Chủ sở hữu MetaMask phát hiện nhà phát triển Triều Tiên ẩn danh trong đội ngũ của mình

  • Một lập trình viên Triều Tiên đã làm việc trong MetaMask khoảng một tháng.
  • Anh ấy đã giúp xây dựng ví trước khi Consensys phát hiện rủi ro.
  • Consensys khẳng định không có quỹ, dữ liệu hoặc mã nguồn nào bị ảnh hưởng.
Promo

Một lập trình viên Triều Tiên đã làm việc trong khoảng một tháng tại MetaMask, ví crypto hàng đầu được hơn 30 triệu người sử dụng mỗi tháng. Đơn vị phát triển MetaMask là Consensys đã không biết được danh tính thật của người này.

Người này sử dụng tên giả là Tyler Knapp và tham gia lập trình những phần quan trọng trong mã ví. Một số đoạn mã có chức năng chuyển tiền giữa crypto và tiền mặt. Sau đó, Consensys đã phát hiện và chặn mọi truy cập của anh ta, đồng thời xác nhận rằng không có dữ liệu hay tài sản nào bị đánh cắp.

Cách lập trình viên Triều Tiên này thâm nhập vào dự án

Anh ta vào bằng cách làm việc với một bên đối tác. Consensys thuê anh ta dưới dạng tư vấn, chứ không phải nhân viên chính thức. Trên GitHub, anh ta sử dụng tên tài khoản imyugioh. Các thay đổi về mã của anh diễn ra từ 09/03 đến tháng 04, cho tới khi công ty phát hiện và chặn truy cập.

Được tài trợ
Được tài trợ

Việc này khiến cơ quan điều tra lo ngại. Công ty an ninh mạng TRM Labs cho biết kẻ tấn công hiện dùng cách tiếp cận thông qua lập trình viên để tiếp cận “chìa khóa” của các công ty crypto nhanh nhất. Bằng cách này, họ có thể can thiệp vào hệ thống duyệt rút tiền.

Vào tháng 04, ông Matt Corva – cố vấn pháp lý của Consensys – đã yêu cầu tạm dừng mọi kế hoạch ra mắt sản phẩm mới và yêu cầu nhân viên tránh tiếp xúc với người này. Công ty cũng đã báo cho cơ quan chức năng và rà soát lại quy trình kiểm tra các đối tác cộng tác.

“Chúng tôi đã phát hiện mối nguy hại… và tiến hành điều tra toàn diện. Kết quả xác nhận không có tài sản hay dữ liệu nào bị chiếm đoạt, không có mã độc nào được cài vào hệ thống, và không ảnh hưởng tới sự an toàn bảo mật của người dùng”, ông Matt Corva – cố vấn pháp lý của Consensys – cho biết trong thông báo gửi tới Drop Site News.

Theo dõi chúng tôi trên X để nhận tin tức mới nhất nhanh nhất

Tại sao Triều Tiên vẫn tiếp tục tấn công?

Đây không phải lần đầu. Các nhân viên Triều Tiên thường đóng giả kỹ sư để xin việc từ xa rồi âm thầm lấy cắp bí mật hoặc cài mã độc, chuẩn bị cho các đợt xâm nhập sau này. Một dự án nhận tài trợ từ Ethereum gần đây đã phát hiện có tới 100 lập trình viên nghi ngờ là người Triều Tiên xuất hiện ở 53 dự án crypto khác nhau.

Thủ đoạn thường bắt đầu bằng lời mời làm việc giả mạo hoặc nhà tuyển dụng giả. Đã có trường hợp, tòa án Mỹ kết án tù đối với những người giúp đỡ các nhân viên này giả vờ là người địa phương.

Rủi ro là rất lớn. Năm ngoái, hacker Triều Tiên đã đánh cắp 1.5 tỷ USD từ sàn Bybit, theo FBI. TRM Labs cho biết các nhóm này đã chiếm hơn một nửa trong tổng số 2.7 tỷ USD thiệt hại vì hack crypto trong năm 2025.

Một số công ty crypto đã phối hợp tăng cường bảo vệ bằng cách chia sẻ thông tin cảnh báo để kịp thời phát hiện các mối nguy.

Lần này, Consensys đã xử lý kịp thời. Vấn đề là liệu các công ty khác có nhận ra nhân viên giả mạo trước khi những dòng mã độc được đưa vào hệ thống hay không.


Để đọc các phân tích thị trường tiền điện tử mới nhất từ BeInCrypto, nhấp vào đây.

Tuyên bố miễn trừ trách nhiệm

Tất cả thông tin có trên trang web của chúng tôi được xuất bản với thiện chí và chỉ dành cho mục đích thông tin chung. Bất kỳ hành động nào người đọc thực hiện đối với thông tin được tìm thấy trên trang web của chúng tôi, họ cần phải đánh giá lại và hoàn toàn chịu rủi ro từ quyết định của chính họ. Vui lòng tham khảo Điều khoản và Điều kiện, Chính sách quyền riêng tư, và Tuyên bố miễn trừ trách nhiệm của chúng tôi.

Được tài trợ
Được tài trợ