
Consensys: DPRK से जुड़े ठेकेदार ने MetaMask कोड चुराया
फर्म का कहना है कि उत्पादन में कोई दुर्भावनापूर्ण कोड नहीं भेजा गया और अप्रैल के कटऑफ के बाद कोई उपयोगकर्ता-सुरक्षा प्रभाव नहीं पाया गया।
कंसेंसिस का कहना है कि एक उत्तर कोरिया से जुड़े डेवलपर, जो एक तृतीय-पक्ष स्टाफिंग प्रदाता के माध्यम से शामिल हुआ, ने 9 मार्च 2026 से लगभग एक महीने तक मेटामास्क के कोर कोडबेस में योगदान दिया, इससे पहले कि अप्रैल में पहुंच बंद कर दी गई। कंपनी का कहना है कि उसकी जांच में कोई दुर्भावनापूर्ण उत्पादन कोड, कोई संपत्ति या डेटा का दुरुपयोग, और उपयोगकर्ता सुरक्षा पर कोई प्रभाव नहीं पाया गया।
मुख्य निष्कर्ष
- एक उत्तर कोरिया से जुड़े ठेकेदार ने 9 मार्च 2026 से मेटामास्क के कोर कोडबेस में योगदान दिया जब तक कि कंसेंसिस ने अप्रैल 2026 में पहुंच समाप्त नहीं की।
- डेवलपर ने उपनाम “टायलर नाप” और गिटहब हैंडल “imyugioh” का उपयोग किया, और एक तृतीय-पक्ष स्टाफिंग प्रदाता के माध्यम से प्रवेश किया न कि सीधे भर्ती के माध्यम से।
- कटऑफ के बाद की गई आंतरिक स्लैक संदेशों की समीक्षा से संकेत मिला कि ऑपरेटर ने मेटामास्क से जुड़े कोड को छुआ।फिएटऑन/ऑफ-रैंप डेटाबेस और मोबाइल वॉलेट रिपॉजिटरी।
- कंसेंसिस के कानूनी सलाहकार मैट कुरवा ने कहा कि समीक्षा में कोई संपत्ति या डेटा का दुरुपयोग नहीं पाया गया, उत्पादन में कोई दुर्भावनापूर्ण कोड नहीं भेजा गया, और उपयोगकर्ता सुरक्षा पर कोई प्रभाव नहीं पड़ा।
मेटामास्क कोर-कोड एक्सेस घटना: कॉन्सेन्सिस का कहना है कि क्या हुआ
कॉन्सेन्सिस ने कहा कि उसने अनजाने में एक उत्तर कोरिया से जुड़े डेवलपर को एक लंबे समय से उपयोग किए जा रहे तीसरे पक्ष के स्टाफिंग प्रदाता के माध्यम से एक सलाहकार के रूप में शामिल किया, जिससे उस व्यक्ति को मेटामास्क के कोर कोडबेस में योगदान करने का एक्सेस मिला। योगदान 9 मार्च, 2026 को शुरू हुआ और अप्रैल 2026 में कॉन्सेन्सिस द्वारा सिस्टम एक्सेस काटने के बाद अचानक समाप्त हो गया।
ठेकेदार ने उपनाम "टायलर नप्प" और गिटहब उपयोगकर्ता नाम "imyugioh" के तहत काम किया। एक्सेस समाप्त होने के बाद, कॉन्सेन्सिस ने मामले को कानून प्रवर्तन के पास बढ़ा दिया और उन आउटसोर्स हायरिंग चेक की समीक्षा शुरू की जो पुनरावृत्ति को रोकने के लिए थे।
कॉन्सेन्सिस के कानूनी सलाहकार मैट कुरवा ने कहा कि बाद की जांच में "किसी संपत्ति या डेटा के दुरुपयोग, उत्पादन में भेजे गए दुर्भावनापूर्ण कोड, या उपयोगकर्ता सुरक्षा पर प्रभाव" का पता नहीं चला। कुरवा ने अप्रैल में एक आंतरिक चेतावनी भी जारी की, जिसमें सभी उत्पाद रिलीज़ को जांच पूरी होने तक रोकने का अनुरोध किया और कर्मचारियों को उस व्यक्ति से संपर्क न करने का निर्देश दिया।
