Projekt Ketman, który otrzymał stypendium w ramach programu ETH Rangers, w ciągu sześciu miesięcy zidentyfikował setkę północnokoreańskich specjalistów IT pracujących w firmach kryptowalutowych pod fikcyjnymi tożsamościami.
Program ETH Rangers został ukończony, a wyniki mówią same za siebie: odzyskano ponad 5,8 miliona dolarów, zgłoszono ponad 785 luk w zabezpieczeniach, zidentyfikowano ponad 100 północnokoreańskich agentów i wiele więcej.
Zdecentralizowana obrona dla zdecentralizowanej sieci.
Przeczytaj pełne podsumowanie
— Program wsparcia ekosystemu EF (@EF_ESP) 16 kwietnia 2026 r.
Fundacja Ethereum opublikowała raport na temat programu ETH Rangers, inicjatywy uruchomionej pod koniec 2024 r. w celu finansowania niezależnych badaczy zajmujących się bezpieczeństwem ekosystemu.
Jeden z stypendystów przeznaczył fundusze na stworzenie projektu Ketman, który specjalizuje się w wyszukiwaniu „fikcyjnych deweloperów” w branży kryptowalut. Badacze skupili się na operacjach wspieranych przez Koreańską Republikę Ludowo-Demokratyczną.
Północnokoreańscy specjaliści IT od lat pracują w firmach Web3 pod fałszywymi tożsamościami, pobierając pensje, a jednocześnie dostarczając informacje wywiadowcze i potencjalny dostęp do infrastruktury projektów. Najbardziej głośne operacje są prowadzone przez Grupę Lazarus.
W ciągu sześciu miesięcy zespół Ketmana udokumentował 100 północnokoreańskich operatorów działających w organizacjach Web3 i powiadomił 53 projekty o prawdopodobnej obecności aktywnych agentów wśród ich pracowników.
Jak wynika z materiałów opublikowanych na stronie internetowej Ketman, eksperci skupili się na zidentyfikowanych cechach „taktyk, zachowań i modeli operacyjnych” właściwych północnokoreańskim operatorom IT, w szczególności:
- Ponowne wykorzystywanie awatarów i metadanych profili na wielu kontach GitHub pod różnymi nazwami;
- Przypadkowe ujawnienie niepowiązanych adresów e-mail podczas udostępniania ekranu podczas rozmów;
- domyślne ustawienia języka systemu, które kolidują z zadeklarowanym obywatelstwem;
- specyficzne wzorce zachowań w komunikacji i nietypowe godziny pracy w danej strefie czasowej.
Metodologia wykrywania północnokoreańskich agentów w projekcie i Fundacji Ethereum nie została ujawniona szczegółowo.
Oprócz prac dochodzeniowych, Ketman opracował narzędzie open source do automatycznego wykrywania podejrzanej aktywności w serwisie GitHub. Współpracował również z organizacją non-profit Security Alliance, aby stworzyć branżowy standard weryfikacji, umożliwiający identyfikację północnokoreańskich pracowników IT podczas rekrutacji.
„Ta praca bezpośrednio odnosi się do jednego z najpilniejszych zagrożeń bezpieczeństwa operacyjnego, z jakimi zmaga się obecnie ekosystem Ethereum” – stwierdziła Fundacja Ethereum w raporcie dotyczącym ETH Rangers.
W ramach inicjatywy fundacja udzieliła wsparcia łącznie 17 stypendystom pracującym w szerokim zakresie dziedzin, od badań nad podatnościami i narzędziami bezpieczeństwa po edukację, analizę zagrożeń i reagowanie na incydenty.
Przypomnijmy, że 1 kwietnia platforma DeFi Drift Protocol, działająca w Solanie, padła ofiarą ataku hakerskiego o wartości 280 milionów dolarów. Według ustaleń zespołu projektowego i ekspertów ds. cyberbezpieczeństwa, za atakiem stoją hakerzy z Korei Północnej.