一名被指與北韓有關連的開發人員,曾參與 MetaMask 程式碼開發約一個月,期間獲存取核心程式庫權限。事後 Consensys 識別到該名外判人員身分有可疑,隨即撤銷其所有存取權,並表示沒有任何資產或數據損失。
重點摘要
- 該開發人員以虛假身份,透過第三方外判供應商進入 Consensys。
- 其負責撰寫的程式涵蓋核心錢包功能,以及串連加密貨幣與法幣支付服務的模組。
- 事件曝光後,Consensys 叫停新版本發佈、報警求助,並全面檢討外判管理及審批流程。
MetaMask 遭滲透細節
據報道,這名顧問透過 Consensys 既有合作的外判公司加入項目,對外自稱 Tyler Knapp,GitHub 帳號為「imyugioh」(相關報道)。其公開提交程式碼紀錄由 3 月 9 日起,持續至 4 月,意味他在 MetaMask 開發環境中活動約一個月。
內部通訊紀錄顯示,Knapp 曾參與 MetaMask 核心平台及流動錢包部分功能開發,包括支援透過外部支付服務,將加密貨幣兌換為法定貨幣的程式碼。當公司察覺潛在風險後,首席法務總顧問 Matt Corva 要求團隊立即暫停所有產品發佈,並避免與該名顧問有進一步接觸,其後 Consensys 迅速終止其所有系統存取權限。
Corva 表示:「我們識別到相關威脅後,已立即展開全面調查,確認期間沒有任何資產或數據被挪用,亦沒有惡意程式碼被部署,用戶安全及保障沒有受到影響。」公司其後已通知執法部門,並重新檢視對外判工程師的審查及監管機制。
延伸閱讀: 高層警告六大機構錯過 GENIUS 法案規則最後期限
加密企業招聘風險浮現
事件突顯開發人員帳戶一旦被滲透,便可能在毋須從公司外部「入侵」的情況下,接觸到關鍵源碼及交易簽署系統的風險。
區塊鏈風險監測機構 TRM Labs 早前已警告,若開發環境被攻陷,等同為攻擊者打開通往交易授權基礎設施的直接通道。
今次個案屬北韓更大規模行動的一部分。該國人員近年頻繁利用假身分,獲取遙距科技職位,特別鎖定加密貨幣及區塊鏈相關崗位。一個由 Ethereum (ETH) 資助的項目指出,在短短六個月內,已於 53 個加密項目中識別約 100 名疑似北韓特工。美國法院亦先後判處多名協助這些北韓工作者偽裝為本地僱員的美國人。
財務風險同樣相當巨大。FBI 把 2025 年約 15 億美元 Bybit 被盜資產事件,歸咎於北韓黑客所為;業界估算指,該年全球加密貨幣被盜損失中,超過一半與北韓有關。
北韓相關行動模式愈見複雜,由單一網絡攻擊,演變成結合假招聘、遙距就業及傳統黑客手法的多重滲透策略。今次 Consensys 及早截停涉事外判人員,未見直接損失,但事件延續了既有模式,進一步迫使加密企業加強身分核查、外判管理及情報共享機制。





