Um programador com ligações à Coreia do Norte trabalhou durante cerca de um mês no código da MetaMask antes de a Consensys identificar o contratado, revogar o seu acesso e garantir que não houve perdas de ativos ou dados.
Pontos-chave:
- O desenvolvedor usou uma identidade falsa e entrou na Consensys através de um fornecedor terceirizado.
- O seu trabalho abrangeu código essencial da carteira e funcionalidades que ligam cripto a serviços de pagamentos em moeda fiduciária.
- A Consensys suspendeu lançamentos, contactou as autoridades e iniciou uma revisão dos controlos sobre prestadores de serviços.
Infiltração na MetaMask
O consultor usou o nome Tyler Knapp e o utilizador GitHub “imyugioh”, depois de ter entrado via uma empresa de contratação já utilizada pela Consensys. As contribuições públicas estenderam-se de 9 de março até abril, dando‑lhe cerca de um mês dentro do ambiente de desenvolvimento da carteira.
Mensagens internas mostram que Knapp trabalhou na plataforma central da MetaMask e em componentes da carteira móvel, incluindo código que permite conversões cripto‑para‑fiduciário através de prestadores de pagamento externos. Quando a empresa detetou a ameaça, o diretor jurídico Matt Corva ordenou à equipa que suspendesse lançamentos de produto e evitasse qualquer contacto com o consultor. A Consensys rescindiu então o seu acesso.
“Detetámos a ameaça (…) e lançámos uma investigação abrangente que confirmou não ter havido apropriação indevida de ativos ou dados, nem implementação de código malicioso, nem impacto na segurança dos utilizadores”, afirmou Corva. A empresa notificou as autoridades e reviu os seus procedimentos de due diligence para engenheiros subcontratados.
Leia também: Executivos alertam que seis agências falharam o prazo da regra do GENIUS Act
Riscos na contratação de talento cripto
O episódio evidencia como contas de desenvolvedores podem expor código-fonte e sistemas de assinatura de transações sem que os atacantes precisem de violar a infraestrutura a partir do exterior.
A TRM Labs tem alertado que ambientes de desenvolvimento comprometidos podem abrir um caminho direto para a infraestrutura usada na autorização de transferências.
O incidente insere‑se numa campanha mais ampla em que trabalhadores norte‑coreanos utilizam identidades falsas para conseguir empregos remotos em tecnologia. Um programa financiado por Ethereum (ETH) afirma ter identificado cerca de 100 supostos operacionais infiltrados em 53 projetos cripto num período de seis meses. Tribunais norte‑americanos também já condenaram cidadãos dos EUA que ajudaram esses trabalhadores a aparentar estar baseados no país.
O risco financeiro continua elevado. O FBI atribuiu ao grupo de piratas informáticos norte‑coreanos o roubo de cerca de 1,5 mil milhões de dólares da Bybit em 2025, enquanto estimativas do setor associam o país a mais de metade das perdas globais com roubos de cripto nesse ano.
As operações norte‑coreanas recorrem cada vez mais a uma combinação de falsas ofertas de emprego, trabalho remoto e hacking tradicional, em vez de dependerem de um único vetor de entrada. A Consensys conseguiu travar este contratado antes de detetar danos, mas o caso reforça um padrão que tem levado as empresas cripto a apertar os controlos de identidade e a partilhar mais informação sobre ameaças.
A seguir: Trezor rebate alegação de ZachXBT de que as carteiras são “lixo completo”





