Một lập trình viên bị nghi liên quan tới Triều Tiên đã tham gia phát triển mã nguồn MetaMask trong khoảng một tháng trước khi Consensys phát hiện, thu hồi toàn bộ quyền truy cập và khẳng định không có tổn thất về tài sản hay dữ liệu.
Những điểm chính:
- Lập trình viên dùng danh tính giả, vào Consensys thông qua một bên cung cấp nhân sự thứ ba.
- Công việc của người này liên quan đến mã lõi ví và các tính năng kết nối tiền mã hóa với dịch vụ thanh toán tiền pháp định.
- Consensys dừng mọi bản phát hành, liên hệ cơ quan thực thi pháp luật và rà soát lại quy trình quản lý nhà thầu.
Bị cài cắm vào MetaMask
Chuyên gia tư vấn này sử dụng tên Tyler Knapp và tài khoản GitHub “imyugioh”, được đưa vào dự án thông qua một nhà thầu mà Consensys đã hợp tác từ trước. Các đóng góp công khai của anh ta diễn ra từ ngày 9/3 đến tháng 4, cho phép người này hoạt động khoảng một tháng trong môi trường phát triển ví.
Tin nhắn nội bộ cho thấy Knapp tham gia làm việc trên nền tảng cốt lõi của MetaMask và một phần ví di động, bao gồm cả đoạn mã hỗ trợ chuyển đổi crypto sang tiền pháp định thông qua các nhà cung cấp thanh toán bên ngoài. Khi phát hiện dấu hiệu rủi ro, cố vấn pháp lý trưởng Matt Corva yêu cầu toàn bộ nhân viên tạm dừng phát hành sản phẩm mới và tránh mọi liên lạc với nhà thầu này. Ngay sau đó, Consensys chấm dứt toàn bộ quyền truy cập của anh ta.
“Chúng tôi đã phát hiện mối đe dọa…, mở một cuộc điều tra toàn diện và xác nhận không có hành vi chiếm đoạt tài sản hay dữ liệu, không có mã độc được triển khai và không có tác động đến an toàn, bảo mật của người dùng,” Corva cho biết. Công ty đã thông báo cho cơ quan thực thi pháp luật và rà soát lại quy trình thẩm định các kỹ sư thuê ngoài.
Đọc thêm: Lãnh đạo cảnh báo sáu cơ quan lỡ hạn ban hành quy định theo Đạo luật GENIUS
Rủi ro tuyển dụng trong ngành crypto
Vụ việc cho thấy chỉ một tài khoản lập trình viên cũng có thể mở đường cho đối tượng tấn công tiếp cận mã nguồn và hệ thống ký giao dịch, mà không nhất thiết phải đột nhập từ bên ngoài.
TRM Labs từng cảnh báo rằng các môi trường phát triển bị xâm phạm có thể trở thành “cửa ngõ trực tiếp” dẫn tới hạ tầng dùng để phê duyệt chuyển tiền.
Sự cố này nằm trong chiến dịch rộng hơn, trong đó lao động Triều Tiên sử dụng danh tính giả để giành việc làm từ xa trong ngành công nghệ. Một chương trình do Ethereum (ETH) tài trợ cho biết họ đã phát hiện khoảng 100 đối tượng tình nghi tại 53 dự án crypto chỉ trong vòng sáu tháng. Tòa án Mỹ cũng đã kết án một số công dân hỗ trợ những lao động này giả mạo vị trí địa lý là ở Mỹ.
Rủi ro tài chính vẫn ở mức lớn. FBI quy trách nhiệm vụ trộm khoảng 1,5 tỷ USD từ Bybit năm 2025 cho tin tặc Triều Tiên, trong khi ước tính của ngành cho rằng nước này liên quan tới hơn một nửa tổng thiệt hại do trộm cắp crypto toàn cầu năm đó.
Các chiến dịch của Triều Tiên ngày càng kết hợp giữa tuyển dụng giả, việc làm từ xa và tấn công mạng truyền thống, thay vì chỉ dựa vào một phương thức xâm nhập duy nhất. Consensys đã dừng được nhà thầu trước khi xảy ra thiệt hại, nhưng câu chuyện này tiếp tục kéo dài chuỗi sự kiện buộc các công ty crypto phải siết chặt xác minh danh tính và tăng cường chia sẻ thông tin về mối đe dọa.
Đọc tiếp: Trezor bác bỏ cáo buộc của ZachXBT rằng ví của hãng là “rác hoàn toàn”





