipes de suspendre les livraisons produits et de cesser toute interaction avec le consultant. Consensys a ensuite coupé tous ses accès.
« Nous avons identifié la menace… et lancé une enquête approfondie qui a confirmé l’absence de détournement d’actifs ou de données, l’absence de code malveillant déployé et l’absence d’impact sur la sécurité des utilisateurs », a déclaré Corva. L’entreprise a averti les forces de l’ordre et revu ses process de sélection des ingénieurs externalisés.
À lire aussi : Des dirigeants alertent : six agences ont manqué l’échéance réglementaire du GENIUS Act
Les risques de recrutement dans la crypto
Ce cas illustre la façon dont des comptes développeurs peuvent exposer le code source et les systèmes de signature de transactions sans qu’un attaquant ait besoin de pénétrer les défenses externes de l’entreprise.
TRM Labs a déjà averti que des environnements de développement compromis peuvent offrir une voie directe vers les infrastructures qui autorisent les transferts d’actifs.
Cet incident s’inscrit dans une campagne plus large au cours de laquelle des travailleurs nord‑coréens ont utilisé de fausses identités pour obtenir des postes technologiques à distance. Un programme financé par Ethereum (ETH) affirme avoir identifié une centaine d’opérateurs présumés répartis sur 53 projets crypto en six mois. La justice américaine a également condamné des ressortissants américains ayant aidé ces travailleurs à se faire passer pour des employés locaux.
L’enjeu financier reste considérable. Le FBI a attribué au régime nord‑coréen le vol, en 2025, d’environ 1,5 milliard de dollars à la plateforme Bybit, tandis que des estimations sectorielles imputent au pays plus de la moitié des pertes mondiales liées aux vols de crypto cette année‑là.
Les opérations nord‑coréennes combinent de plus en plus faux recrutements, travail à distance et piratage classique, au lieu de s’appuyer sur un vecteur d’attaque unique. Consensys a stoppé ce sous‑traitant avant de constater des dommages, mais l’épisode s’ajoute à une série d’affaires qui poussent les sociétés crypto à durcir les contrôles d’identité et à partager davantage de renseignements sur les menaces.
À suivre : Trezor réfute l’affirmation de ZachXBT selon laquelle ses portefeuilles seraient de la pure camelote





