A Ameaça Interna: Como os Atores Internos Estão se Tornando o Elo Mais Fraco do Cripto - Brave New Coin

Foi revelado esta semana que em abril de 2024, um ex-funcionário da empresa de auditoria de contratos inteligentes Fuzzland explorou o acesso interno para hackear o protocolo UniBTC da Bedrock por 2 milhões de dólares.

Um relatório revela que o atacante foi persistente e usou muitos métodos diferentes. O infiltrado inseriu portas dos fundos nas estações de trabalho de engenharia enquanto trabalhava na empresa, o que passou despercebido por semanas. Eles também usaram engenharia social e ataques à cadeia de suprimentos. O incidente lembra outro ‘trabalho interno’ recente na Coinbase, onde a equipe de suporte vendeu dados de clientes altamente confidenciais para gangues criminosas. Isso ressalta uma verdade perturbadora: mesmo sistemas bem auditados podem ser minados de dentro.

Os insiders estão a emergir como uma potencial ameaça existencial à infraestrutura cripto. Estes são desenvolvedores, funcionários e até contratantes de terceiros que têm acesso privilegiado aos sistemas e que podem explorar esse acesso para ganho maligno.

Os Seus Desenvolvedores São o Elos Mais Fracos?

Os ataques internos frequentemente conseguem evitar medidas de segurança tradicionais. O seu método de entrada baseia-se na entrega das chaves do castelo. Os desenvolvedores e auditores têm acesso a ambientes de produção, privilégios de commit e conhecimento em tempo real das fraquezas do sistema.

O método de entrada deles baseia-se em receber as chaves do castelo, não através de hacks de força bruta ou exploits de zero-day, mas assegurando acesso legítimo como membros da equipe de confiança. Uma vez dentro, esses insiders podem se mover lateralmente através dos sistemas internos, plantar backdoors, exfiltrar chaves sensíveis ou manipular implantações de contratos inteligentes, tudo sob a aparência de atividade normal de desenvolvedor. Isso os torna muito mais difíceis de detectar do que atacantes externos e aumenta significativamente o potencial de comprometimento a longo prazo, indetectável.

De muitas maneiras, a confiança nos membros da equipa tornou-se uma responsabilidade de segurança. E numa indústria pseudónima onde os contribuintes de código aberto podem nunca se encontrar pessoalmente, o desafio de verificar a intenção e a identidade é especialmente complexo.

O Exército Cibernético da Coreia do Norte e a Infiltração das Equipas Web3

O subconjunto da tendência mais alarmante é a weaponização do trabalho remoto patrocinada pelo estado. De acordo com relatórios do governo dos EUA e da empresa de cibersegurança DTEX, a Coreia do Norte implantou agentes adormecidos em organizações Web3, fazendo-se passar por desenvolvedores freelancers e trabalhadores de TI. Esses operativos usam identidades falsas, contribuições convincentes no GitHub e perfis profissionais no LinkedIn para garantir contratos em startups de cripto e DAOs.

Uma vez dentro, eles ou roubam credenciais sensíveis diretamente ou inserem portas dos fundos no código-fonte. Esses ataques são extremamente difíceis de detectar, especialmente em equipes distribuídas globalmente com verificação mínima em pessoa.

O FBI, o Tesouro e o Departamento de Justiça emitiram avisos conjuntos instando os projetos de criptomoeda a examinarem os trabalhadores remotos de forma mais rigorosa. A partir do final de 2024, mais de 1 bilhão de dólares em roubos de criptomoeda foram vinculados a atores patrocinados pelo Estado norte-coreano.

A Cultura Pseudónima do Crypto é um Risco de Segurança?

A segurança não se resume apenas a código, mas também a pessoas. Um dos valores fundamentais do cripto é a capacidade de operar de forma pseudônima; a indústria é construída em torno do respeito pela privacidade individual. No entanto, essa característica torna difíceis a aplicação de práticas tradicionais de RH e segurança. Embora a pseudonimidade tenha capacitado denunciantes, colaboradores de código aberto e comunidades em regiões opressivas, também abre a porta para abusos.

Os valores de descentralização são compatíveis com os modelos de confiança necessários para construir sistemas seguros? Uma solução potencial é uma abordagem híbrida, onde contribuintes pseudónimos operam em funções isoladas, enquanto a infraestrutura central é limitada a membros da equipe verificados.

Conclusão

A exploração Bedrock e a tendência mais ampla de ligação estatal sugerem que a indústria não pode mais confiar apenas em auditorias externas e recompensas por bugs. Em um setor construído sobre transparência e código, a confiança humana pode ser a superfície de ataque mais direta.

Para que o Web3 possa escalar de forma segura, deve enfrentar uma verdade desconfortável: a ameaça mais perigosa pode não estar do lado de fora a espreitar, mas já dentro das paredes.