朝鲜黑客渗透暴露Web3招聘漏洞:MetaMask代码库曾遭关联承包商访问

朝鲜关联承包商曾短暂接触MetaMask核心代码

Consensys确认,一名与朝鲜有关联的外部承包商在约一个月时间内拥有对MetaMask移动钱包核心代码的访问权限。该人员使用化名“Tyler Knapp”及GitHub账户“imyugioh”,经由一家信誉良好的第三方供应商引入,参与了连接用户与法币兑换服务模块的开发工作。公司于4月发现异常并立即终止其访问权限,同时暂停发布流程并通报执法机构。

代码访问未导致直接损害,但背景极具警示意义

初步审查未发现资金被盗、恶意代码植入或用户数据受损,这一结论成为多数媒体报道焦点。然而,关键细节在于:若该承包商再延迟一个工资周期,其薪资将落入美国财政部认定的、用于资助朝鲜武器项目的常规资金通道——这使得原本看似技术性的问题,上升为潜在的国家安全风险。

时间轴:从提交代码到全面封禁

2026年3月9日:“Knapp”首次向MetaMask移动平台提交代码变更。4月上旬,Consensys识别其异常行为,启动调查,撤销权限,暂停版本发布,并启动跨部门通报机制。目前,公司正推动将内部雇员的合规筛选标准延伸至所有通过供应商推荐的承包商。

第三方推荐机制如何被规避监管

总法律顾问Matt Corva指出,该承包商以顾问身份经由已合作的第三方供应商引入,不被视为直接雇员,因此免于公司自身的背景审查流程。这类外包模式通常依赖供应商自行把关,极少有企业主动验证其筛选标准是否达标。而朝鲜特工正是利用这一制度缝隙,通过伪造身份文件、复用他人照片、批量套用同一份简历等手段,长期潜伏于多个项目中。

朝鲜获取加密资产的两大路径对比

主流报道多聚焦于交易所黑客攻击,但此次事件揭示了另一条隐蔽渠道。

第一类:网络攻击与漏洞利用——截至2026年4月,占当年加密损失总额的76%;自2017年起,TRM Labs追踪到累计超60亿美元的归因金额。第二类:虚假远程雇佣——仅2024年,美国财政部估算其为朝鲜带来近8亿美元收入。

Ketman调查揭示系统性渗透

Consensys案例是更大范围问题的一部分。由以太坊基金会支持的ETH Rangers项目主导的为期六个月调查,于2026年4月以Ketman项目形式公布,识别出约100名疑似朝鲜籍IT技术人员,他们在53个加密与Web3项目中以虚假身份活跃。调查发现至少三个行动集群,涉及11个代码库,其中62个合并请求在被标记前已被接受。部分账户使用AI生成头像、伪造证件及虚构日本国籍信息,成功绕过常规审核。

行业反应与未来趋势

安全研究员、Opsek创始人兼Security Alliance成员Pablo Sabbatella估计,朝鲜申请人占比某些加密公司收到的求职申请达30%至40%,并在Devconnect Buenos Aires会议上警告称,特工可能已渗透至整个行业近五分之一的项目方。当前,结构性缺陷仍存在:一个未经核实的身份能在一个月内编写涉及金融接口的核心代码,反映出信任链的脆弱性。尽管代码审查可发现明显错误,却难以识别那些耐心构建干净提交历史、等待时机发动攻击的长期潜伏者。

应对措施与政策动向

Corva宣布将直接雇员的严格筛选标准扩展至所有供应商推荐的承包商,此举有望成为行业新基准。美国财政部已持续打击将工资产值转换为加密货币的中介,2025至2026年间多次实施制裁。与此同时,以太坊基金会相关组织表示将持续发布类似Ketman的审计报告,点名具体项目与代码库,迫使各团队加强贡献者名单审查,避免成为下一个公开曝光对象。此外,共和党人正向白宫提交CLARITY法案(加密市场结构法案),虽当前版本未涵盖外包筛选条款,但此事件极可能推动立法增加相关约束。

美国财政部(OFAC):2024年欺诈性海外IT计划为朝鲜武器项目贡献近8亿美元;部长Bessent称,该政权正通过海外特工实施系统性欺骗。TRM Labs:截至2026年4月,朝鲜在加密黑客损失中占比达76%,自2017年以来归因金额超过60亿美元。Pablo Sabbatella(Opsek/Security Alliance):朝鲜特工可能已渗透至多达五分之一的加密公司。