一个开源检测工具和行业标准识别框架——这些仅靠单名研究人员在六个月资助期内取得的成果。
以太坊基金会发布的这些发现来自名为ETH Rangers的项目,该项目于2024年底设立,旨在资助有益于更广泛加密生态系统的安全工作。
一名研究员、一笔资助、百名特工
其中一位资助获得者利用资金创建了Ketman项目,该调查重点关注加密公司内部的虚假开发者身份。
在六个月内,该项目追踪到100名潜伏在Web3组织中的朝鲜IT工作者。已联系约53个项目并警告其可能雇佣了与朝鲜民主主义人民共和国有关的现役特工。
以太坊基金会将此威胁描述为"当今以太坊生态系统面临的最紧迫运营安全威胁之一"。
🚨 #以太坊基金会资助的项目揭露100名使用虚假身份潜入#Web3公司的朝鲜IT工作者。💛#加密索纳 $ETH pic.twitter.com/aCDKUV4mGO
— CryptOpus (@ImCryptOpus) 2026年4月17日
Ketman项目的网站详细说明了这些工作者使用的策略——包括行为模式、技术习惯和身份伪装技巧,使他们能够冒充合法开发者。
部分危险信号出人意料地基础。这些工作者在不同GitHub账户中重复使用相同个人资料照片和元数据时被发现。
屏幕共享会话期间,意外暴露了未关联的电子邮件地址。某些情况下,设备语言设置(设为俄语)暴露了与声称国籍不符的身份信息。
ETHUSD 24小时图表交易价$2,348 数据来源:TradingView
特工如何被识破
Ketman项目不仅识别了个人,还构建了基础设施。开发了开源工具来标记与可疑账户相关的异常GitHub活动。
此外还与专注于安全领域的非营利组织Security Alliance共同制定了识别朝鲜关联工作人员的框架。两项资源现已可供其他组织使用。
报告显示,除Ketman项目自身发布的内容外,以太坊基金会未披露揭露这些特工的具体方法。但该项目网站提供了关于暴露工作人员身份的操作模式的详细报告。
以十亿计量的威胁
朝鲜在加密领域的存在并非新鲜事。包括著名的Lazarus集团在内的国家关联黑客组织,与该行业历史上一些最大规模的黑客盗窃事件有关。
据报道,朝鲜行为者多年来已窃取价值数十亿美元的数字资产。
ETH Rangers项目专门通过资助从事公共利益工作的个人来解决安全漏洞。
Ketman项目是其首批公开记录成果之一。其他资助获得者是否取得类似发现尚未披露。
特色图片来自Chief Learning Officer,图表来自TradingView
