Koreański programista przez miesiąc pracował nad kodem MetaMask bez wzbudzania podejrzeń

Koreański programista przez miesiąc pracował nad kodem MetaMask bez wzbudzania podejrzeń

Programista powiązany z Koreą Północną przez około miesiąc pracował nad kodem MetaMask, zanim Consensys zidentyfikował go jako ryzyko, odebrał mu dostęp i poinformował, że nie doszło do utraty aktywów ani danych użytkowników.

Najważniejsze informacje:

  • Programista posługiwał się fałszywą tożsamością i trafił do Consensys przez zewnętrznego dostawcę.
  • Pracował przy kluczowym kodzie portfela oraz funkcjach łączących krypto z usługami płatności fiat.
  • Consensys wstrzymał wydania produktu, powiadomił organy ścigania i rozpoczął przegląd zasad współpracy z podwykonawcami.

Infiltracja MetaMask

Konsultant posługiwał się nazwiskiem Tyler Knapp i kontem GitHub „imyugioh”, wchodząc do firmy za pośrednictwem podwykonawcy, z którego Consensys już wcześniej korzystał. Jego publiczne commity datowane są od 9 marca do kwietnia, co dało mu około miesiąca dostępu do środowiska deweloperskiego portfela.

Z wewnętrznej korespondencji wynika, że Knapp pracował nad podstawową platformą MetaMask oraz elementami mobilnego portfela, w tym nad kodem umożliwiającym konwersję krypto na fiat przy użyciu zewnętrznych operatorów płatności. Po wykryciu zagrożenia radca prawny Matt Corva polecił zespołom wstrzymać wydania produktów i unikać kontaktu z konsultantem. Wkrótce potem Consensys odciął go od systemów.

„Wykryliśmy zagrożenie (…) i uruchomiliśmy szeroko zakrojone postępowanie wyjaśniające, które potwierdziło, że nie doszło do przywłaszczenia aktywów ani danych, nie wdrożono złośliwego kodu i nie ucierpiało bezpieczeństwo użytkowników” – przekazał Corva. Firma zawiadomiła odpowiednie służby oraz zaostrzyła procedury weryfikacji inżynierów zatrudnianych zewnętrznie.

Zobacz także: Dyrektorzy ostrzegają: sześć agencji nie zdążyło z terminem wdrożenia przepisów GENIUS Act

Ryzyka rekrutacji w branży krypto

Sprawa pokazuje, jak konta deweloperskie mogą stać się wektorem dostępu do kodu źródłowego i systemów podpisywania transakcji, bez konieczności klasycznego ataku na infrastrukturę firmy z zewnątrz.

TRM Labs ostrzega, że przejęte środowiska developerskie mogą dawać bezpośredni dostęp do elementów infrastruktury upoważniających transfer środków.

Incydent wpisuje się w szerszą kampanię, w ramach której północnokoreańscy specjaliści posługują się fikcyjnymi tożsamościami, aby zdobywać zdalne etaty technologiczne. Program finansowany przez Ethereum (ETH) informował, że w ciągu sześciu miesięcy zidentyfikował około 100 podejrzanych operatorów działających w 53 projektach krypto. Amerykańskie sądy skazywały także obywateli USA, którzy pomagali tym pracownikom udawać, że działają lokalnie.

Skala ryzyka finansowego pozostaje znacząca. FBI przypisało kradzież ok. 1,5 mld dolarów z Bybit w 2025 r. północnokoreańskim hakerom, a szacunki branżowe wskazują, że kraj ten odpowiadał wtedy za ponad połowę wartości globalnych strat z tytułu kradzieży kryptowalut.

Operacje Korei Północnej coraz częściej łączą fałszywą rekrutację, zdalne zatrudnienie i tradycyjny hacking, zamiast bazować na jednym wektorze ataku. Consensys zablokował kontraktora, zanim wykryto jakiekolwiek szkody, ale sam incydent wpisuje się w szerszy trend, który zmusza firmy krypto do zaostrzania weryfikacji tożsamości oraz zacieśniania współpracy w zakresie wymiany informacji o zagrożeniach.

Przeczytaj następnie: Trezor odpowiada na zarzuty ZachXBT, że portfele są kompletnym „śmieciem”

Zastrzeżenie i ostrzeżenie o ryzyku: Informacje zawarte w tym artykule służą wyłącznie celom edukacyjnym i informacyjnym i opierają się na opinii autora. Nie stanowią one porad finansowych, inwestycyjnych, prawnych czy podatkowych. Aktywa kryptowalutowe są bardzo zmienne i podlegają wysokiemu ryzyku, w tym ryzyku utraty całości lub znacznej części Twojej inwestycji. Handel lub posiadanie aktywów krypto może nie być odpowiednie dla wszystkich inwestorów. Poglądy wyrażone w tym artykule są wyłącznie poglądami autora/autorów i nie reprezentują oficjalnej polityki lub stanowiska Yellow, jej założycieli lub dyrektorów. Zawsze przeprowadź własne dokładne badania (D.Y.O.R.) i skonsultuj się z licencjonowanym specjalistą finansowym przed podjęciem jakiejkolwiek decyzji inwestycyjnej.
Koreański programista przez miesiąc pracował nad kodem MetaMask bez wzbudzania podejrzeń | Yellow