Uno sviluppatore collegato alla Corea del Nord ha lavorato per circa un mese sul codice di MetaMask prima che Consensys lo identificasse, revocasse ogni accesso e confermasse l’assenza di perdite di asset o di dati.
Punti chiave:
- Il developer ha usato una falsa identità, entrando in Consensys tramite un fornitore esterno.
- Ha lavorato sul codice core del wallet e su funzioni che collegano le crypto a servizi di pagamento fiat.
- Consensys ha bloccato i rilasci, avvisato le autorità e avviato una revisione dei controlli sui contractor.
L’infiltrazione in MetaMask
Il consulente usava il nome Tyler Knapp e l’handle GitHub “imyugioh”, ed è entrato nell’ecosistema di Consensys tramite un contractor già attivo per il gruppo. I suoi contributi pubblici sono tracciati dal 9 marzo fino ad aprile, garantendogli circa un mese di accesso all’ambiente di sviluppo del wallet.
Messaggi interni indicano che Knapp ha lavorato sulla piattaforma core di MetaMask e su parti del wallet mobile, incluso il codice che abilita la conversione crypto‑fiat tramite provider di pagamento esterni. Una volta individuata la minaccia, il general counsel Matt Corva ha ordinato al personale di sospendere i nuovi rilasci di prodotto e di interrompere ogni contatto con il consulente. Consensys ha quindi disattivato immediatamente i suoi accessi.
“Abbiamo individuato la minaccia … e avviato un’indagine approfondita che ha confermato l’assenza di appropriazione indebita di asset o dati, nessun codice malevolo distribuito e nessun impatto sulla sicurezza degli utenti”, ha dichiarato Corva. L’azienda ha informato le forze dell’ordine e rivisto le procedure di selezione degli sviluppatori esterni.
Da leggere anche: I dirigenti avvertono: sei agenzie hanno mancato la scadenza per le norme del GENIUS Act
Rischi di assunzione nel crypto settore
Il caso evidenzia come gli account degli sviluppatori possano esporre il codice sorgente e i sistemi di firma delle transazioni senza che gli attaccanti debbano violare l’azienda dall’esterno.
TRM Labs ha più volte avvertito che ambienti di sviluppo compromessi possono offrire un canale diretto verso l’infrastruttura che autorizza i trasferimenti di fondi.
L’episodio si inserisce in una più ampia campagna in cui lavoratori nordcoreani utilizzano identità fittizie per ottenere impieghi remoti nel tech. Un programma finanziato da Ethereum (ETH) ha dichiarato di aver individuato circa 100 presunti operatori infiltrati in 53 progetti crypto nell’arco di sei mesi. Tribunali statunitensi hanno inoltre condannato cittadini americani che li hanno aiutati a simulare una presenza lavorativa locale.
Il rischio finanziario resta significativo. L’FBI ha attribuito al 2025 gruppo di hacker nordcoreani il furto di circa 1,5 miliardi di dollari da Bybit, mentre stime di settore collegano il Paese a oltre la metà delle perdite globali da furti crypto nello stesso anno.
Le operazioni nordcoreane combinano sempre più spesso falsi processi di selezione, lavoro da remoto e hacking tradizionale, invece di affidarsi a un solo vettore di attacco. Consensys ha fermato questo contractor prima che causasse danni, ma l’episodio si aggiunge a una serie di incidenti che sta spingendo le aziende crypto a irrigidire i controlli di identità e a condividere maggiormente le informazioni sulle minacce.
Da vedere poi: Trezor replica all’accusa di ZachXBT che i wallet siano “completa spazzatura”





