Проект Ketman в рамках программы безопасности ETH Rangers от Фонда Ethereum выявил около 100 ИТ-операторов КНДР, устроившихся в Web3‑компании под вымышленными именами. Расследование длилось шесть месяцев и стало одной из самых подробных публичных оценок внутреннего проникновения в отрасли.
По данным Ketman, угроза сместилась: вместо удалённых взломов и атак на биржи в 2025 году КНДР сосредоточилась на координированной инфильтрации — прохождении HR‑проверок, доступе к внутренним репозиториям и работе в продуктовых командах месяцами до выявления.
ETH Rangers запустили в конце 2024 года при участии Secureum, The Red Guild и Security Alliance (SEAL). В программе работали 17 независимых исследователей: они вернули или заморозили свыше $5,8 млн, отследили 785+ уязвимостей, провели 36 реагирований на инциденты и более 80 обучающих сессий.
«Программа ETH Rangers завершена, результаты говорят сами за себя: возвращено $5,8+ млн, сообщено о 785+ уязвимостях, выявлено 100+ операторов КНДР… Децентрализованная оборона для децентрализованной сети», — заявили в программе в соцсетях 16 апреля 2026 года.
Масштаб краж КНДР: $2,02 млрд в 2025 году (+51% к 2024‑му), всего $6,75 млрд. 1 апреля 2026 года произошёл крупнейший DeFi‑взлом года — на Drift Protocol похитили $285 млн. Биржа Stabble заявила о тревоге по выводам после проникновения сотрудника КНДР в руководство.
Ketman сопоставлял фиктивные профили по несостыковкам в резюме, маскировке часовых поясов, маршрутам выплат и повторяющимся техотпечаткам, мониторил доски вакансий, активность GitHub и найм. Открытые инструменты включают платформу анализа инцидентов DeFi, детектор подозрительных аккаунтов GitHub и фреймворк для клиентских DoS‑тестов. «100 операторов» — не про мгновенные взломы: это зарплаты режиму, разведка и подготовка атак. Следователи отслеживают средства из взлома Drift; проверки при найме в DeFi, вероятно, ужесточатся.