Consensys意外聘用朝鲜开发者参与MetaMask代码:加密企业第三方外包的供应链安全盲区

Consensys意外聘用朝鲜开发者参与MetaMask代码:加密企业第三方外包的供应链安全盲区

Aiying 艾盈一家专注加密资产合规咨询服务机构,本文为团队原创,转载需授权。

Consensys——MetaMask的母公司、以太坊生态最核心的软件公司——近期确认了一件事:一名与朝鲜有关联的软件开发人员以化名”Tyler Knapp”通过第三方服务商推荐进入公司,以顾问身份参与MetaMask核心代码开发近一个月后才被发现。这不是一起孤立事件,而是朝鲜IT人员渗透全球加密企业的系统性问题的最新案例。

发生了什么

化名”Tyler Knapp”,GitHub账号”imyugioh”

根据Drop Site News获取的Consensys内部Slack通信记录(2026年7月17日报道),这名朝鲜关联人员通过一家”此前有合作关系的信誉良好第三方服务商”被引入Consensys,以远程顾问身份参与项目。他在GitHub上使用”imyugioh”账号,从3月9日起开始贡献代码,涉及MetaMask钱包的核心平台功能,包括加密资产与法币的转换模块——这个模块直接连接第三方支付提供商,是攻击面上最敏感的部分。

4月内部告警:所有产品发布立即暂停

Consensys在发现异常后反应迅速。总法律顾问Matt Corva在4月发出公司级别的内部告警,措辞极为严厉:”所有产品发布立即暂停,等待调查。在调查期间不要与此人互动。“随后公司按安全流程撤销了该人员的全部系统访问权限,向执法机构报告了事件,并展开了全面调查。

Consensys的官方声明称调查”确认未发生资产或数据盗用、未部署恶意代码、未影响用户安全”。Corva将此描述为一次成功的安全响应:”事件证明我们的安全协议和团队的安全优先原则正在发挥作用,面对持续且复杂的国家级威胁也是如此。”

入场近一个月才被发现

但从时间线上看,这个”成功”其实很惊险:3月9日开始贡献代码,直到4月才被发现并切断访问——将近一个月的时间窗口。在这四周里,一个有朝鲜背景的开发人员可以查看、修改、下载MetaMask的核心代码,涉及的模块直接处理加密资产与法币的转换。Consensys说”没有恶意代码”,但这只能说明他们事后没有找到,不能证明这一个月里什么都没发生。秘密窃取知识产权(比如下载代码库)不会留下”恶意代码”的痕迹。

为什么重要

第三方外包:加密企业供应链安全的最大盲区

Consensys的声明中有一句话值得特别注意:该公司已经”启动了对第三方工程外包实践的审查”。这个措辞暴露了问题的根源——不是Consensys自己的招聘流程有问题,而是第三方服务商的审查流程有问题。朝鲜IT人员的标准渗透路径不是直接投简历,而是通过已经被渗透的猎头公司、外包服务商、甚至是伪造的推荐信链条进入目标企业。Consensys的案例证实:即使像Consensys这样拥有成熟安全团队的公司,当一个”信誉良好”的第三方服务商送过来一个候选人时,也会放松警惕。

加密企业的攻击面比其他科技公司更大

区块链安全公司TRM Labs指出,开发者岗位现在是进入加密企业密钥系统的最快路径。传统科技公司被渗透的风险主要是知识产权窃取,加密企业多了一个维度——交易签名基础设施的访问权。一个开发者如果摸到了签名密钥或交易审批流程,不需要经过银行系统就能直接转移资产。Bybit去年被盗15亿美元,FBI确认是朝鲜黑客所为,而那只是外部攻击。如果攻击者已经在内部——就像Consensys这个案例——后果可能是灾难性的。

这不是个案,这是一个产业

美国司法部最近的几起案件揭示了朝鲜IT人员渗透的产业化程度:一名亚利桑那州女子因在家中运营”电脑农场”让朝鲜IT人员使用美国住宅IP地址接入被判刑,该计划产生了超过1700万美元非法收入;两名美国人因协助朝鲜远程IT工人渗透近70家美国公司被判18个月监禁,总金额超过120万美元。一个以太坊资助的项目甚至在53个加密项目中发现了约100名疑似朝鲜IT人员

怎么看

  • OFAC合规的新维度:大多数加密企业的OFAC筛查集中在交易对手方和钱包地址上,很少延伸到外包开发人员。Consensys事件后,第三方服务商的员工背景筛查可能会成为加密企业制裁合规的必要环节——不是”最好有”,而是”必须有”。
  • “事后安全”的叙事陷阱:Consensys说”没丢资产、没恶意代码、用户安全”——这是事后调查的标准口径,但一个月未检测到的访问窗口本身就是安全失败。”没找到”不等于”没发生”,知识产权窃取通常不会留下可检测的痕迹。
  • MetaMask的3000万月活用户的信任考验:尽管Consensys说用户不受影响,但作为全球使用最广泛的自我托管钱包,一个朝鲜关联开发者参与核心代码开发的事实本身就构成信任冲击。用户没法验证”有没有后门”——他们只能信任Consensys的说法。
  • 行业的集体防御需要信息共享:TRM Labs和部分加密企业已经在共享朝鲜IT人员的威胁情报。但Consensys的案例说明光是”自己的招聘流程严格”不够——整个外包供应链都需要被纳入这个防御体系。这可能需要行业级别的人才背景核查共享平台。

一句话总结

Consensys躲过了一颗子弹,但这颗子弹之所以能飞到离靶心这么近的地方,恰恰说明加密行业的第三方外包安全审查存在系统性缺口——而朝鲜的IT渗透产业正是专门针对这个缺口设计的。


本文基于Drop Site News(2026年7月17日)TechForbesCoinDesk报道撰写。Aiying 艾盈提供加密资产合规咨询服务,不构成法律意见。

发表回复