นักพัฒนาที่มีความเชื่อมโยงกับเกาหลีเหนือสามารถแฝงตัวเข้ามาร่วมพัฒนาโค้ดของกระเป๋าเงินคริปโตชื่อดัง MetaMask ได้นานราว 1 เดือน ก่อนที่บริษัทแม่อย่าง Consensys จะตรวจพบ ปิดกั้นการเข้าถึง และยืนยันว่าไม่มีทรัพย์สินหรือข้อมูลของผู้ใช้รั่วไหลหรือเสียหาย
ประเด็นสำคัญ
- นักพัฒนาใช้ตัวตนปลอมและเข้ามาทำงานกับ Consensys ผ่านผู้รับจ้างบุคคลที่สาม
- งานที่รับผิดชอบครอบคลุมโค้ดหลักของกระเป๋าเงิน และฟีเจอร์เชื่อมคริปโตกับบริการชำระเงินด้วยเงินตรา
- Consensys สั่งระงับการปล่อยเวอร์ชันใหม่ แจ้งหน่วยงานบังคับใช้กฎหมาย และเริ่มทบทวนการควบคุมผู้รับจ้าง
รายละเอียดการแทรกซึม MetaMask
ที่ปรึกษารายนี้ ใช้ ชื่อปลอมว่า Tyler Knapp และใช้ชื่อผู้ใช้ GitHub ว่า “imyugioh” หลังถูกส่งเข้ามาผ่านผู้รับจ้างที่ Consensys ใช้อยู่เดิม ข้อมูลบน GitHub แสดงให้เห็นว่ามีคอนทริบิวชันสาธารณะตั้งแต่ 9 มีนาคม ต่อเนื่องไปจนถึงเดือนเมษายน ทำให้เขามีเวลาประมาณหนึ่งเดือนในสภาพแวดล้อมการพัฒนาของกระเป๋าเงิน MetaMask
ข้อความสื่อสารภายในบริษัทบ่งชี้ว่า Knapp ทำงานบนแพลตฟอร์มแกนหลักของ MetaMask และบางส่วนของกระเป๋าเงินบนมือถือ รวมถึงโค้ดที่รองรับการแปลงคริปโตเป็นเงินตรา (crypto-to-fiat) ผ่านผู้ให้บริการชำระเงินภายนอก เมื่อบริษัทตรวจพบความเสี่ยง ที่ปรึกษากฎหมายทั่วไปของ Consensys อย่าง Matt Corva ได้สั่งให้ทีมงานหยุดการปล่อยผลิตภัณฑ์เวอร์ชันใหม่ และงดติดต่อกับที่ปรึกษารายนั้นทันที ก่อนจะดำเนินการยุติการเข้าถึงระบบทั้งหมด
“เราได้ค้นพบภัยคุกคาม … และเริ่มการสอบสวนอย่างครอบคลุม ซึ่งยืนยันได้ว่าไม่มีการยักยอกทรัพย์สินหรือข้อมูล ไม่มีโค้ดอันตรายถูกนำขึ้นระบบ และไม่มีผลกระทบต่อความปลอดภัยของผู้ใช้” Corva ระบุ พร้อมเผยว่าบริษัทได้แจ้งหน่วยงานบังคับใช้กฎหมาย และทบทวนกระบวนการคัดกรองวิศวกรภายนอกอย่างละเอียด
อ่านเพิ่มเติม: ผู้บริหารเตือน 6 หน่วยงานทำพลาด กฎตามกฎหมาย GENIUS Act เกินเส้นตาย
ความเสี่ยงด้านการจ้างงานในวงการคริปโต
กรณีนี้สะท้อนให้เห็นว่าเพียงบัญชีนักพัฒนาก็สามารถเปิดช่องให้เข้าถึงซอร์สโค้ด และระบบลงนามธุรกรรมได้ โดยไม่จำเป็นต้องเจาะระบบจากภายนอกบริษัทเลย
TRM Labs เคยเตือนว่า หากสภาพแวดล้อมการพัฒนาถูกเจาะได้ แฮ็กเกอร์อาจเข้าถึงโครงสร้างพื้นฐานที่ใช้อนุมัติการโอนเงินได้โดยตรง
เหตุการณ์นี้เกิดขึ้นต่อเนื่องจากปฏิบัติการขนาดใหญ่ ซึ่งแรงงานที่เกี่ยวโยงกับเกาหลีเหนือใช้ตัวตนปลอมสมัครงานเทคโนโลยีทางไกล โปรแกรมที่ได้รับทุนจาก Ethereum (ETH) เปิดเผยว่า พบผู้ต้องสงสัยราว 100 รายกระจายอยู่ในโปรเจกต์คริปโต 53 โครงการ ภายในเวลา 6 เดือน ขณะที่ศาลสหรัฐได้ตัดสินลงโทษชาวอเมริกันบางราย ที่ช่วยให้แรงงานเหล่านี้ดูเหมือนทำงานจากภายในประเทศ
ความเสี่ยงด้านการเงินยังคงสูงมาก FBI ระบุว่าการโจรกรรมมูลค่าประมาณ 1.5 พันล้านดอลลาร์จาก Bybit ในปี 2025 มีเบื้องหลังมาจากแฮ็กเกอร์เกาหลีเหนือ ขณะที่ประเมินกันว่าประเทศดังกล่าวเกี่ยวข้องกับความสูญเสียจากการโจรกรรมคริปโตทั่วโลก กว่าครึ่งหนึ่งในปีเดียวกัน
ปฏิบัติการของเกาหลีเหนือมีแนวโน้มผสมผสานหลายวิธีมากขึ้น ตั้งแต่การสรรหางานปลอม การทำงานทางไกล ไปจนถึงการแฮ็กแบบดั้งเดิม แทนที่จะพึ่งกลยุทธ์เพียงแบบเดียว กรณีของ Consensys แม้จะสกัดผู้รับจ้างได้ก่อนเกิดความเสียหาย แต่ก็เป็นอีกหนึ่งเหตุการณ์ที่ผลักดันให้บริษัทคริปโตทั่วโลก เข้มงวดกับการพิสูจน์ตัวตนมากขึ้น และเร่งแลกเปลี่ยนข้อมูลภัยคุกคามระหว่างกัน
อ่านต่อ: Trezor โต้แย้งข้อกล่าวหาของ ZachXBT ที่บอกว่ากระเป๋าเงิน “ห่วยแตกโดยสิ้นเชิง”





