Incidente de Seguridad en Consensys
Consensys ha detenido temporalmente los lanzamientos de productos después de que un consultor vinculado a Corea del Norte obtuviera acceso a sus sistemas durante aproximadamente un mes. Drop Site News informó que el desarrollador se unió a la empresa de software Ethereum bajo el alias «Tyler Knapp» y utilizó el nombre de usuario de GitHub «imyugioh».
Detalles del Acceso No Autorizado
Los registros públicos de GitHub revisados por el medio mostraron que el consultor comenzó a contribuir con código el 9 de marzo, antes de que su acceso finalizara en abril. Mensajes internos obtenidos por Drop Site revelaron que Knapp trabajó en el código central de la plataforma MetaMask, incluyendo secciones utilizadas para conectar a los usuarios de criptomonedas con proveedores de pago fiat de terceros.
Consensys suspendió los lanzamientos de productos durante su investigación e instruyó al personal a evitar el contacto con el consultor, según el informe. El abogado general de Consensys, Matt Corva, declaró a Drop Site que un proveedor de servicios de terceros presentó a Knapp a la empresa. Corva enfatizó que Consensys lo trató como un consultor y no como un empleado directo.
«Muy rápidamente, después de ser presentado, descubrimos la amenaza, seguimos nuestros protocolos de seguridad, terminamos inmediatamente cualquier acceso y lanzamos una investigación exhaustiva que confirmó que no hubo apropiación indebida de activos o datos, ningún código malicioso desplegado y ningún impacto en la seguridad y protección del usuario.»
Resultados de la Investigación
Aunque Consensys no divulgó pérdidas financieras, Corva mencionó en un comunicado que la empresa reevaluaría cómo subcontrata el trabajo de ingeniería y desarrollo. La firma también notificó a las fuerzas del orden y proporcionó información sobre el incidente, según comunicaciones internas revisadas por Drop Site.
La investigación de Consensys no encontró evidencia de que el consultor robara datos de la empresa o activos digitales, insertara código dañino o comprometiera a los usuarios, según Corva. La empresa no explicó públicamente cómo estableció los supuestos vínculos del desarrollador con la República Popular Democrática de Corea.
Riesgos en el Entorno de Desarrollo
A pesar de no haber una pérdida confirmada, el acceso de desarrolladores puede exponer infraestructura sensible. Según TRM Labs, los entornos de desarrolladores se han convertido en uno de los caminos más rápidos para los atacantes que buscan acceso a sistemas que contienen claves privadas o que aprueban retiros de criptomonedas.
Una investigación de seis meses respaldada por el Programa ETH Rangers de la Fundación Ethereum muestra que la amenaza de contratación se extiende más allá de Consensys. El Proyecto Ketman identificó alrededor de 100 trabajadores de TI sospechosos de Corea del Norte utilizando identidades falsas en 53 proyectos de criptomonedas y Web3, según un resumen de ETH Rangers publicado en abril.
Implicaciones para la Industria de Criptomonedas
Los investigadores de Ketman también rastrearon al menos tres grupos sospechosos a través de 11 repositorios de código, donde los proyectos habían fusionado 62 solicitudes de extracción antes de detectar la actividad. El proyecto informó que algunos solicitantes utilizaron imágenes de perfil generadas, documentos de identidad falsificados e identidades japonesas falsas para pasar los controles de selección.
Los grupos vinculados a Corea del Norte han utilizado repetidamente identidades falsas y trabajos de ingeniería remota para ingresar a empresas tecnológicas. Como informó crypto.news en noviembre, el fundador de Opsek y miembro de Security Alliance, Pablo Sabbatella, advirtió en Devconnect Buenos Aires que los trabajadores norcoreanos podrían estar incrustados en hasta una quinta parte de las empresas de criptomonedas.
Sabbatella también estimó que los solicitantes norcoreanos representan aproximadamente el 30% al 40% de las solicitudes de empleo recibidas por las empresas de criptomonedas, lo que sugiere que el fraude laboral no se limita a casos aislados. Las empresas de criptomonedas enfrentan un riesgo adicional porque los empleados y contratistas pueden recibir acceso a código, billeteras y sistemas de transacciones.
TRM Labs estimó que Corea del Norte fue responsable del 64% del valor robado en hacks de criptomonedas durante 2025, cuando las pérdidas totales superaron los 2.7 mil millones de dólares. Un ataque representó gran parte del daño. El FBI atribuyó el robo de aproximadamente 1.5 mil millones de dólares de Bybit en febrero de 2025 al grupo TraderTraitor de Corea del Norte, que dispersó los activos a través de miles de direcciones de blockchain.
TRM Labs informó que más de 30 intercambios y protocolos de finanzas descentralizadas ahora comparten alertas rápidas a través de su Beacon Network cuando los fondos vinculados a Corea del Norte llegan a plataformas participantes. Para Consensys, la eliminación del consultor evitó cualquier pérdida conocida de usuarios, pero el incidente ha llevado a una revisión de los controles de contratación de terceros de la empresa.