
کانترکتور مرتبط با کره شمالی به کد متامسک دسترسی یافت
این شرکت اعلام کرد که هیچ کد مخربی به تولید ارسال نشده و پس از قطع در آوریل، تأثیری بر امنیت کاربران مشاهده نشده است.
کنسنسس میگوید یک توسعهدهنده مرتبط با کره شمالی که از طریق یک تأمینکننده نیروی کار سوم درگیر شده بود، به مدت حدود یک ماه از ۹ مارس ۲۰۲۶ به کد اصلی متا ماسک کمک کرده است قبل از اینکه دسترسی در آوریل قطع شود. این شرکت میگوید تحقیقاتش هیچ کد تولید مخرب، هیچ سوءاستفاده از دارایی یا داده و هیچ تأثیری بر امنیت کاربران پیدا نکرده است.
نکات کلیدی
- یک پیمانکار مرتبط با کره شمالی از تاریخ ۹ مارس ۲۰۲۶ تا زمانی که Consensys در آوریل ۲۰۲۶ دسترسی را قطع کرد، به کد اصلی MetaMask کمک کرد.
- توسعهدهنده از نام مستعار "Tyler Knapp" و شناسه GitHub "imyugioh" استفاده کرد و از طریق یک تأمینکننده نیروی کار شخص ثالث وارد شد نه از طریق استخدام مستقیم.
- پیامهای داخلی Slack که پس از مهلت بررسی شدند، نشان دادند که اپراتور به کدی مرتبط با MetaMask دست زده است.فیاتپایگاه داده مسیرهای ورودی/خروجی و مخزن کیف پول موبایل.
- مشاور حقوقی کنسنسس، مت کُرووا، گفت که بررسی هیچ موردی پیدا نکرد.دارایییا سوءاستفاده از دادهها، هیچ کد مخربی به تولید ارسال نشده و هیچ تأثیری بر امنیت کاربر ندارد.
حادثه دسترسی به کد هسته متاماسک: آنچه کنسنسیس میگوید اتفاق افتاده است
کنسنسیس گفت که بهطور ناخواسته یک توسعهدهنده مرتبط با کره شمالی را بهعنوان مشاور از طریق یک تأمینکننده نیروی کار شخص ثالث که مدتهاست استفاده میشود، به کار گرفته است و به این فرد دسترسی داده است تا به کد هسته متاماسک کمک کند. مشارکتها از ۹ مارس ۲۰۲۶ آغاز شد و بهطور ناگهانی پس از قطع دسترسی سیستم توسط کنسنسیس در آوریل ۲۰۲۶ پایان یافت.
این پیمانکار تحت نام مستعار "تایلر ناپ" و نام کاربری گیتهاب "imyugioh" فعالیت میکرد. پس از قطع دسترسی، کنسنسیس موضوع را به مقامات قانونی ارجاع داد و بررسی استخدامهای برونسپاری شده را آغاز کرد که بهمنظور جلوگیری از تکرار این حادثه انجام میشد.
وکیل قانونی کنسنسیس، مت کُروا، گفت که تحقیقات بعدی هیچ گونه "سوءاستفاده از دارایی یا داده، کد مخرب ارسال شده به تولید، یا تأثیری بر امنیت کاربران" شناسایی نکرد. کُروا همچنین در آوریل یک هشدار داخلی صادر کرد و خواستار توقف تمام انتشارهای محصول تا پایان تحقیقات شد و به کارمندان دستور داد که با این فرد تماس نگیرند.
کدام مخازن تحت تأثیر قرار گرفتند: کد پایگاه داده ورودی/خروجی و کیف پول موبایل
پیامهای داخلی اسلک که پس از حادثه بررسی شدند، نشان دادند که اپراتور به کدی که به پایگاه داده ورودی/خروجی فیات هسته متاماسک و مخزن کیف پول موبایل متصل است، دسترسی پیدا کرده است. برای معاملهگران، این دامنه مهم است زیرا این حادثه را بهعنوان یک ترس از زنجیره تأمین و دسترسی داخلی، نه یک سوءاستفاده خارجی معمولی که وجوه را در یک تراکنش قابل مشاهده تخلیه میکند، چارچوببندی میکند.
لایه ورودی/خروجی لولهکشی است که کاربران را به تأمینکنندگان پرداخت خارجی برای تبدیل بین ارزهای دیجیتال و ارزهای صادر شده توسط دولت متصل میکند. مخزن کیف پول موبایل سطح مشتری است که بسیاری از کاربران روزانه با آن تعامل دارند. حتی با وجود اینکه کنسنسیس اعلام کرد هیچ چیز مخربی به تولید ارسال نشده است، دسترسی به این مناطق نوعی پایگاه است که میتواند ریسکهای شهرتی و عملیاتی برای یک کیف پول پرکاربرد ایجاد کند.
