最近,以太坊基金会公布了 ETH Rangers 项目的半年成果。这个项目是 2024 年底推出的一个公共安全资助计划,专门资助那些在以太坊生态里做“公共品安全”工作的人。
半年结束后,基金会披露了一批成果,其中最吸引我注意的,是一个叫 Ketman 的项目。根据官方信息,Ketman 在 6 个月里联系了大约 53 个 Web3 项目,识别出约 100 名正在这些组织中活动的朝鲜黑客。
有意思的是,这些人并不是大家在新闻上看到的那种盗币的黑客,他们更像是伪装得很好的远程开发者:履历看起来正常,github 看起来也正常,面试时也能够表现得很好。等他们真的进入团队、拿到仓库权限、逐步接触更多内部信息后,他们才会开始下手。
Ketman Project 本身,就是冲着这种新型威胁去的。以太坊基金会的说法是,这个项目专注于发现并清除那些用假身份渗透区块链项目的朝鲜黑客。
那这些人是怎么混进来的?
首先是身份伪装。他们大量使用假日本身份证和精心制作的 KYC 文件,声称自己是来自东京的全栈区块链开发者。简历写得专业又低调,看起来完全符合远程岗位要求。
其次是 github 洗白。他们在 github 上创建或接手账号,积极贡献开源代码,建立可信的历史记录。 通过视频面试后,他们往往能顺利进入项目。入职初期表现安静,只专注于写代码,逐步获得内部仓库访问权限。整个过程不张扬,却足够隐蔽,让很多项目方把内部威胁请进门而毫不自知。
那 Ketman 是怎么发现他们的?
Ketman 团队靠的是系统化的模式识别。他们开发了一个专门的分析工具,能快速捕捉账号的异常行为模式——比如贡献历史与账号年龄不匹配、头像风格高度相似、账号之间存在互相捧场的集群痕迹等。这些线索放在一起,就勾勒出了可疑的群体画像。
最关键、也最有戏剧性的一步,是协助项目方进行钓鱼式面试(honeypot interview)。 在技术问答环节,他们会抛出一些只有真实本地开发者才熟悉的细节,或者突然要求用日语交流。不少“东京程序员”就在这一刻暴露了问题:回复时区不对、沟通习惯异常、屏幕共享时出现小破绽,甚至直接找借口消失。
正是通过这种工具筛选 + 实战验证的组合,Ketman 在半年内帮助很多项目识别并处理了约一百名可疑人员。很多项目方在收到通知后,才意识到自己团队里可能混进了奇奇怪怪的人。
我看了 Ketman 的报告后,虽然有点落井下石的嫌疑,不过我还是觉得,DeFi 确实不太适合普通人参与。它的风险结构太复杂、太隐蔽,太不对称了。前面那些烧脑玩法你都还没搞明白,后面还有项目跑路、内部渗透、供应链投毒在排队等着你。
太心累了,何必呢。