以太坊基金会资助项目揭露：百名朝鲜加密货币从业者身份被锁定

近期，一项由以太坊基金会奖学金资助的独立调查项目——Ketman，发布了一份震动全球Web3社区的调查报告。据报告显示，该项目成功识别出100名伪装身份的朝鲜加密货币从业人员，并向大约53个可能已雇佣这些人员的项目方发出了安全预警。

这些朝鲜IT从业者通过虚假身份、远程工作方式，长期渗透进全球Web3开发团队，试图获取资金与技术权限，为背后机构牟取数字资产。这一发现再次敲响了Web3生态系统运营安全的警钟。

Ketman项目：追踪“虚假开发者”的六个月行动

根据以太坊基金会发布的ETH Rangers项目回顾，Ketman项目启动于2024年底，为期六个月。该项目属于基金会为生态系统中从事公共安全工作的个人提供的“津贴”计划之一。受助者利用这笔资金专门调查加密货币领域中的“虚假开发者”，尤其是来自朝鲜的行动者。

在资助期内，Ketman项目不仅识别出上述100名朝鲜IT从业者，还联系了约53个可能已经雇佣活跃朝鲜人员的项目方，提醒其注意潜在的安全风险。以太坊基金会评价称：这项工作直击了以太坊生态系统当前最紧迫的运营安全威胁之一。

朝鲜黑客的长期威胁：拉撒路集团与数十亿美元损失

加密货币领域对朝鲜黑客并不陌生。多年来，朝鲜黑客活动已导致数十亿美元的加密货币被盗。其中最臭名昭著的便是被称为“拉撒路集团”（Lazarus Group）的黑客组织。该组织曾策划多起大型攻击，包括2018年日本Coincheck交易所被盗5.34亿美元、2022年Axie Infinity侧链Ronin桥被窃6.2亿美元等标志性事件。

此次披露的渗透方式更为隐秘——通过虚假身份直接混入开发团队内部，从源头上威胁项目安全性。这比外部黑客攻击更具破坏力，因为内部人员可以直接接触私钥、合约代码和资产管理权限。

锁定手法：GitHub异常与语音破绽

虽然以太坊基金会未详细说明具体锁定流程，但Ketman项目网站已发布系列文章，完整拆解了这些人员常用的“战术、行为和行动模式”。其中包含多项技术层面的可疑信号：

• GitHub账户头像与元数据重复：同一张头像或描述信息出现在多个不同账户中，但声称的姓名、国籍几乎完全不同。
• 屏幕共享时暴露未关联的电子邮件：在视频面试或协作中，无意间展示的邮箱地址与简历提供的信息不符。
• 系统语言设置与宣称国籍不符：例如，自称来自俄罗斯的开发者，系统默认语言却显示为韩语或中文。
• 代码提交时间与地理位置矛盾：如果声称在某个时区工作，但GitHub提交记录却显示完全不同的活跃时间段。

开源工具与行业标准框架

除了识别特工，Ketman项目还开发了一款开源检测工具，专门用于识别可疑的GitHub活动。该工具可以自动比对账户元数据、语言偏好和协作模式，大幅降低人工筛查成本。

同时，团队与专注于区块链安全的非营利组织“安全联盟”合作，共同起草了一套行业标准框架，用于识别朝鲜民主主义人民共和国的IT从业人员。该框架包含背景验证清单、GitHub行为基准、面试防御策略等模块，可供Web3项目方直接采用。

Web3项目方该如何防范？

针对这一日益严峻的内部渗透风险，专家建议项目方采取以下措施：

• 强化远程入职背景审查：使用第三方KYC服务验证身份信息，并要求提供权威机构签发的证件。
• 实施最小权限原则：新开发者仅授予非核心代码库和测试链权限，经过观察期后再扩展。
• 部署GitHub活动监控工具：利用Ketman开源检测工具或同类方案，定期扫描开发人员的提交模式。
• 建立内部安全文化：定期进行安全意识培训，鼓励团队成员报告异常协作行为。

行业影响与未来展望

此次调查报告的公布，直接推动了Web3安全生态的透明化进程。区块链分析公司Chainalysis的2024年报告显示，朝鲜黑客组织在2023年窃取了约17亿美元的数字资产，而通过内部渗透的方式正在成为新的主要犯罪路径。

以太坊基金会此举不仅为53个项目团队敲响了警钟，也为整个加密货币行业提供了一套可复用的检测框架。未来，随着更多开源工具和标准化流程的普及，Web3领域有望从被动防御转向主动识别，有效遏制此类伪装渗透行为。