一名与朝鲜有关联的开发者以外包形式进入 Consensys 开发体系,在 MetaMask 代码库中连续工作约一个月,随后才被公司识别、紧急撤销访问权限。Consensys 表示,经内部调查,未发现用户资产、数据或核心代码遭到破坏或窃取。
要点概览
- 该开发者使用伪造身份,通过第三方外包服务商进入 Consensys。
- 实际参与了核心钱包代码,以及连接加密资产与法币支付服务的关键功能开发。
- 事件曝光后,Consensys 暂停产品发布、报警备案,并启动对外包人员准入与管理流程的全面审查。
MetaMask 遭遇“隐形渗透”
据披露,这名顾问通过 Consensys 既有合作的外包渠道进入项目,在线上使用 Tyler Knapp 的化名,以及 GitHub 账号“imyugioh”。根据其公开提交记录,从 3 月 9 日起到 4 月期间,他在 MetaMask 的开发环境中活动了大约一个月时间。原报道链接 中显示,该账号在此期间持续向代码库提交变更。
内部通信记录表明,这名开发者不只是做外围辅助工作,而是直接参与了 MetaMask 核心平台和部分移动端钱包模块的开发,其中包括支持通过外部支付服务商完成“加密资产兑换法币”的相关代码。这类模块往往紧贴交易签名与支付路由逻辑,敏感度极高。
当公司安全团队识别到这一威胁后,Consensys 总法律顾问 Matt Corva 第一时间指示内部团队暂停所有相关产品发布,并避免与该顾问进一步接触,随后迅速终止其全部系统访问权限。
Corva 表示:“我们发现威胁后,立即启动全面调查,确认没有资产或数据被挪用,没有恶意代码被部署,也没有对用户安全造成影响。”他同时指出,公司已经向执法机构通报情况,并着手重审对外包工程师的背景审查与权限管理。
延伸阅读:高管警告六家机构错过 GENIUS 法案规则制定最后期限
加密行业的“用工风险敞口”
此次事件凸显一个长期被低估的风险:内部开发者账号本身,就可能成为攻击者接触源代码和交易签名系统的“正门”,并不需要传统意义上的“外部入侵”。
区块链安全公司 TRM Labs 此前多次警告,若开发环境被渗透,攻击者即可顺藤摸瓜,直达承载转账授权、密钥管理等核心基础设施的层面。一旦恶意代码混入正式版本,后果往往是灾难性的。
这起渗透属更大范围行动的一部分。近年来,朝鲜境内技术人员频繁利用虚假身份获取远程技术岗位,成为国际合规与安全部门的重点关注对象。一个由 Ethereum (ETH) 资助的项目称,在短短六个月内,就在 53 个加密相关项目中识别出约 100 名疑似“朝鲜线上作业人员”。与此同时,美国法院也陆续判处多名帮助这些人员伪装“本地员工”的美国公民。
从财务影响看,这类行动的风险极为可观。FBI 将 2025 年 Bybit 遭窃约 15 亿美元事件直接归因于朝鲜黑客;行业估算则显示,当年全球加密资产被盗损失中,超过一半可追溯至与朝鲜相关的攻击团伙。
过去,外界多将朝鲜网络行动视为“传统黑客攻击”,但最新趋势表明,其战术组合日益多元:假招聘、远程用工和常规渗透并行推进,而非只依赖单一路径。Consensys 此次在发现前就叫停了相关访问,未见实质损害,但这一插曲进一步印证了加密企业正在面临的模式化威胁,迫使行业在身份核验、外包管理与威胁情报共享方面不断“加杠杆”。





