A person typing on a laptop with a fox graphic
Cripto

Consensys: Contratista norcoreano accedió a código de…

La firma afirma que no se envió código malicioso a producción y no se encontró impacto en la seguridad de los usuarios después de un corte en abril.

Por AI News Crypto Editorial Team5 min de lectura

Consensys dice que un desarrollador vinculado a Corea del Norte, contratado a través de un proveedor de personal de terceros, contribuyó a la base de código principal de MetaMask durante aproximadamente un mes a partir del 9 de marzo de 2026 antes de que se cortara el acceso en abril. La empresa afirma que su investigación no encontró código de producción malicioso, ni uso indebido de activos o datos, ni impacto en la seguridad del usuario.

Puntos Clave

  • Un contratista vinculado a Corea del Norte contribuyó a la base de código principal de MetaMask desde el 9 de marzo de 2026 hasta que Consensys terminó el acceso en abril de 2026.
  • El desarrollador utilizó el alias “Tyler Knapp” y el usuario de GitHub “imyugioh”, y entró a través de un proveedor de personal de terceros en lugar de una contratación directa.
  • Los mensajes internos de Slack revisados después de la fecha límite indicaron que el operador tocó código relacionado con MetaMask.fiatbase de datos de on/off-ramp y el repositorio de billeteras móviles.
  • El abogado de Consensys, Matt Kurva, dijo que la revisión no encontró ningunaactivoo uso indebido de datos, ningún código malicioso enviado a producción y ningún impacto en la seguridad del usuario.

Incidente de acceso al código central de MetaMask: lo que dice Consensys que sucedió

Consensys dijo que involuntariamente contrató a un desarrollador vinculado a Corea del Norte como consultor a través de un proveedor de personal de terceros utilizado durante mucho tiempo, otorgando al individuo acceso para contribuir a la base de código central de MetaMask. Las contribuciones comenzaron el 9 de marzo de 2026 y terminaron abruptamente después de que Consensys cortara el acceso al sistema en abril de 2026.

El contratista operaba bajo el alias “Tyler Knapp” y el nombre de usuario de GitHub “imyugioh”. Después de que se terminó el acceso, Consensys escaló el asunto a las fuerzas del orden y comenzó a revisar los controles de contratación subcontratados destinados a prevenir una repetición.

El abogado de Consensys, Matt Kurva, dijo que la investigación subsiguiente no detectó “ningún uso indebido de activos o datos, código malicioso enviado a producción, o un impacto en la seguridad del usuario.” Kurva también emitió una advertencia interna en abril solicitando que todas las versiones de productos se pausaran hasta que se completara la investigación e instruyendo a los empleados a no contactar al individuo.

Qué repositorios fueron tocados: código de base de datos de on/off-ramp y billetera móvil

Los mensajes internos de Slack revisados después del incidente indicaron que el operador tocó código conectado a la base de datos central de on/off-ramp fiat de MetaMask y al repositorio de la billetera móvil. Para los comerciantes, ese alcance importa porque enmarca el episodio como un susto de cadena de suministro y acceso interno, no como una explotación externa típica que drena fondos en una transacción visible.

La capa de on/off-ramp es la plomería que conecta a los usuarios con proveedores de pago externos para convertir entre criptomonedas y moneda emitida por el gobierno. El repositorio de la billetera móvil es la superficie del cliente con la que muchos usuarios interactúan a diario.

Incluso con Consensys afirmando que no se envió nada malicioso a producción, el acceso a estas áreas es el tipo de punto de apoyo que puede crear riesgos reputacionales y operativos para una billetera de uso generalizado.

Lo que sigue siendo poco claro es granular: qué componentes específicos, archivos, commits o pull requests estuvieron involucrados, y si se revirtieron cambios o permanecieron confinados a ramas no productivas.

Patrón del sector: ETH Rangers y el Proyecto Ketman sobre la infiltración de trabajadores vinculados a la DPRK

El incidente de MetaMask se encuentra dentro de un patrón más amplio descrito en unEthereumResumen del blog de la Fundación relacionado con el programa de apoyo de seis meses “ETH Rangers” fechado el 16 de abril de 2026. Ese resumen citó hallazgos del Proyecto Ketman que indicaban que aproximadamente 100 trabajadores de TI vinculados a Corea del Norte estaban incrustados en 53 proyectos de criptomonedas y Web3.

Ketman también describió técnicas de contratación consistentes con pipelines de contratación subcontratados como una superficie de ataque: fotos de perfil generadas por IA, documentos de identidad japoneses falsos y nombres japoneses rotativos. En un ejemplo de llamada de verificación, un candidato supuestamente se quitó un auricular y salió de la sala cuando se le pidió que se presentara en japonés.

En el lado del código, Ketman dijo que identificó al menos tres grupos de cuentas activas en 11 repositorios, con 62 solicitudes de extracción fusionadas antes de la detección. Ese detalle es importante para la estructura del mercado porque muestra cómo el estatus de “contribuyente de confianza” puede acumularse en silencio y luego monetizarse más tarde a través del acceso.

Señales de confirmación que los traders deberían esperar de los lanzamientos de Consensys y MetaMask

La confirmación de mayor señal sería un postmortem de Consensys que publique hashes de commit específicos o solicitudes de extracción vinculadas a la cuenta “Tyler Knapp” / “imyugioh”, además de una descripción clara de lo que se revisó y lo que se revirtió, si es que hubo algo.

Los traders también deberían observar si Consensys divulga cambios concretos en los controles de contratación subcontratados y la evaluación de proveedores después de remitir el asunto a las fuerzas del orden. La ruta de compromiso no es una nota al pie aquí. Es un punto de datos directo que indica que el personal subcontratado puede ser el vector de inserción.

La cadencia de lanzamientos de MetaMask es otra pista. La instrucción de Kurva en abril de pausar los lanzamientos de productos hasta que se complete la investigación crea un ancla temporal. Cualquier nota de lanzamiento posterior, retrasos o cambios relacionados con la seguridad ayudarán a aclarar cuán disruptiva fue la revisión interna.

Finalmente, las divulgaciones posteriores del programa ETH Rangers de la Fundación Ethereum o del Proyecto Ketman sobre repositorios adicionales, grupos de cuentas o recuentos actualizados más allá de ~100 trabajadores en 53 proyectos darían forma a cómo se valora el “incidente aislado” frente al “riesgo sistémico de pipeline”.

Por qué el riesgo de la cadena de suministro de billeteras puede afectar el sentimiento de ETH/DeFi

Trato esto como un evento de acceso a la cadena de suministro primero, no como un titular de hackeo. El contratista tocó código vinculado a la base de datos de entrada/salida de MetaMask y al repositorio de la billetera móvil, que es exactamente donde se encuentran las suposiciones de confianza para una gran parte del flujo de ETH y DeFi.

Que Consensys diga que no se envió código de producción malicioso y que no se encontró impacto en la seguridad del usuario reduce las probabilidades de un evento inmediato de fondos de usuarios.

El umbral que importa es si Consensys puede publicar artefactos técnicos verificables, alcance a nivel de compromiso y cambios duraderos en el control de contratación que hagan que esto parezca estructural en lugar de impulsado por la narrativa, porque eso es lo que determina si el riesgo de billetera sigue siendo un susto de un día o se convierte en una carga persistente sobre el apetito de riesgo de ETH/DeFi.

Fuentes