کانسنسیس بهطور تصادفی یک توسعهدهنده کره شمالی را که برای متامسک کد نوشته بود، استخدام کرد
۲۸ تیر ۱۴۰۵
کانسنسیس، شرکت سازنده کیف پول اتریومی متامسک، تایید کرده است که یک توسعهدهنده نرمافزار مرتبط با کره شمالی، پیش از آنکه شرکت دسترسی وی را لغو کند، در کدهای این پروژه مشارکت داشته است. این اعتراف پس از تحقیقات رسانه دراپ سایت نیوز (Drop Site News) صورت گرفت و یکی از برجستهترین موارد استخدام ناآگاهانه
کانسنسیس، شرکت سازنده کیف پول اتریومی متامسک، تایید کرده است که یک توسعهدهنده نرمافزار مرتبط با کره شمالی، پیش از آنکه شرکت دسترسی وی را لغو کند، در کدهای این پروژه مشارکت داشته است. این اعتراف پس از تحقیقات رسانه دراپ سایت نیوز (Drop Site News) صورت گرفت و یکی از برجستهترین موارد استخدام ناآگاهانه از یک کشور تحت تحریم در یک پروژه بزرگ رمزارزی به شمار میرود.
این توسعهدهنده که هویتش فاش نشده، از سد بررسیهای سوءپیشینه (Background check) عبور کرده و برای مدت نامشخصی در توسعه این کیف پول مشارکت داشته است. کانسنسیس میگوید بهمحض اطلاع از ارتباطات این فرد با کره شمالی، سریعاً دسترسی او را لغو کرده است.
این اتفاق سؤالات فوری و مهمی را درباره نحوه بررسی پیمانکاران توسط شرکتهای رمزارزی ایجاد کرده است؛ آن هم در دنیایی که بازیگران دولتی بهطور فزایندهای از بدافزارها بهعنوان یک سرویس (malware-as-a-service) و هویتهای جعلی برای نفوذ به اکوسیستمهای متنباز استفاده میکنند. متامسک یک کیف پول معمولی نیست؛ بلکه افزونه مرورگر غالب برای شبکه اتریوم است که میلیاردها دلار از داراییهای کاربران را مدیریت کرده و بهعنوان دروازهای برای امور مالی غیرمتمرکز (DeFi) عمل میکند.
هشدار مشابهی پیشتر از سوی اتحاد امنیت (Security Alliance) نیز صادر شده بود. آنها تخمین زده بودند که عوامل کره شمالی ممکن است بهطور مخفیانه در ۲۰ درصد از شرکتهای رمزارزی نفوذ کرده باشند و با استفاده از هویتهای پوششی، تحریمها را دور بزنند. این تخمین اکنون کمتر شبیه به یک اغراق، و بیشتر شبیه به توصیف دقیقی از اتفاقی است که درست در قلب زیرساخت کیف پول اتریوم رخ داده است.
تاکنون نه کانسنسیس و نه متامسک بهطور دقیق فاش نکردهاند که این فرد روی کدام بخشهای پایگاه کد (Codebase) کار کرده یا اینکه آیا تغییرات مخربی در کدها اعمال شده است یا خیر. این شرکت با انتشار بیانیهای اعلام کرد که یک بررسی داخلی در این زمینه در جریان است. برای کیف پولی که کلیدهای خصوصی و حساس کاربران را نگه میدارد و تعامل نزدیکی با برنامههای غیرمتمرکز (dApps) دارد، حتی یک تغییر غیرمجاز جزئی هم میتواند میلیونها کاربر را در معرض سرقت یا جاسوسی قرار دهد.
محققان امنیتی اغلب اشاره میکنند که حملات زنجیره تأمین به کیف پولهای رمزارزی بسیار خطرناک هستند، زیرا کاربران به نسخههای نهایی و کامپایلشده نرمافزار اعتماد میکنند و نه به کدهای خام در پلتفرم گیتهاب (GitHub). این موضوع اهمیت بیشتری پیدا میکند، زیرا فعالیتهای توسعه متامسک در صدر رتبهبندیهای پلتفرم سنتیمنت (Santiment) قرار دارد که نشاندهنده یک پایگاه کد بزرگ و پیچیده است که کدهای مخرب میتوانند بهراحتی در آن پنهان شوند.
