Компания Consensys, один из ключевых разработчиков инфраструктуры Ethereum, временно заморозила все запланированные технические релизы после того, как стало известно о доступе внешнего консультанта, связанного с правительством КНДР, к внутренним системам и кодовой базе MetaMask.
По данным расследования Drop Site News, специалист действовал под псевдонимом Тайлер Кнапп (Tyler Knapp) и использовал учётную запись GitHub «imyugioh». Он был привлечён через доверенного стороннего поставщика услуг, с которым у Consensys уже имелись деловые отношения. Несмотря на статус консультанта, а не штатного сотрудника, разработчик получил доступ к ключевым компонентам платформы MetaMask, включая модули интеграции с фиатными платёжными шлюзами. Согласно внутренней переписке, оказавшейся в распоряжении журналистов, Кнапп начал вносить изменения в код 9 марта, а его активность была прекращена в апреле — таким образом, период доступа составил около месяца.
Системы мониторинга безопасности своевременно зафиксировали подозрительные сигналы, после чего руководство компании инициировало полную блокировку учётных данных консультанта и запустило внутреннее расследование. Генеральный юрисконсульт Consensys Мэтт Корва сообщил, что сразу после обнаружения угрозы были отозваны все доступы, а независимая экспертиза не выявила фактов хищения активов, утечки пользовательских данных, внедрения вредоносного кода или какого-либо вреда для конечных пользователей. Тем не менее компания приняла решение о временной приостановке выпуска новых инструментов и обновлений до полного завершения аудита безопасности.
Consensys не раскрыла, на основании каких именно доказательств была установлена связь консультанта с хакерскими группами КНДР, но подчеркнула, что уведомила правоохранительные органы и намерена полностью пересмотреть процедуры проверки сторонних подрядчиков и инженерных аутсорсеров.
Инцидент вписывается в широкую картину активизации северокорейских кибергруппировок, специализирующихся на социальной инженерии и внедрении в криптовалютные проекты под видом соискателей и консультантов. По оценкам TRM Labs, в 2025 году на долю КНДР пришлось 64% всей стоимости, украденной в результате криптохакерских атак, а общая сумма потерь превысила $2,7 млрд. Наиболее громкой атакой остаётся февральский взлом биржи Bybit на $1,5 млрд, приписываемый группе TraderTraitor. Специалисты проекта Ketman при поддержке Ethereum Foundation выявили около сотни предполагаемых IT-сотрудников из КНДР, использовавших поддельные документы и ложные японские удостоверения личности в 53 крипто- и Web3-проектах. По словам основателя Opsek Пабло Саббателлы, северокорейские оперативники могут присутствовать в штате каждой пятой криптокомпании, составляя до 40% от общего потока заявок на технические вакансии.
Для Consensys оперативное удаление консультанта позволило избежать финансовых и репутационных потерь, однако само событие стало серьёзным сигналом для всей индустрии о необходимости усиления контроля над цепочками аутсорсинга и проверки личностей разработчиков, имеющих доступ к критической инфраструктуре.