
Consensys: Nhà thầu liên kết DPRK truy cập mã MetaMask
Công ty cho biết không có mã độc nào được đưa vào sản xuất và không phát hiện ảnh hưởng đến bảo mật người dùng sau thời điểm cắt đứt vào tháng Tư.
Consensys cho biết một nhà phát triển liên quan đến Bắc Triều Tiên, được thuê thông qua một nhà cung cấp nhân sự bên thứ ba, đã đóng góp vào mã nguồn chính của MetaMask trong khoảng một tháng bắt đầu từ ngày 9 tháng 3 năm 2026 trước khi quyền truy cập bị cắt vào tháng 4. Công ty cho biết cuộc điều tra của họ không phát hiện mã sản xuất độc hại, không có sự lạm dụng tài sản hoặc dữ liệu, và không có tác động đến bảo mật người dùng.
Điểm chính
- Một nhà thầu liên quan đến Bắc Triều Tiên đã đóng góp vào mã nguồn chính của MetaMask từ ngày 9 tháng 3 năm 2026 cho đến khi Consensys chấm dứt quyền truy cập vào tháng 4 năm 2026.
- Nhà phát triển đã sử dụng bí danh “Tyler Knapp” và tài khoản GitHub “imyugioh,” và đã vào thông qua một nhà cung cấp nhân sự bên thứ ba thay vì được thuê trực tiếp.
- Các tin nhắn nội bộ trên Slack được xem xét sau khi cắt quyền truy cập cho thấy nhà điều hành đã chạm vào mã liên quan đến cơ sở dữ liệu fiat của MetaMask và kho lưu trữ ví di động.
- Luật sư của Consensys, Matt Kurva, cho biết cuộc xem xét không phát hiện ra sự lạm dụng tài sản hoặc dữ liệu, không có mã độc hại nào được đưa vào sản xuất, và không có tác động đến bảo mật người dùng.
Sự cố Truy cập Mã Nguồn MetaMask: Những gì Consensys nói đã xảy ra
Consensys cho biết họ đã vô tình thuê một nhà phát triển liên kết với Triều Tiên làm tư vấn thông qua một nhà cung cấp nhân sự bên thứ ba đã được sử dụng lâu dài, cho phép cá nhân này truy cập để đóng góp vào mã nguồn chính của MetaMask. Các đóng góp bắt đầu vào ngày 9 tháng 3 năm 2026 và kết thúc đột ngột sau khi Consensys cắt quyền truy cập hệ thống vào tháng 4 năm 2026.
Nhà thầu hoạt động dưới bí danh “Tyler Knapp” và tên người dùng GitHub “imyugioh.” Sau khi quyền truy cập bị chấm dứt, Consensys đã chuyển vụ việc lên cơ quan thực thi pháp luật và bắt đầu xem xét các kiểm tra tuyển dụng bên ngoài nhằm ngăn chặn việc lặp lại.
Luật sư của Consensys, Matt Kurva cho biết cuộc điều tra tiếp theo không phát hiện “bất kỳ sự lạm dụng tài sản hoặc dữ liệu nào, mã độc hại được đưa vào sản xuất, hoặc tác động đến an ninh người dùng.” Kurva cũng đã phát đi một cảnh báo nội bộ vào tháng 4 yêu cầu tất cả các sản phẩm phát hành phải tạm dừng cho đến khi cuộc điều tra hoàn tất và chỉ đạo nhân viên không được liên lạc với cá nhân này.
Những Repos nào đã bị chạm đến: Mã Cơ sở Dữ liệu On/Off-Ramp và Ví Di Động
Các tin nhắn Slack nội bộ được xem xét sau sự cố cho thấy nhà điều hành đã chạm vào mã liên quan đến cơ sở dữ liệu on/off-ramp fiat chính của MetaMask và kho lưu trữ ví di động. Đối với các nhà giao dịch, phạm vi đó quan trọng vì nó định hình sự kiện này như một nỗi lo về chuỗi cung ứng và quyền truy cập nội bộ, không phải là một cuộc tấn công bên ngoài điển hình mà rút tiền trong một giao dịch rõ ràng.
Lớp on/off-ramp là hệ thống kết nối người dùng với các nhà cung cấp thanh toán bên ngoài để chuyển đổi giữa tiền điện tử và tiền tệ do chính phủ phát hành. Kho lưu trữ ví di động là bề mặt khách hàng mà nhiều người dùng tương tác hàng ngày. Ngay cả khi Consensys tuyên bố không có gì độc hại được đưa vào sản xuất, quyền truy cập vào những khu vực này là loại vị trí có thể tạo ra rủi ro về danh tiếng và hoạt động cho một ví được sử dụng rộng rãi.
Điều còn chưa rõ là chi tiết: các thành phần, tệp, cam kết hoặc yêu cầu kéo cụ thể nào đã được liên quan, và liệu có bất kỳ thay đổi nào đã bị hoàn tác hoặc vẫn bị giới hạn trong các nhánh không sản xuất.