कौन से रिपोज़िटरी को छुआ गया: ऑन/ऑफ-रैंप डेटाबेस कोड और मोबाइल वॉलेट
घटना के बाद समीक्षा की गई आंतरिक स्लैक संदेशों से पता चला कि ऑपरेटर ने मेटामास्क के कोर फिएट ऑन/ऑफ-रैंप डेटाबेस और मोबाइल वॉलेट रिपोजिटरी से जुड़े कोड को छुआ। व्यापारियों के लिए, यह दायरा महत्वपूर्ण है क्योंकि यह एपिसोड को एक सप्लाई-चेन और अंदरूनी एक्सेस डर के रूप में ढालता है, न कि एक सामान्य बाहरी शोषण जो एक दृश्य लेनदेन में फंड को समाप्त करता है।
ऑन/ऑफ-रैंप लेयर वह प्लंबिंग है जो उपयोगकर्ताओं को क्रिप्टो और सरकारी मुद्रा के बीच रूपांतरण के लिए बाहरी भुगतान प्रदाताओं से जोड़ती है। मोबाइल वॉलेट रिपोजिटरी वह क्लाइंट सतह क्षेत्र है जिसके साथ कई उपयोगकर्ता दैनिक रूप से इंटरैक्ट करते हैं। भले ही कॉन्सेन्सिस ने कहा कि उत्पादन में कुछ भी दुर्भावनापूर्ण नहीं भेजा गया, इन क्षेत्रों तक पहुंच वह प्रकार का आधार है जो एक व्यापक रूप से उपयोग किए जाने वाले वॉलेट के लिए प्रतिष्ठा और संचालन जोखिम पैदा कर सकता है।
जो स्पष्ट नहीं है वह ग्रैन्युलर है: कौन से विशिष्ट घटक, फ़ाइलें, कमिट, या पुल अनुरोध शामिल थे, और क्या कोई परिवर्तन वापस लिए गए या गैर-उत्पादन शाखाओं तक सीमित रहे।
सेक्टर पैटर्न: ईटीएच रेंजर्स और केटमैन प्रोजेक्ट पर डीपीआरके से जुड़े श्रमिकों का घुसपैठ
मेटामास्क की घटना एक व्यापक पैटर्न के भीतर आती है जिसे एकएथेरियमफाउंडेशन ब्लॉग सारांश जो 16 अप्रैल, 2026 को दिनांकित छह महीने के "ETH रेंजर्स" समर्थन कार्यक्रम से संबंधित है। उस सारांश में केटमैन प्रोजेक्ट के निष्कर्षों का उल्लेख किया गया था कि लगभग 100 उत्तर कोरिया से जुड़े आईटी श्रमिक 53 क्रिप्टो और वेब3 परियोजनाओं में शामिल थे।
केटमैन ने यह भी बताया कि आउटसोर्स किए गए हायरिंग पाइपलाइनों के साथ व्यापार कौशल एक हमले की सतह के रूप में संगत है: एआई-जनित प्रोफ़ाइल फ़ोटो, नकली जापानी पहचान दस्तावेज़, और घूमते हुए जापानी नाम। एक सत्यापन-काल उदाहरण में, एक उम्मीदवार ने reportedly हेडसेट हटा दिया और जब उनसे जापानी में खुद का परिचय देने के लिए कहा गया तो कमरे से बाहर चले गए।
कोड पक्ष पर, केटमैन ने कहा कि उसने 11 रिपॉजिटरी में सक्रिय कम से कम तीन खाता क्लस्टर पहचाने, जिसमें 62 पुल अनुरोधों को पहचान से पहले मर्ज किया गया। यह विवरण बाजार संरचना के लिए महत्वपूर्ण है क्योंकि यह दिखाता है कि "विश्वसनीय योगदानकर्ता" स्थिति कैसे चुपचाप जमा की जा सकती है, फिर बाद में पहुंच के माध्यम से मुद्रीकरण किया जा सकता है।
