A person typing on a laptop with a fox graphic
Crypto

Consensys : un sous-traitant nord-coréen a accédé au code…

La société déclare qu'aucun code malveillant n'a été expédié en production et qu'aucun impact sur la sécurité des utilisateurs n'a été constaté après une date limite en avril.

Par AI News Crypto Editorial Team5 min de lecture

Consensys affirme qu'un développeur lié à la Corée du Nord, engagé par l'intermédiaire d'un fournisseur de personnel tiers, a contribué au code source de MetaMask pendant environ un mois à partir du 9 mars 2026 avant que l'accès ne soit coupé en avril. La société déclare que son enquête n'a trouvé aucun code de production malveillant, aucun abus d'actifs ou de données, et aucun impact sur la sécurité des utilisateurs.

Points clés

  • Un entrepreneur lié à la Corée du Nord a contribué au code source de MetaMask du 9 mars 2026 jusqu'à ce que Consensys mette fin à l'accès en avril 2026.
  • Le développeur utilisait l'alias “Tyler Knapp” et le pseudo GitHub “imyugioh”, et est entré par l'intermédiaire d'un fournisseur de personnel tiers plutôt que par un recrutement direct.
  • Des messages internes sur Slack examinés après la coupure ont indiqué que l'opérateur avait touché au code lié à la base de données des fiat on/off-ramp et au dépôt du portefeuille mobile de MetaMask.
  • L'avocat de Consensys, Matt Kurva, a déclaré que l'examen n'avait trouvé aucun asset ou abus de données, aucun code malveillant expédié en production, et aucun impact sur la sécurité des utilisateurs.

Incident d'accès au code de base de MetaMask : Ce que dit Consensys

Consensys a déclaré qu'il avait involontairement engagé un développeur lié à la Corée du Nord en tant que consultant par l'intermédiaire d'un fournisseur de personnel tiers utilisé depuis longtemps, donnant à l'individu accès pour contribuer au code de base de MetaMask. Les contributions ont commencé le 9 mars 2026 et se sont terminées brusquement après que Consensys a coupé l'accès au système en avril 2026.

L'entrepreneur opérait sous le pseudonyme « Tyler Knapp » et le nom d'utilisateur GitHub « imyugioh ». Après la résiliation de l'accès, Consensys a signalé l'affaire aux forces de l'ordre et a commencé à examiner les vérifications d'embauche externalisées destinées à prévenir une répétition.

L'avocat de Consensys, Matt Kurva, a déclaré que l'enquête subséquente n'avait détecté « aucun abus d'actifs ou de données, aucun code malveillant expédié en production, ni d'impact sur la sécurité des utilisateurs ». Kurva a également émis un avertissement interne en avril demandant que toutes les sorties de produits soient suspendues jusqu'à la fin de l'enquête et en instructant les employés de ne pas contacter l'individu.

Quels dépôts ont été touchés : Code de la base de données on/off-ramp et portefeuille mobile

Des messages internes sur Slack examinés après l'incident ont indiqué que l'opérateur avait touché du code lié à la base de données on/off-ramp fiat de MetaMask et au dépôt du portefeuille mobile. Pour les traders, cette portée est importante car elle cadre l'épisode comme une peur liée à la chaîne d'approvisionnement et à l'accès interne, et non comme une exploitation externe typique qui draine des fonds en une seule transaction visible.

La couche on/off-ramp est la plomberie qui connecte les utilisateurs aux fournisseurs de paiement externes pour convertir entre crypto et monnaie émise par le gouvernement. Le dépôt du portefeuille mobile est la surface client avec laquelle de nombreux utilisateurs interagissent quotidiennement.

Même si Consensys déclare qu'aucun code malveillant n'a été expédié en production, l'accès à ces zones est le type de prise qui peut créer un risque réputationnel et opérationnel pour un portefeuille largement utilisé.

Ce qui reste flou est granulaire : quels composants spécifiques, fichiers, commits ou demandes de tirage étaient impliqués, et si des modifications ont été annulées ou sont restées confinées à des branches non production.

Modèle sectoriel : ETH Rangers et projet Ketman sur l'infiltration de travailleurs liés à la RPDC

L'incident MetaMask s'inscrit dans un modèle plus large décrit dans unEthereumRésumé du blog de la Fondation lié au programme de soutien de six mois « ETH Rangers » daté du 16 avril 2026. Ce résumé citait les résultats du projet Ketman selon lesquels environ 100 travailleurs informatiques liés à la Corée du Nord étaient intégrés dans 53 projets crypto et Web3.

Ketman a également décrit des techniques cohérentes avec des pipelines de recrutement externalisés étant une surface d'attaque : photos de profil générées par IA, faux documents d'identité japonais et noms japonais tournants. Dans un exemple d'appel de vérification, un candidat aurait retiré un casque et quitté la pièce lorsqu'on lui a demandé de se présenter en japonais.

Du côté du code, Ketman a déclaré avoir identifié au moins trois clusters de comptes actifs dans 11 dépôts, avec 62 demandes de tirage fusionnées avant la détection. Ce détail est important pour la structure du marché car il montre comment le statut de « contributeur de confiance » peut être accumulé discrètement, puis monétisé plus tard par le biais d'un accès.

Signaux de confirmation que les traders devraient attendre des publications de Consensys et MetaMask

La confirmation la plus significative serait un post-mortem de Consensys publiant des hachages de commit spécifiques ou des demandes de tirage liées au compte « Tyler Knapp » / « imyugioh », ainsi qu'une description claire de ce qui a été examiné et ce qui a été annulé, le cas échéant.

Les traders devraient également surveiller si Consensys divulgue des changements concrets aux vérifications de recrutement externalisées et au filtrage des fournisseurs après avoir référé l'affaire aux forces de l'ordre. Le chemin d'engagement n'est pas une note de bas de page ici. C'est un point de données direct montrant que le personnel externalisé peut être le vecteur d'insertion.

La cadence de publication de MetaMask est un autre indice. L'instruction d'avril de Kurva de suspendre les publications de produits jusqu'à la fin de l'enquête crée un ancrage temporel. Toute note de publication ultérieure, retard ou changement lié à la sécurité aidera à clarifier à quel point l'examen interne a été perturbateur.

Enfin, les divulgations ultérieures du programme ETH Rangers de la Fondation Ethereum ou du projet Ketman concernant des dépôts supplémentaires, des clusters de comptes ou des comptes mis à jour au-delà de ~100 travailleurs dans 53 projets façonneraient la manière dont « incident isolé » par rapport à « risque systémique de pipeline » est évalué.

Pourquoi le risque de chaîne d'approvisionnement des portefeuilles peut influencer le sentiment ETH/DeFi

Je considère cela d'abord comme un événement d'accès à la chaîne d'approvisionnement, pas comme un titre de piratage. Le contractant a touché du code lié à la base de données on/off-ramp de MetaMask et au dépôt du portefeuille mobile, qui est exactement là où se trouvent les hypothèses de confiance pour une grande partie du flux d'ETH et de DeFi.

Le fait que Consensys affirme qu'aucun code de production malveillant n'a été expédié et qu'aucun impact sur la sécurité des utilisateurs n'a été trouvé réduit les chances d'un événement immédiat concernant les fonds des utilisateurs.

Le seuil qui compte est de savoir si Consensys peut publier des artefacts techniques vérifiables, un périmètre au niveau des commits, et des changements durables dans le contrôle des recrutements qui rendent cela structurel plutôt que narratif, car c'est ce qui détermine si le risque lié aux portefeuilles reste une frayeur d'un jour ou devient un frein persistant à l'appétit pour le risque ETH/DeFi.

Sources