A person typing on a laptop with a fox graphic
Cripto

Consensys: Contratante da RPDC acessou código do MetaMask

A empresa afirma que nenhum código malicioso foi enviado para produção e nenhum impacto na segurança do usuário foi encontrado após um corte em abril.

Por AI News Crypto Editorial Team5 min de leitura

A Consensys afirma que um desenvolvedor vinculado à Coreia do Norte, contratado através de um fornecedor de pessoal terceirizado, contribuiu para a base de código principal do MetaMask por cerca de um mês, começando em 9 de março de 2026, antes que o acesso fosse cortado em abril. A empresa diz que sua investigação não encontrou código de produção malicioso, nem uso indevido de ativos ou dados, e nenhum impacto na segurança do usuário.

Principais Conclusões

  • Um contratante vinculado à Coreia do Norte contribuiu para a base de código principal do MetaMask de 9 de março de 2026 até que a Consensys encerrasse o acesso em abril de 2026.
  • O desenvolvedor usou o pseudônimo “Tyler Knapp” e o handle do GitHub “imyugioh”, e entrou através de um fornecedor de pessoal terceirizado em vez de uma contratação direta.
  • Mensagens internas do Slack revisadas após o corte indicaram que o operador tocou em código ligado ao banco de dados de fiat on/off-ramp do MetaMask e ao repositório da carteira móvel.
  • O advogado da Consensys, Matt Kurva, disse que a revisão não encontrou nenhum asset ou uso indevido de dados, nenhum código malicioso enviado para produção e nenhum impacto na segurança do usuário.

Incidente de Acesso ao Código Principal da MetaMask: O que a Consensys Diz que Aconteceu

A Consensys disse que inadvertidamente contratou um desenvolvedor vinculado à Coreia do Norte como consultor através de um prestador de serviços de pessoal de longa data, dando ao indivíduo acesso para contribuir com a base de código principal da MetaMask. As contribuições começaram em 9 de março de 2026 e terminaram abruptamente após a Consensys cortar o acesso ao sistema em abril de 2026.

O contratado operava sob o pseudônimo "Tyler Knapp" e o nome de usuário do GitHub "imyugioh." Após a rescisão do acesso, a Consensys escalou o assunto para a polícia e começou a revisar as verificações de contratação terceirizadas destinadas a prevenir uma repetição.

O advogado da Consensys, Matt Kurva, disse que a investigação subsequente não detectou "nenhum uso indevido de ativos ou dados, código malicioso enviado para produção, ou um impacto na segurança do usuário." Kurva também emitiu um aviso interno em abril solicitando que todos os lançamentos de produtos fossem pausados até que a investigação fosse concluída e instruindo os funcionários a não contatar o indivíduo.

Quais Repos Foram Tocados: Código do Banco de Dados de On/Off-Ramp e Carteira Móvel

Mensagens internas do Slack revisadas após o incidente indicaram que o operador tocou o código conectado ao banco de dados principal de on/off-ramp fiat da MetaMask e ao repositório da carteira móvel. Para os traders, esse escopo é importante porque enquadra o episódio como um susto de cadeia de suprimentos e acesso interno, não como uma exploração externa típica que drena fundos em uma transação visível.

A camada de on/off-ramp é a tubulação que conecta os usuários a provedores de pagamento externos para conversão entre cripto e moeda emitida pelo governo. O repositório da carteira móvel é a área de superfície do cliente com a qual muitos usuários interagem diariamente.

Mesmo com a Consensys afirmando que nada malicioso foi enviado para produção, o acesso a essas áreas é o tipo de ponto de apoio que pode criar risco reputacional e operacional para uma carteira amplamente utilizada.

O que permanece incerto é granular: quais componentes específicos, arquivos, commits ou pull requests estavam envolvidos, e se alguma alteração foi revertida ou permaneceu confinada a branches não produtivas.

Padrão do Setor: Rangers do ETH e Projeto Ketman sobre Infiltração de Trabalhadores Vinculados à DPRK

O incidente da MetaMask se insere em um padrão mais amplo descrito em umEthereumResumo do blog da Fundação relacionado ao programa de suporte de seis meses "ETH Rangers" datado de 16 de abril de 2026. Esse resumo citou descobertas do Projeto Ketman que indicam que cerca de 100 trabalhadores de TI vinculados à Coreia do Norte estavam integrados em 53 projetos de cripto e Web3.

Ketman também descreveu táticas consistentes com pipelines de contratação terceirizada sendo uma superfície de ataque: fotos de perfil geradas por IA, documentos de identidade japoneses falsos e nomes japoneses rotativos. Em um exemplo de chamada de verificação, um candidato supostamente removeu um fone de ouvido e deixou a sala quando solicitado a se apresentar em japonês.

Do lado do código, Ketman disse que identificou pelo menos três clusters de contas ativos em 11 repositórios, com 62 pull requests mesclados antes da detecção. Esse detalhe é importante para a estrutura de mercado porque mostra como o status de "contribuidor confiável" pode ser acumulado silenciosamente e, em seguida, monetizado mais tarde através de acesso.

Sinais de Confirmação que os Traders Devem Aguardar dos Lançamentos da Consensys e MetaMask

A confirmação de maior sinal seria um post-mortem da Consensys que publicasse hashes de commit específicos ou pull requests ligados à conta "Tyler Knapp" / "imyugioh", além de uma descrição clara do que foi revisado e o que foi revertido, se houver.

Os traders também devem observar se a Consensys divulga mudanças concretas nos cheques de contratação terceirizada e na triagem de fornecedores após encaminhar o assunto para as autoridades. O caminho de engajamento não é uma nota de rodapé aqui. É um ponto de dado direto que a contratação terceirizada pode ser o vetor de inserção.

A cadência de lançamentos da MetaMask é outro indicativo. A instrução de abril da Kurva para pausar os lançamentos de produtos até que a investigação fosse concluída cria um âncora temporal. Quaisquer notas de lançamento subsequentes, atrasos ou mudanças relacionadas à segurança ajudarão a esclarecer quão disruptiva foi a revisão interna.

Finalmente, divulgações subsequentes do programa ETH Rangers da Fundação Ethereum ou do Projeto Ketman sobre repositórios adicionais, clusters de contas ou contagens atualizadas além de ~100 trabalhadores em 53 projetos moldariam como "incidente isolado" versus "risco sistêmico de pipeline" é precificado.

Por que o Risco da Cadeia de Suprimentos da Wallet Pode Impactar o Sentimento do ETH/DeFi

Eu trato isso como um evento de acesso à cadeia de suprimentos primeiro, não como uma manchete de hack. O contratante tocou em código vinculado ao banco de dados de entrada/saída do MetaMask e ao repositório da carteira móvel, que é exatamente onde as suposições de confiança estão para uma grande parte do fluxo de ETH e DeFi.

O fato de a Consensys afirmar que nenhum código de produção malicioso foi enviado e que nenhum impacto na segurança do usuário foi encontrado diminui as chances de um evento imediato de fundos dos usuários.

O que importa é se a Consensys pode publicar artefatos técnicos verificáveis, escopo em nível de commit e mudanças duráveis no controle de contratações que façam isso parecer estrutural em vez de impulsionado por narrativas, porque isso determina se o risco da carteira permanece um susto de um dia ou se torna um peso persistente na apetite de risco de ETH/DeFi.

Fontes