内部の脅威：内部関係者が暗号資産の最も弱いリンクになりつつある - Brave New Coin

今週明らかになったのは、2024年4月にスマートコントラクト監査会社Fuzzlandの元従業員が内部アクセスを悪用してBedrockのUniBTCプロトコルを200万ドルでハッキングしたということです。

報告によると、攻撃者は粘り強く、多くの異なる手法を使用していた。モグラは、同社での勤務中にエンジニアリングワークステーションにバックドアを挿入し、数週間にわたり発見されなかった。また、ソーシャルエンジニアリングやサプライチェーン攻撃も使用した。この事件は、カストディアルスタッフが極秘の顧客データを犯罪組織に売ったCoinbaseでの最近の「内部犯行」を思い起こさせる。これは、よく監査されたシステムであっても内部から侵食される可能性があるという不穏な真実をさらに強調している。

内部関係者は、暗号インフラストラクチャに対する潜在的な存在的脅威として浮上しています。これらは、特権アクセスを持つシステムにアクセスでき、そのアクセスを悪意のある利益のために悪用できる開発者、従業員、さらには第三者契約者です。

あなたの開発者は最も弱いリンクですか？

内部攻撃は、従来のセキュリティ対策を回避することがよくあります。彼らの侵入方法は、城の鍵を渡されることに依存しています。開発者や監査人は、本番環境へのアクセス、コミット権限、システムの弱点に関するリアルタイムの知識を持っています。

彼らの侵入方法は、 brute-force ハッキングや zero-day 脆弱性を通じてではなく、信頼されたチームメンバーとして正当なアクセスを確保することに依存しています。一度内部に入ると、これらの内部者は内部システムを横移動し、バックドアを仕掛け、機密キーを流出させたり、スマートコントラクトの展開を操作したりすることができ、すべては通常の開発者活動の仮面をかぶっています。これにより、外部の攻撃者よりもはるかに検出が難しくなり、長期的かつ未検出の侵害の可能性が大幅に増加します。

多くの点において、チームメンバーへの信頼はセキュリティのリスクとなっています。そして、顔を合わせることがないかもしれないオープンソースの貢献者がいる仮名の業界では、意図とアイデンティティを確認することが特に複雑な課題となっています。

北朝鮮のサイバー軍とWeb3チームの侵入

最も懸念すべきトレンドのサブセットは、国家が支援するリモートワークの武器化です。アメリカ政府の報告書およびサイバーセキュリティ企業DTEXによると、北朝鮮はフリーランスの開発者やITワーカーを装ってWeb3組織にスリーパーエージェントを送り込んでいます。これらの工作員は、偽の身元、説得力のあるGitHubへの貢献、およびプロフェッショナルなLinkedInプロフィールを使用して、暗号スタートアップやDAOで契約を確保しています。

内部に入ると、彼らは直接機密の認証情報を盗むか、コードベースにバックドアを挿入します。これらの攻撃は、特に対面での確認が最小限のグローバルに分散したチームでは、非常に検出が難しいです。

FBI、財務省、及び司法省は、暗号プロジェクトに対してリモートワーカーをより厳格に審査するようにとの共同勧告を発表しました。2024年末時点で、10億米ドル以上の暗号盗難が北朝鮮の国家支援者に関連付けられています。

暗号の偽名文化はセキュリティリスクなのか？

セキュリティは単にコードだけの問題ではなく、人々の問題です。暗号の基本的な価値の一つは、擬似的に運営する能力です。この業界は、個人のプライバシーに対する尊重を基盤にしています。しかし、この特徴は、従来の人事やセキュリティの慣行を適用するのを難しくします。擬似性は、内部告発者やオープンソースの貢献者、抑圧的な地域のコミュニティに力を与えましたが、一方で悪用の扉も開いてしまいます。

分散化の価値は、安全なシステムを構築するために必要な信頼モデルと互換性がありますか？潜在的な解決策は、擬似的な貢献者がサンドボックス化された役割で操作し、コアインフラストラクチャが検証されたチームメンバーに制限されるハイブリッドアプローチです。

結論

Bedrockの脆弱性と国家に関連する広範な傾向は、業界がもはや外部監査やバグバウンティにのみ依存できないことを示唆しています。透明性とコードに基づいて構築されたセクターでは、人間の信頼が最も単純な攻撃対象になり得ます。

Web3が安全にスケールするためには、不快な真実に取り組む必要があります。それは、最も危険な脅威は外部から見ているのではなく、すでに内部に存在しているかもしれないということです。