Розробник, пов’язаний із Північною Кореєю, близько місяця працював над кодом MetaMask, перш ніж Consensys ідентифікувала його як підрядника високого ризику, відкликала всі доступи та заявила про відсутність втрат активів чи витоку даних.
Ключові факти
- Розробник використав чужу особу та потрапив до Consensys через стороннього підрядника.
- Він працював над базовим кодом гаманця та інтеграціями, що поєднують криптоактиви з фіатними платіжними сервісами.
- Consensys зупинила релізи, звернулася до правоохоронців та розпочала перегляд контролю за підрядниками.
Як відбулося проникнення до MetaMask
Консультант використовував ім’я Tyler Knapp та GitHub-акаунт “imyugioh”, потрапивши до екосистеми Consensys через уже залученого компанією підрядника. Його публічна активність у репозиторіях тривала з 9 березня до квітня, що забезпечило йому приблизно один місяць роботи в середовищі розробки гаманця.
Внутрішнє листування свідчить, що Knapp долучався до розробки ядра платформи MetaMask і окремих модулів мобільного гаманця, зокрема коду, який забезпечує конвертацію криптоактивів у фіат через зовнішніх платіжних провайдерів. Коли в компанії зафіксували загрозу, генеральний юрисконсульт Matt Corva наказав команді негайно призупинити релізи продукту та припинити будь-яку взаємодію з консультантом. Після цього Consensys повністю відключила йому доступ.
«Ми виявили загрозу … та розпочали всебічне розслідування, яке підтвердило, що не було жодного привласнення активів чи даних, не розгорнуто шкідливого коду і не зафіксовано впливу на безпеку користувачів», — заявив Corva. Компанія повідомила правоохоронні органи та переглянула процедури відбору зовнішніх інженерів.
Читайте також: Керівники попереджають: шість відомств пропустили дедлайн за правилом GENIUS Act
Ризики найму в криптоіндустрії
Цей кейс показує, що облікові записи розробників можуть відкрити шлях до вихідного коду та систем підпису транзакцій без необхідності зовнішнього зламу периметра компанії.
TRM Labs попереджає, що скомпрометовані середовища розробки дають зловмисникам прямий доступ до інфраструктури, яка використовується для авторизації переказів.
Інцидент вписується в ширшу кампанію, в межах якої північнокорейські працівники за допомогою фіктивних анкет і підроблених профілів отримують віддалену роботу в технологічних компаніях. Програма, що фінансується Ethereum (ETH), повідомила про виявлення близько 100 ймовірних агентів, пов’язаних із КНДР, у 53 криптопроєктах за шість місяців. Американські суди вже винесли вироки громадянам США, які допомагали таким працівникам маскуватися під локальних фахівців.
Фінансові ризики залишаються значними. ФБР приписало північнокорейським хакерам крадіжку близько $1,5 млрд з біржі Bybit у 2025 році, а галузеві оцінки пов’язують КНДР більш ніж з половиною глобальних втрат від криптовалютних крадіжок за той самий період.
Північнокорейські операції дедалі частіше поєднують фіктивний найм, віддалену зайнятість і класичний хакінг, відмовляючись від ставки на єдиний вектор проникнення. Consensys встигла заблокувати цього підрядника ще до того, як виявила реальні збитки, але інцидент продовжує тенденцію, яка змушує криптокомпанії посилювати перевірки особистості, контролі доступу та обмін розвідувальною інформацією про кіберзагрози.
Далі читайте: Trezor спростовує заяви ZachXBT, що їхні гаманці — «повний мотлох»