Mô hình Ngành: ETH Rangers và Dự án Ketman về Sự xâm nhập của Công nhân Liên kết với DPRK
Sự cố MetaMask nằm trong một mô hình rộng hơn được mô tả trong mộtEthereumTóm tắt blog của Quỹ liên quan đến chương trình hỗ trợ “ETH Rangers” kéo dài sáu tháng, ngày 16 tháng 4 năm 2026. Tóm tắt đó đã trích dẫn các phát hiện của Dự án Ketman cho thấy khoảng 100 nhân viên CNTT có liên quan đến Triều Tiên đã được cài cắm vào 53 dự án crypto và Web3.
Ketman cũng mô tả các kỹ thuật thương mại nhất quán với việc thuê ngoài, mà là một bề mặt tấn công: ảnh hồ sơ được tạo ra bởi AI, tài liệu danh tính giả của Nhật Bản, và các tên Nhật Bản luân phiên. Trong một ví dụ về cuộc gọi xác minh, một ứng viên được cho là đã tháo tai nghe và rời khỏi phòng khi được yêu cầu giới thiệu bản thân bằng tiếng Nhật.
Về mặt mã nguồn, Ketman cho biết họ đã xác định ít nhất ba cụm tài khoản hoạt động trên 11 kho mã, với 62 yêu cầu kéo đã được hợp nhất trước khi bị phát hiện. Chi tiết đó quan trọng đối với cấu trúc thị trường vì nó cho thấy cách mà trạng thái “đóng góp đáng tin cậy” có thể được tích lũy một cách âm thầm, sau đó được kiếm tiền thông qua quyền truy cập.
Các tín hiệu xác nhận mà các nhà giao dịch nên chờ đợi từ các bản phát hành của Consensys và MetaMask
Xác nhận có tín hiệu cao nhất sẽ là một báo cáo hậu kiểm của Consensys công bố các mã cam kết cụ thể hoặc các yêu cầu kéo liên quan đến tài khoản “Tyler Knapp” / “imyugioh”, cộng với một mô tả rõ ràng về những gì đã được xem xét và những gì đã được hoàn tác, nếu có.
Các nhà giao dịch cũng nên theo dõi xem liệu Consensys có công bố những thay đổi cụ thể nào đối với việc kiểm tra tuyển dụng thuê ngoài và sàng lọc nhà cung cấp sau khi chuyển vấn đề cho cơ quan thực thi pháp luật hay không. Con đường tham gia không phải là một chú thích ở đây. Nó là một điểm dữ liệu trực tiếp cho thấy việc tuyển dụng thuê ngoài có thể là vectơ chèn.
Chu kỳ phát hành của MetaMask là một dấu hiệu khác. Hướng dẫn của Kurva vào tháng 4 yêu cầu tạm dừng các bản phát hành sản phẩm cho đến khi cuộc điều tra hoàn tất tạo ra một mốc thời gian. Bất kỳ ghi chú phát hành, trì hoãn, hoặc thay đổi liên quan đến bảo mật nào sau đó sẽ giúp làm rõ mức độ gây rối của cuộc xem xét nội bộ.
Cuối cùng, các thông báo tiếp theo từ chương trình ETH Rangers của Quỹ Ethereum hoặc Dự án Ketman về các kho mã bổ sung, cụm tài khoản, hoặc số lượng cập nhật vượt quá ~100 nhân viên trên 53 dự án sẽ định hình cách mà “sự cố cô lập” so với “rủi ro đường ống hệ thống” được định giá.
Tại sao rủi ro chuỗi cung ứng ví có thể ảnh hưởng đến tâm lý ETH/DeFi
Tôi coi đây là một sự kiện truy cập chuỗi cung ứng trước tiên, không phải là một tiêu đề hack. Nhà thầu đã chạm vào mã liên kết đến cơ sở dữ liệu on/off-ramp của MetaMask và kho ví di động, chính là nơi mà các giả định về niềm tin ngự trị cho một phần lớn dòng ETH và DeFi.
Việc Consensys nói rằng không có mã sản xuất độc hại nào được phát hành và không có tác động đến bảo mật người dùng được phát hiện làm giảm khả năng xảy ra sự kiện liên quan đến quỹ người dùng ngay lập tức.
Ngưỡng quan trọng là liệu Consensys có thể công bố các tài liệu kỹ thuật có thể xác minh, phạm vi ở cấp độ cam kết, và các thay đổi kiểm soát tuyển dụng bền vững để làm cho điều này trông có tính cấu trúc hơn là bị dẫn dắt bởi câu chuyện, vì điều đó quyết định liệu rủi ro ví có giữ nguyên là một nỗi sợ trong một ngày hay trở thành một gánh nặng kéo dài cho khẩu vị rủi ro ETH/DeFi.