MetaMask : comment un développeur nord-coréen a infiltré l'équipe et touché au code qui convertit votre argent
Entre mars et avril 2026, Consensys a laissé un consultant lié à la Corée du Nord toucher au code des rails crypto↔fiat de MetaMask. Derrière cet accès d’un mois, une brèche RH qui interroge la sécurité de tout l’écosystème crypto.

Pendant près d’un mois, un développeur lié à un régime sous lourdes sanctions internationales a participé, en toute apparence de façon ordinaire, à l’évolution d’un des wallets crypto les plus utilisés de la planète. Un mois durant lequel il a touché à une zone de code que peu d’utilisateurs regardent, mais qui conditionne l’arrivée et la sortie de leur argent réel.
La société américaine Consensys, qui édite le portefeuille Web3 MetaMask, a confirmé avoir employé un consultant lié à la Corée du Nord, intervenu sur le code du wallet entre le 9 mars et le mois d’avril, avant la révocation de tous ses accès. L’affaire, révélée par des communications internes, n’a pour l’instant pas débouché sur la mise au jour de vols de fonds ni de code malveillant, mais elle met en lumière un vecteur d’attaque inattendu dans la crypto : la chaîne de recrutement.
MetaMask et Consensys : un mois d’accès pour un consultant nord-coréen
Le consultant opérait sous l’alias Tyler Knapp et le pseudonyme GitHub imyugioh. Il a commencé à contribuer au projet MetaMask le 9 mars, avec un statut de prestataire externe. Sa mission portait sur des fonctionnalités reliant le wallet à des prestataires de paiement en monnaie fiduciaire, c’est‑à‑dire les modules qui permettent de convertir des fonds entre crypto‑actifs et devises comme le dollar ou l’euro. Autrement dit, une zone sensible : les fameux rails crypto↔fiat.
| Date 2026 | Événement | Périmètre technique | Réponse de Consensys |
|---|---|---|---|
| 9 mars | Début des contributions du consultant | Connexion à des prestataires de paiement fiat | Accès accordés comme à un développeur externe |
| Avril | Détection du lien avec la Corée du Nord et coupure des accès | Code lié aux flux crypto↔fiat | Révocation immédiate, gel temporaire des livraisons de code |
| Après avril | Enquête interne et remontée aux autorités | Audit du code touché et des intégrations | Aucune preuve de vol de fonds ni de code malveillant annoncée |
Selon Consensys, ce consultant avait été recommandé par un prestataire tiers jusque‑là jugé fiable. La société indique n’avoir trouvé aucune preuve de détournement de fonds ou de données, ni de déploiement de code malveillant, après enquête et audit de la partie concernée. Les accès du développeur ont été révoqués, et les informations transmises aux autorités compétentes. L’épisode illustre une infiltration rendue possible non par une faille logicielle, mais par un maillon faible dans la chaîne de sous‑traitance.
Rails fiat, sous-traitants et nouvelle surface d’attaque pour l’écosystème crypto
MetaMask n’est pas seulement une interface pour signer des transactions on-chain. Le wallet s’appuie sur des prestataires externes pour les services d’on-ramp/off-ramp, en particulier la conversion entre monnaies fiat et stablecoins. Un communiqué sur l’intergration du stablecoin USD CoinVertible, émis par Société Générale‑FORGE, rappelle par exemple que l’infrastructure de conversion fiat‑vers‑stablecoin dans MetaMask est fournie par Transak, décrit comme prestataire exclusif pour ce service. La moindre modification de ces briques peut donc toucher directement les points d’entrée et de sortie des fonds des utilisateurs.
Dans ce même communiqué, Joseph Lubin, cofondateur d’Ethereum et patron de Consensys, déclarait : « Nous sommes à un moment charnière dans la manière dont la valeur circule et dont les systèmes financiers sont structurés. Les stablecoins constituent un élément clé de cette évolution, en permettant de faire le lien entre les cadres traditionnels et les infrastructures décentralisées. Chez Consensys, nous nous attachons à accompagner cette évolution en construisant des infrastructures ouvertes, mondiales et interopérables, qui élargissent l’accès, favorisent l’innovation et permettent des expériences financières plus dynamiques et centrées sur l’utilisateur », cité par Finyear. Dans le même temps, MetaMask met en avant des protections avancées sur ses nouveaux produits, comme la simulation systématique des transactions, l’analyse des menaces, la protection MEV et une validation humaine par authentification à deux facteurs pour les opérations jugées risquées. Les groupes affiliés à la Corée du Nord, dont le groupe Lazarus, multipliant déjà les arnaques de faux recrutements et représentant une part écrasante des vols crypto récents, l’incident Consensys montre que l’attaque peut aussi passer par un consultant payé légalement, et oblige tout l’écosystème à renforcer ses vérifications d’identitè et de sous‑traitants, autant que ses audits de smart contracts.
En bref
- Entre mars et avril 2026, Consensys a fait travailler un consultant externe, alias Tyler Knapp et pseudo GitHub imyugioh, sur le code de MetaMask.
- Ses contributions ont visé les intégrations crypto↔fiat reliant le wallet à des prestataires de paiement, avant la révocation de ses accès après la détection d’un lien avec la Corée du Nord.
- L’affaire, sans preuve à ce stade de vol de fonds, met en lumière la fragilité de la sous-traitance et impose de nouvelles exigences de contrôle pour l’écosystème crypto.






