MetaMask : comment un développeur nord-coréen a infiltré l'équipe et touché au code qui convertit votre argent

Par La rédaction Bourse Inside - Publié le

Entre mars et avril 2026, Consensys a laissé un consultant lié à la Corée du Nord toucher au code des rails crypto↔fiat de MetaMask. Derrière cet accès d’un mois, une brèche RH qui interroge la sécurité de tout l’écosystème crypto.

MetaMask : comment un développeur nord-coréen a infiltré l’équipe et touché au code qui convertit votre argent

Pendant près d’un mois, un développeur lié à un régime sous lourdes sanctions internationales a participé, en toute apparence de façon ordinaire, à l’évolution d’un des wallets crypto les plus utilisés de la planète. Un mois durant lequel il a touché à une zone de code que peu d’utilisateurs regardent, mais qui conditionne l’arrivée et la sortie de leur argent réel.

La société américaine Consensys, qui édite le portefeuille Web3 MetaMask, a confirmé avoir employé un consultant lié à la Corée du Nord, intervenu sur le code du wallet entre le 9 mars et le mois d’avril, avant la révocation de tous ses accès. L’affaire, révélée par des communications internes, n’a pour l’instant pas débouché sur la mise au jour de vols de fonds ni de code malveillant, mais elle met en lumière un vecteur d’attaque inattendu dans la crypto : la chaîne de recrutement.

MetaMask et Consensys : un mois d’accès pour un consultant nord-coréen

Le consultant opérait sous l’alias Tyler Knapp et le pseudonyme GitHub imyugioh. Il a commencé à contribuer au projet MetaMask le 9 mars, avec un statut de prestataire externe. Sa mission portait sur des fonctionnalités reliant le wallet à des prestataires de paiement en monnaie fiduciaire, c’est‑à‑dire les modules qui permettent de convertir des fonds entre crypto‑actifs et devises comme le dollar ou l’euro. Autrement dit, une zone sensible : les fameux rails crypto↔fiat.

Date 2026 Événement Périmètre technique Réponse de Consensys
9 mars Début des contributions du consultant Connexion à des prestataires de paiement fiat Accès accordés comme à un développeur externe
Avril Détection du lien avec la Corée du Nord et coupure des accès Code lié aux flux crypto↔fiat Révocation immédiate, gel temporaire des livraisons de code
Après avril Enquête interne et remontée aux autorités Audit du code touché et des intégrations Aucune preuve de vol de fonds ni de code malveillant annoncée

Selon Consensys, ce consultant avait été recommandé par un prestataire tiers jusque‑là jugé fiable. La société indique n’avoir trouvé aucune preuve de détournement de fonds ou de données, ni de déploiement de code malveillant, après enquête et audit de la partie concernée. Les accès du développeur ont été révoqués, et les informations transmises aux autorités compétentes. L’épisode illustre une infiltration rendue possible non par une faille logicielle, mais par un maillon faible dans la chaîne de sous‑traitance.

Rails fiat, sous-traitants et nouvelle surface d’attaque pour l’écosystème crypto

MetaMask n’est pas seulement une interface pour signer des transactions on-chain. Le wallet s’appuie sur des prestataires externes pour les services d’on-ramp/off-ramp, en particulier la conversion entre monnaies fiat et stablecoins. Un communiqué sur l’intergration du stablecoin USD CoinVertible, émis par Société Générale‑FORGE, rappelle par exemple que l’infrastructure de conversion fiat‑vers‑stablecoin dans MetaMask est fournie par Transak, décrit comme prestataire exclusif pour ce service. La moindre modification de ces briques peut donc toucher directement les points d’entrée et de sortie des fonds des utilisateurs.

Dans ce même communiqué, Joseph Lubin, cofondateur d’Ethereum et patron de Consensys, déclarait : « Nous sommes à un moment charnière dans la manière dont la valeur circule et dont les systèmes financiers sont structurés. Les stablecoins constituent un élément clé de cette évolution, en permettant de faire le lien entre les cadres traditionnels et les infrastructures décentralisées. Chez Consensys, nous nous attachons à accompagner cette évolution en construisant des infrastructures ouvertes, mondiales et interopérables, qui élargissent l’accès, favorisent l’innovation et permettent des expériences financières plus dynamiques et centrées sur l’utilisateur », cité par Finyear. Dans le même temps, MetaMask met en avant des protections avancées sur ses nouveaux produits, comme la simulation systématique des transactions, l’analyse des menaces, la protection MEV et une validation humaine par authentification à deux facteurs pour les opérations jugées risquées. Les groupes affiliés à la Corée du Nord, dont le groupe Lazarus, multipliant déjà les arnaques de faux recrutements et représentant une part écrasante des vols crypto récents, l’incident Consensys montre que l’attaque peut aussi passer par un consultant payé légalement, et oblige tout l’écosystème à renforcer ses vérifications d’identitè et de sous‑traitants, autant que ses audits de smart contracts.

En bref

  • Entre mars et avril 2026, Consensys a fait travailler un consultant externe, alias Tyler Knapp et pseudo GitHub imyugioh, sur le code de MetaMask.
  • Ses contributions ont visé les intégrations crypto↔fiat reliant le wallet à des prestataires de paiement, avant la révocation de ses accès après la détection d’un lien avec la Corée du Nord.
  • L’affaire, sans preuve à ce stade de vol de fonds, met en lumière la fragilité de la sous-traitance et impose de nouvelles exigences de contrôle pour l’écosystème crypto.
À propos de l'auteur
La rédaction Bourse Inside

La rédaction Bourse Inside est un collectif de journalistes financiers, d’analystes de marché et d'experts en gestion de patrimoine. Notre mission : décrypter l'actualité macroéconomique, les marchés financiers, l'immobilier et la fiscalité pour en extraire des analyses claires, objectives et actionnables. Engagée pour la transparence et l'indépendance éditoriale, l'équipe applique une charte déontologique stricte afin de fournir à nos lecteurs une information vérifiée, sourcée et à forte valeur ajoutée.

Ses derniers articles