Ancaman Insider: Bagaimana Aktor Internal Menjadi Kelemahan Terbesar Crypto - Brave New Coin

Minggu ini terungkap bahwa pada April 2024, seorang mantan karyawan dari firma audit smart contract Fuzzland mengeksploitasi akses internal untuk membobol protokol UniBTC Bedrock senilai $2 juta.

Sebuah laporan mengungkapkan bahwa penyerang tersebut gigih dan menggunakan banyak metode berbeda. Sang mata-mata memasukkan pintu belakang di workstation teknik saat bekerja di perusahaan, yang tidak terdeteksi selama berminggu-minggu. Mereka juga menggunakan rekayasa sosial, serangan rantai pasokan. Insiden ini mengingatkan pada 'pekerjaan dalam' baru-baru ini di Coinbase di mana staf helpdesk menjual data pelanggan yang sangat rahasia kepada geng kriminal. Ini semakin menegaskan kebenaran yang mengganggu: bahkan sistem yang telah diaudit dengan baik dapat dirongrong dari dalam.

Orang dalam muncul sebagai ancaman eksistensial potensial bagi infrastruktur kripto. Mereka adalah pengembang, karyawan, dan bahkan kontraktor pihak ketiga yang memiliki akses istimewa ke sistem dan yang dapat mengeksploitasi akses tersebut untuk keuntungan jahat.

Apakah Pengembang Anda adalah Tautan Terlemah?

Serangan dari dalam sering kali menghindari langkah-langkah keamanan tradisional. Metode masuk mereka bergantung pada diberikan kunci ke kastil. Pengembang dan auditor memiliki akses ke lingkungan produksi, hak istimewa komit, dan pengetahuan waktu nyata tentang kelemahan sistem.

Metode masuk mereka bergantung pada diberikan kunci kastil, bukan melalui peretasan kekuatan bruto atau eksploitasi zero-day, tetapi dengan mengamankan akses yang sah sebagai anggota tim yang dipercaya. Begitu berada di dalam, orang dalam ini dapat bergerak secara lateral melalui sistem internal, menanam backdoor, mengekstrak kunci sensitif, atau memanipulasi penyebaran smart contract, semua di bawah kedok aktivitas pengembang normal. Ini membuat mereka jauh lebih sulit terdeteksi dibandingkan penyerang eksternal dan secara signifikan meningkatkan potensi untuk kompromi jangka panjang yang tidak terdeteksi.

Dalam banyak hal, kepercayaan terhadap anggota tim telah menjadi liabilitas keamanan. Dan dalam industri pseudonim di mana kontributor sumber terbuka mungkin tidak pernah bertemu secara langsung, tantangan untuk memverifikasi niat dan identitas menjadi sangat kompleks.

Angkatan Siber Korea Utara dan Penyusupan Tim Web3

Subset tren yang paling mengkhawatirkan adalah penggunaan senjata oleh negara untuk pekerjaan jarak jauh. Menurut laporan pemerintah AS dan perusahaan keamanan siber DTEX, Korea Utara telah mengirimkan agen tidur ke dalam organisasi Web3 dengan menyamar sebagai pengembang freelance dan pekerja TI. Para operatif ini menggunakan identitas palsu, kontribusi GitHub yang meyakinkan, dan profil LinkedIn profesional untuk mengamankan kontrak di startup kripto dan DAO.

Setelah masuk, mereka baik mencuri kredensial sensitif secara langsung atau menyisipkan pintu belakang ke dalam basis kode. Serangan ini sangat sulit dideteksi, terutama dalam tim yang tersebar secara global dengan verifikasi tatap muka yang minimal.

FBI, Kementerian Keuangan, dan Departemen Kehakiman telah mengeluarkan nasihat bersama yang mendesak proyek crypto untuk lebih teliti dalam memeriksa pekerja jarak jauh. Pada akhir 2024, lebih dari US$1 miliar dalam pencurian crypto telah dikaitkan dengan aktor yang didukung oleh negara Korea Utara.

Apakah Budaya Pseudonim Crypto Merupakan Risiko Keamanan?

Keamanan bukan hanya tentang kode, tetapi juga tentang orang. Salah satu nilai dasar crypto adalah kemampuan untuk beroperasi secara pseudonim; industri ini dibangun di atas penghormatan terhadap privasi individu. Namun, fitur ini membuat praktik HR dan keamanan tradisional sulit diterapkan. Sementara pseudonimitas telah memberdayakan pelapor, kontributor open-source, dan komunitas di daerah yang menindas, itu juga membuka pintu untuk penyalahgunaan.

Apakah nilai-nilai desentralisasi kompatibel dengan model kepercayaan yang diperlukan untuk membangun sistem yang aman? Solusi potensial adalah pendekatan hibrida, di mana kontributor yang menggunakan pseudonim beroperasi dalam peran yang dibatasi, sementara infrastruktur inti terbatas pada anggota tim yang terverifikasi.

Kesimpulan

Eksploitasi Bedrock dan tren yang lebih luas yang terkait dengan negara menunjukkan bahwa industri tidak lagi dapat mengandalkan hanya pada audit eksternal dan program hadiah bug. Dalam sektor yang dibangun di atas transparansi dan kode, kepercayaan manusia mungkin menjadi permukaan serangan yang paling sederhana.

Agar Web3 dapat berkembang dengan aman, ia harus menghadapi sebuah kebenaran yang tidak nyaman: ancaman paling berbahaya mungkin bukan dari luar yang melihat ke dalam, tetapi sudah berada di dalam tembok.