कन्फर्मेशन सिग्नल्स ट्रेडर्स को कंसेंसिस और मेटामास्क रिलीज से प्रतीक्षा करनी चाहिए
सबसे उच्च-संकेत पुष्टि एक कंसेंसिस पोस्टमॉर्टम होगी जो "टायलर नाप" / "इमीगियुह" खाते से जुड़े विशिष्ट कमिट हैश या पुल अनुरोध प्रकाशित करती है, साथ ही यह स्पष्ट विवरण कि क्या समीक्षा की गई थी और क्या वापस लिया गया था, यदि कुछ था।
ट्रेडर्स को यह भी देखना चाहिए कि क्या कंसेंसिस आउटसोर्स किए गए हायरिंग चेक और विक्रेता स्क्रीनिंग में ठोस परिवर्तनों का खुलासा करता है, जब मामले को कानून प्रवर्तन को संदर्भित किया गया था। संलग्नता का मार्ग यहाँ एक फुटनोट नहीं है। यह एक सीधा डेटा बिंदु है कि आउटसोर्स स्टाफिंग एक इन्सर्शन वेक्टर हो सकता है।
मेटामास्क का रिलीज़ कैडेंस एक और संकेत है। कुरवा का अप्रैल में उत्पाद रिलीज़ को रोकने के लिए निर्देश जब तक जांच पूरी नहीं हो जाती, एक समयरेखा एंकर बनाता है। किसी भी बाद के रिलीज़ नोट्स, देरी, या सुरक्षा से संबंधित परिवर्तनों से यह स्पष्ट होगा कि आंतरिक समीक्षा कितनी विघटनकारी थी।
अंत में, एथेरियम फाउंडेशन के ETH रेंजर्स कार्यक्रम या केटमैन प्रोजेक्ट से अतिरिक्त रिपॉजिटरी, खाता क्लस्टर, या ~100 श्रमिकों के 53 परियोजनाओं में अद्यतन गिनती के बारे में फॉलो-ऑन खुलासे यह आकार देंगे कि "अलग घटना" बनाम "संविधानिक पाइपलाइन जोखिम" को कैसे मूल्यांकित किया जाता है।
क्यों वॉलेट सप्लाई-चेन जोखिम ETH/DeFi भावना में फैल सकता है
मैं इसे पहले एक आपूर्ति-श्रृंखला पहुंच घटना के रूप में मानता हूं, न कि एक हैक हेडलाइन के रूप में। ठेकेदार ने कोड को छुआ जो MetaMask के ऑन/ऑफ-रैंप डेटाबेस और मोबाइल वॉलेट रिपॉजिटरी से जुड़ा हुआ था, जो कि ETH और DeFi प्रवाह के लिए विश्वास धारणाओं का स्थान है।
Consensys का कहना है कि कोई दुर्भावनापूर्ण उत्पादन कोड नहीं भेजा गया और कोई उपयोगकर्ता-सुरक्षा प्रभाव नहीं पाया गया, जिससे तत्काल उपयोगकर्ता-फंड घटना की संभावनाएं कम हो जाती हैं। जो सीमा महत्वपूर्ण है वह यह है कि क्या Consensys सत्यापनीय तकनीकी कलाकृतियों, कमिट-स्तरीय दायरे और स्थायी भर्ती-नियंत्रण परिवर्तनों को प्रकाशित कर सकता है जो इसे संरचनात्मक दिखाते हैं न कि कथा-प्रेरित, क्योंकि यही तय करता है कि क्या वॉलेट जोखिम एक दिन की डरावनी घटना बनी रहती है या ETH/DeFi जोखिम की भूख पर लगातार प्रभाव डालती है।