Một công cụ phát hiện mã nguồn mở và một khuôn khổ nhận dạng tiêu chuẩn ngành — đó là những kết quả đầu ra từ một nhà nghiên cứu duy nhất làm việc với một khoản trợ cấp sáu tháng.
Những phát hiện này, được công bố bởi Ethereum Foundation, đến từ một chương trình có tên ETH Rangers, được thành lập vào cuối năm 2024 để tài trợ cho các công việc bảo mật mang lại lợi ích cho hệ sinh thái crypto rộng lớn hơn.
Một Nhà Nghiên Cứu, Một Khoản Trợ Cấp, 100 Nhân Viên Hoạt Động
Một trong những người nhận tài trợ đã sử dụng kinh phí để xây dựng Dự án Ketman, một cuộc điều tra tập trung vào các danh tính nhà phát triển giả mạo bên trong các công ty crypto.
Trong sáu tháng, dự án đã truy tìm được 100 công nhân CNTT Triều Tiên đã xâm nhập vào các tổ chức Web3. Khoảng 53 dự án đã được liên hệ và cảnh báo rằng họ có thể đã thuê những nhân viên hoạt động tích cực có liên quan đến Cộng hòa Dân chủ Nhân dân Triều Tiên (DPRK).
Ethereum Foundation mô tả mối đe dọa này là "một trong những mối đe dọa an ninh hoạt động cấp bách nhất mà hệ sinh thái Ethereum phải đối mặt ngày nay".
🚨 A project funded by the #Ethereum Foundation revealed 100 North Korean IT workers who sneaked into #Web3 companies using false identities. 💛#cryptosona $ETH pic.twitter.com/aCDKUV4mGO
— CryptOpus (@ImCryptOpus) April 17, 2026
Trang web của Dự án Ketman trình bày các chiến thuật mà những người lao động này sử dụng — các mẫu hành vi, thói quen kỹ thuật và thủ thuật danh tính cho phép họ trà trộn như những nhà phát triển hợp pháp.
Một số dấu hiệu cảnh báo đáng ngạc nhiên là cơ bản. Các công nhân bị bắt gặp tái sử dụng cùng một ảnh hồ sơ và siêu dữ liệu trên các tài khoản GitHub khác nhau.
Trong các phiên chia sẻ màn hình, các địa chỉ email không được liên kết đã vô tình bị lộ. Trong một số trường hợp, cài đặt ngôn ngữ thiết bị — được đặt thành tiếng Nga — đã làm lộ danh tính mâu thuẫn với quốc tịch mà họ đang tuyên bố.
ETHUSD giao dịch ở mức $2,348 trên biểu đồ 24 giờ: TradingView
Các Nhân Viên Hoạt Động Bị Bắt Như Thế Nào
Dự án Ketman không chỉ xác định các cá nhân. Nó đã xây dựng cơ sở hạ tầng. Một công cụ mã nguồn mở đã được phát triển để gắn cờ hoạt động GitHub bất thường liên quan đến các tài khoản đáng ngờ.
Một khuôn khổ riêng biệt để xác định nhân viên liên quan đến DPRK đã được đồng tác giả với Security Alliance, một tổ chức phi lợi nhuận tập trung vào bảo mật blockchain. Cả hai nguồn tài nguyên hiện đã có sẵn cho các tổ chức khác sử dụng.
Báo cáo chỉ ra rằng Ethereum Foundation đã không tiết lộ các phương pháp cụ thể được sử dụng để vạch trần các nhân viên hoạt động ngoài những gì ấn phẩm của chính Dự án Ketman mô tả. Tuy nhiên, trang web của dự án cung cấp các bài viết chi tiết về các mô hình hoạt động đã làm lộ tẩy các công nhân.
Một Mối Đe Dọa Được Đo Lường Bằng Tỷ Đô
Sự hiện diện của Triều Tiên trong crypto không phải là mới. Các nhóm hacker liên kết với nhà nước, bao gồm Nhóm Lazarus nổi tiếng, đã bị buộc tội liên quan đến một số vụ trộm cắp lớn nhất trong lịch sử ngành.
Theo các báo cáo, hàng tỷ đô la tài sản kỹ thuật số đã bị đánh cắp bởi các tác nhân Triều Tiên trong những năm qua.
Chương trình ETH Rangers được tạo ra đặc biệt để giải quyết các lỗ hổng bảo mật thông qua các cá nhân được tài trợ bằng trợ cấp thực hiện công việc vì lợi ích công cộng.
Dự án Ketman đại diện cho một trong những kết quả được công bố công khai đầu tiên của nó. Liệu những người nhận tài trợ khác có đưa ra những phát hiện tương tự hay không vẫn chưa được tiết lộ.
Hình ảnh nổi bật từ Chief Learning Officer, biểu đồ từ TradingView
