- Rubrique
16k Popularité
2k Popularité
11k Popularité
3k Popularité
4k Popularité
9k Popularité
10k Popularité
45k Popularité
151k Popularité
1817k Popularité
- Épingler
16k Popularité
2k Popularité
11k Popularité
3k Popularité
4k Popularité
9k Popularité
10k Popularité
45k Popularité
151k Popularité
1817k Popularité
La menace interne : comment les acteurs internes deviennent le maillon le plus faible de Crypto - Brave New Coin
Il a été révélé cette semaine qu'en avril 2024, un ancien employé de la société d'audit de smart contract Fuzzland a exploité un accès interne pour pirater le protocole UniBTC de Bedrock pour 2 millions de dollars.
Un rapport révèle que l'attaquant était persistant et a utilisé de nombreuses méthodes différentes. L'infiltré a inséré des portes dérobées dans les stations de travail d'ingénierie tout en travaillant dans l'entreprise, ce qui est resté non détecté pendant des semaines. Ils ont également utilisé l'ingénierie sociale, des attaques de la chaîne d'approvisionnement. L'incident rappelle un autre récent ‘travail interne’ chez Coinbase où le personnel du service d'assistance a vendu des données clients hautement confidentielles à des gangs criminels. Cela souligne une vérité troublante : même les systèmes bien audités peuvent être sapés de l'intérieur.
Les initiés émergent comme une menace existentielle potentielle pour l'infrastructure crypto. Ce sont des développeurs, des employés et même des sous-traitants tiers qui ont un accès privilégié aux systèmes et qui peuvent exploiter cet accès à des fins malveillantes.
Vos développeurs sont-ils le maillon faible ?
Les attaques internes contournent souvent les mesures de sécurité traditionnelles. Leur méthode d'entrée repose sur le fait de se voir remettre les clés du château. Les développeurs et les auditeurs ont accès aux environnements de production, des privilèges de commit et une connaissance en temps réel des faiblesses du système.
Leur méthode d'entrée repose sur le fait d'obtenir les clés du château, non pas par des hacks de force brute ou des exploits de jour zéro, mais en sécurisant un accès légitime en tant que membres de l'équipe de confiance. Une fois à l'intérieur, ces initiés peuvent se déplacer latéralement à travers les systèmes internes, implanter des portes dérobées, exfiltrer des clés sensibles ou manipuler les déploiements de contrats intelligents, le tout sous le couvert d'une activité normale de développeur. Cela les rend beaucoup plus difficiles à détecter que les attaquants externes et augmente considérablement le potentiel de compromission à long terme et non détectée.
De nombreuses manières, la confiance envers les membres de l'équipe est devenue une responsabilité en matière de sécurité. Et dans une industrie pseudonyme où les contributeurs open-source peuvent ne jamais se rencontrer en personne, le défi de vérifier l'intention et l'identité est particulièrement complexe.
L'armée cybernétique de la Corée du Nord et l'infiltration des équipes Web3
Le sous-ensemble de tendance le plus alarmant est l'armement du travail à distance par l'État. Selon des rapports du gouvernement américain et de la société de cybersécurité DTEX, la Corée du Nord a déployé des agents dormants dans des organisations Web3 en se faisant passer pour des développeurs freelance et des travailleurs IT. Ces agents utilisent de fausses identités, des contributions convaincantes sur GitHub et des profils professionnels LinkedIn pour obtenir des contrats dans des startups crypto et des DAO.
Une fois à l'intérieur, ils volent soit des identifiants sensibles directement, soit insèrent des portes dérobées dans la base de code. Ces attaques sont extrêmement difficiles à détecter, en particulier dans des équipes distribuées à l'échelle mondiale avec une vérification en personne minimale.
Le FBI, le Trésor et le Département de la Justice ont publié des avis conjoints exhortant les projets crypto à vérifier plus rigoureusement les travailleurs à distance. À la fin de 2024, plus d'un milliard de dollars américains en vols de crypto ont été liés à des acteurs soutenus par l'État nord-coréen.
La culture pseudonyme de la crypto constitue-t-elle un risque de sécurité ?
La sécurité ne concerne pas seulement le code, mais aussi les personnes. Une des valeurs fondamentales de la crypto est la capacité à fonctionner de manière pseudonyme ; l'industrie est construite autour du respect de la vie privée individuelle. Cependant, cette caractéristique rend difficiles l'application des pratiques traditionnelles en matière de ressources humaines et de sécurité. Alors que le pseudonymat a permis aux lanceurs d'alerte, aux contributeurs open source et aux communautés dans des régions oppressives de s'exprimer, il ouvre également la porte aux abus.
Les valeurs de la décentralisation sont-elles compatibles avec les modèles de confiance nécessaires pour construire des systèmes sécurisés ? Une solution potentielle est une approche hybride, où des contributeurs pseudonymes opèrent dans des rôles isolés, tandis que l'infrastructure de base est limitée aux membres de l'équipe vérifiés.
Conclusion
L'exploitation de Bedrock et la tendance plus large des liens avec l'État suggèrent que l'industrie ne peut plus se fier uniquement aux audits externes et aux programmes de récompenses pour les bugs. Dans un secteur construit sur la transparence et le code, la confiance humaine peut être la surface d'attaque la plus évidente.
Pour que le Web3 puisse se développer en toute sécurité, il doit faire face à une vérité inconfortable : la menace la plus dangereuse ne se trouve peut-être pas à l'extérieur, mais déjà à l'intérieur des murs.