آنچه هنوز مشخص نیست جزئیات دقیق است: کدام اجزای خاص، فایلها، تعهدات یا درخواستهای کشش درگیر بودند و آیا تغییرات خاصی معکوس شده یا در شاخههای غیر تولیدی باقی ماندهاند.
الگوی بخش: رنجرهای اتریوم و پروژه کتمن در نفوذ کارگر مرتبط با کره شمالی
حادثه متاماسک در یک الگوی وسیعتر توصیف شده قرار میگیرد.اتریومخلاصه وبلاگ بنیاد مربوط به برنامه حمایتی ششماهه «ETH Rangers» که در تاریخ ۱۶ آوریل ۲۰۲۶ منتشر شده است. این خلاصه به یافتههای پروژه کتمن اشاره کرد که نشان میدهد حدود ۱۰۰ کارمند IT مرتبط با کره شمالی در ۵۳ پروژه کریپتو و وب3 فعالیت داشتهاند.
کتمن همچنین روشهای تجاری را توصیف کرد که با استخدامهای برونسپاری شده سازگار است و به عنوان یک سطح حمله محسوب میشود: عکسهای پروفایل تولید شده توسط AI، مدارک شناسایی جعلی ژاپنی و نامهای ژاپنی چرخشی. در یک مثال از تماس تأیید، گفته میشود که یک نامزد هنگام درخواست برای معرفی خود به زبان ژاپنی، هدفون را برداشت و اتاق را ترک کرد.
در سمت کد، کتمن گفت که حداقل سه خوشه حساب فعال را در ۱۱ مخزن شناسایی کرده است، با ۶۲ درخواست کشش که قبل از شناسایی ادغام شده بودند. این جزئیات برای ساختار بازار مهم است زیرا نشان میدهد چگونه وضعیت «مشارکتکننده مورد اعتماد» میتواند به آرامی جمعآوری شود و سپس از طریق دسترسی به آن درآمدزایی شود.
سیگنالهای تأیید که معاملهگران باید منتظر آنها از انتشارات Consensys و MetaMask باشند
بالاترین سیگنال تأیید، یک بررسی پس از مرگ Consensys خواهد بود که هشهای خاص کامیت یا درخواستهای کشش مرتبط با حساب «Tyler Knapp» / «imyugioh» را منتشر کند، به همراه توضیح واضحی از آنچه بررسی شده و آنچه در صورت وجود، برگردانده شده است.
معاملهگران همچنین باید نظارت کنند که آیا Consensys تغییرات مشخصی در بررسیهای استخدام برونسپاری و غربالگری فروشندگان پس از ارجاع موضوع به مقامات قانونی افشا میکند یا خیر. مسیر تعامل در اینجا یک پاورقی نیست. این یک نقطه داده مستقیم است که نشان میدهد استخدام برونسپاری میتواند به عنوان یک وکتور وارد شود.
تناوب انتشار MetaMask یک نشانه دیگر است. دستور آوریل Kurva برای توقف انتشار محصولات تا تکمیل تحقیقات، یک نقطه مرجع زمانی ایجاد میکند. هر گونه یادداشت انتشار، تأخیر یا تغییرات مرتبط با امنیت بعدی به روشن شدن میزان اختلال بررسی داخلی کمک خواهد کرد.
در نهایت، افشاگریهای پیدرپی از برنامه ETH Rangers بنیاد اتریوم یا پروژه کتمن درباره مخازن اضافی، خوشههای حساب یا شمارشهای بهروز شده فراتر از ~۱۰۰ کارمند در ۵۳ پروژه، نحوه قیمتگذاری «حادثه ایزوله» در مقابل «ریسک خط لوله سیستمی» را شکل خواهد داد.
چرا ریسک زنجیره تأمین کیف پول میتواند به احساسات ETH/DeFi سرایت کند
من این را ابتدا به عنوان یک رویداد دسترسی به زنجیره تأمین میبینم، نه یک تیتر هک. پیمانکار به کدی دست زد که به پایگاه داده ورودی/خروجی MetaMask و مخزن کیف پول موبایل مرتبط بود، که دقیقاً جایی است که فرضیات اعتماد برای بخش بزرگی از جریان ETH و DeFi قرار دارد.
گفتن Consensys که هیچ کد تولید مخرب ارسال نشده و هیچ تأثیر امنیتی بر کاربران پیدا نشده، احتمال یک رویداد فوری مربوط به وجوه کاربران را کاهش میدهد.
آستانهای که مهم است این است که آیا Consensys میتواند آثار فنی قابل تأیید، دامنه در سطح تعهد و تغییرات کنترل استخدام پایدار را منتشر کند که این را ساختاری به نظر برساند نه داستانمحور، زیرا این است که تعیین میکند آیا ریسک کیف پول یک ترس یکروزه باقی میماند یا به یک بار دائمی بر روی اشتهای ریسک ETH/DeFi تبدیل میشود.