Разработчик, связанный с Северной Кореей, около месяца работал над кодовой базой MetaMask, прежде чем Consensys выявила его личность, отозвала доступ и заявила об отсутствии потерь пользовательских активов и данных.
Главное:
- Разработчик использовал поддельную личность и получил доступ в Consensys через стороннего подрядчика.
- Он работал над базовым кодом кошелька и функционалом, связывающим криптовалюты с фиатными платёжными сервисами.
- Consensys заморозила релизы, обратилась в правоохранительные органы и начала пересмотр процедур контроля подрядчиков.
Внедрение в MetaMask
Консультант использовал имя Tyler Knapp и GitHub-аккаунт «imyugioh», попав в компанию через подрядчика, с которым Consensys уже работала. Его публичная активность в репозитории длилась с 9 марта до апреля, дав ему примерно месяц доступа к среде разработки кошелька.
Внутренняя переписка показывает, что Knapp работал над ядром платформы MetaMask и отдельными компонентами мобильного кошелька, включая код, обеспечивающий конвертацию криптовалют в фиат через внешних платёжных провайдеров. После обнаружения угрозы главный юрисконсульт Мэтт Корва (Matt Corva) распорядился приостановить выпуск новых версий продукта и прекратить любые контакты с консультантом. Вскоре Consensys полностью заблокировала ему доступ.
«Мы выявили угрозу … и провели всестороннее расследование, которое подтвердило, что не было хищения активов или данных, не выявлено внедрения вредоносного кода и не зафиксировано влияния на безопасность пользователей», — заявил Корва. Компания уведомила правоохранительные органы и начала пересмотр процедур проверки аутсорс-разработчиков.
Также читайте: Топ-менеджеры предупреждают: шесть ведомств сорвали срок по правилу GENIUS Act
Риски найма в криптоиндустрии
Этот случай показывает, что доступ разработчика к внутренним системам открывает путь к исходному коду и инфраструктуре подписания транзакций даже без внешнего взлома компании.
TRM Labs ранее предупреждала, что скомпрометированные среды разработки могут стать прямым каналом к инфраструктуре, которая авторизует перевод средств.
Инцидент вписывается в более широкую кампанию, в рамках которой северокорейские специалисты под чужими именами устраиваются на удалённую работу в IT. Одна из программ, финансируемых Ethereum (ETH), заявляла, что всего за полгода выявила около 100 предполагаемых оперативников, работающих в 53 криптопроектах. Американские суды уже выносили приговоры гражданам США, помогавшим таким работникам маскироваться под локальных специалистов.
Финансовые риски остаются значительными. По данным ФБР, за кражей около 1,5 млрд долларов у Bybit в 2025 году стояли северокорейские хакеры. Оценки индустрии связывают КНДР более чем с половиной глобальных потерь от криптовзломов за тот же год.
Северокорейские группы всё чаще комбинируют фальшивый найм, удалённую занятость и классический хакерский взлом, не полагаясь на один канал проникновения. В случае с Consensys внедрённого подрядчика удалось остановить до нанесения ущерба, но эпизод продолжил тенденцию, заставляющую криптокомпании ужесточать идентификационные проверки и активнее обмениваться данными об угрозах.
Читайте далее: Trezor опроверг заявление ZachXBT о том, что их кошельки — «полный мусор»