وزارت خزانهداری ایالات متحده مدتهاست هشدار داده که کره شمالی از سرقت رمزارزها و تقلب در استخدام برای تأمین مالی برنامههای تسلیحاتی خود استفاده میکند. در سال ۲۰۲۲، دفتر کنترل داراییهای خارجی (OFAC) گروه لازاروس (Lazarus Group)، یک سندیکای هکری کره شمالی که مسئول میلیاردها دلار سرقت رمزارزی است، را تحریم کرد. استخدام یک توسعهدهنده مرتبط با کره شمالی، حتی بهطور ناآگاهانه، میتواند قوانین تحریم را نقض کرده و کانسنسیس را در موقعیت حقوقی خطرناکی قرار دهد.
هنوز هیچ اتهام رسمی مطرح نشده است، اما رگولاتورها ممکن است این موضوع را بهعنوان یک شکست در رعایت قوانین (Compliance failure) در نظر بگیرند. بسیاری از شرکتهای رمزارزی به توسعهدهندگان فریلنسر از سراسر جهان متکی هستند و بررسیهای سوءپیشینه همیشه برای شناسایی عوامل نفوذی با پوشش عمیق، به اندازه کافی قوی نیست. این پرونده تقریباً بهطور قطع در جلسات استماع قانونگذاران در آینده بهعنوان مثالی از این که چرا صنعت دیفای به پروتکلهای استخدام سختگیرانهتری نیاز دارد، ذکر خواهد شد.
اثرات این رویداد از همین حالا احساس میشود. در پروندهای جداگانه، یک قاضی فدرال مسیر را برای پلتفرم آوه (Aave) جهت جابجایی ۷۱ میلیون دلار اتریوم که پس از یک سوءاستفاده توسط هکرهای کره شمالی مسدود شده بود، باز کرد. این نشان میدهد که چگونه دادگاهها اکنون در حال دستوپنجه نرم کردن با پیامدهای حملات رمزارزی مرتبط با کره شمالی هستند. این رویههای حقوقی با حادثه متامسک یک ریشه مشترک دارند: نفوذ سیستماتیک کره شمالی در زیرساختهای رمزارزی.
اعتماد در فضای رمزارزها دارایی شکنندهای است. متامسک سالها زمان صرف کرده تا شهرت خود را بهعنوان یک کیف پول امن و اصلی بسازد. تنها یک تیتر خبری درباره این که یک توسعهدهنده تحریمشده کدهایی را به آن وارد کرده، میتواند این اعتبار را در چند دقیقه از بین ببرد. اگر کانسنسیس یک گزارش شفاف از بررسیهای پس از حادثه منتشر کند، جزئیات بررسی کدها را شرح دهد و شیوههای استخدام سختگیرانهتری را اجرا کند، میتواند آسیبها را محدود کند. اما یک واکنش تدافعی و مبهم، شک و تردیدها را بیشتر خواهد کرد.
بعید است کاربران فوراً متامسک را رها کنند؛ چراکه عادت کردن به یک پلتفرم و اثرات شبکهای آن بسیار قدرتمند هستند. با این حال، کاربران حرفهای و مؤسسات ممکن است به دنبال گزینههای جایگزین مانند ربی (Rabby) یا کیف پولهای سختافزاری بروند. خطر واقعی یک خروج دستهجمعی نیست، بلکه از بین رفتن تدریجی اعتماد است که سرمایههای کلان دیفای را به سمت رقبا هدایت کند.
این یک اتفاق مجزا نیست. در پرونده Kelp (کِلپ) که در آن هکرهای کره شمالی از یک پل میانزنجیرهای (cross-chain bridge) سوءاستفاده کردند، در نهایت پروژه کِلپ پلتفرم LayerZero را مقصر دانست و پس از یک هک ۲۹۲ میلیون دلاری مرتبط با این رژیم، به سیستم Chainlink CCIP مهاجرت کرد. در هر دو مورد، مهاجمان فقط به سرقت وجوه بسنده نکردند؛ آنها مستقیماً به محیطهای کاری توسعهدهندگان دسترسی پیدا کردند.
این الگو نشان میدهد که بازیگران دولتی وابسته به حکومتها در حال تغییر رویه از هکهای سریع و تخریبی (Smash-and-grab) به استقرار استراتژیک و بلندمدت در داخل پروژههای رمزارزی هستند. این عوامل نفوذی میتوانند منطق داخلی کدهای سیستم را مطالعه کنند، وابستگیهای نرمافزاری را ترسیم کنند و منتظر لحظه مناسب برای ضربه زدن باشند یا اطلاعات حساس را به واحدهای هکری خود منتقل کنند. این تهدیدی خاموشتر و بسیار خطرناکتر از هکهای پرسروصدا و آشکارِ پلهای میانزنجیرهای در سال ۲۰۲۲ است.