Внутренние угрозы: как внутренние участники становятся самым слабым звеном Крипто - Brave New Coin

На этой неделе было раскрыто, что в апреле 2024 года бывший сотрудник компании по аудиту смарт-контрактов Fuzzland использовал внутренний доступ, чтобы взломать протокол UniBTC Bedrock на сумму 2 миллиона долларов.

Отчет показывает, что нападающий был настойчивым и использовал много различных методов. Крот вставил задние двери в рабочие станции инженеров, работая в компании, что оставалось незамеченным в течение нескольких недель. Они также использовали социальную инженерию и атаки на цепочку поставок. Инцидент напоминает о другом недавнем "внутреннем преступлении" в Coinbase, где сотрудники службы поддержки продавали высококонфиденциальные данные клиентов преступным группам. Это еще раз подчеркивает тревожную истину: даже хорошо проверенные системы могут быть подорваны изнутри.

Инсайдеры становятся потенциальной экзистенциальной угрозой для криптоинфраструктуры. Это разработчики, сотрудники и даже сторонние подрядчики, которые имеют привилегированный доступ к системам и могут использовать этот доступ для злонамеренной выгоды.

Являются ли ваши разработчики слабым звеном?

Внутренние атаки часто обходят традиционные меры безопасности. Их метод проникновения основан на том, что им передают ключи от замка. Разработчики и аудиторы имеют доступ к производственным средам, права на коммиты и в реальном времени знают о слабостях системы.

Их метод входа основан на получении ключей от замка, а не на грубой силе или нулевых днях, а на получении законного доступа как доверенные члены команды. Оказавшись внутри, эти инсайдеры могут перемещаться по внутренним системам, устанавливать задние двери, эксфильтровать чувствительные ключи или манипулировать развертыванием смарт-контрактов, всё под предлогом нормальной активности разработчиков. Это делает их намного сложнее для обнаружения, чем внешние атакующие, и значительно увеличивает потенциальные возможности для долгосрочного, незамеченного компрометации.

Во многих отношениях доверие к членам команды стало угрозой безопасности. А в псевдонимной индустрии, где участники с открытым исходным кодом могут никогда не встретиться лично, задача проверки намерений и личности особенно сложна.

Киберармия Северной Кореи и внедрение в команды Web3

Наиболее тревожным подмножеством этой тенденции является государственное использование удаленной работы в качестве оружия. Согласно отчетам правительства США и кибербезопасной компании DTEX, Северная Корея внедрила спящих агентов в организации Web3, выдавая себя за фриланс-разработчиков и IT-специалистов. Эти агенты используют поддельные личности, убедительные вкладки на GitHub и профессиональные профили в LinkedIn, чтобы получать контракты в крипто-стартапах и DAO.

Попав внутрь, они либо крадут конфиденциальные учетные данные напрямую, либо вставляют задние двери в кодовую базу. Эти атаки чрезвычайно трудно обнаружить, особенно в глобально распределенных командах с минимальной проверкой лицом к лицу.

ФБР, Министерство финансов и Министерство юстиции выпустили совместные рекомендации, призывающие криптопроекты более тщательно проверять удаленных работников. На конец 2024 года более 1 миллиарда долларов США в криптовалюте были связаны с актерами, поддерживаемыми государством Северной Кореи.

Является ли псевдонимная культура криптовалюты риском для безопасности?

Безопасность — это не только код, это еще и люди. Одним из основных ценностей криптовалюты является возможность действовать псевдонимно; индустрия построена на уважении к индивидуальной конфиденциальности. Эта особенность, однако, затрудняет применение традиционных методов HR и безопасности. Хотя псевдонимность дала возможность информаторам, участникам с открытым исходным кодом и сообществам в репрессивных регионах, она также открывает двери для злоупотреблений.

Совместимы ли ценности децентрализации с моделями доверия, необходимыми для построения безопасных систем? Потенциальным решением является гибридный подход, при котором псевдонимные участники работают в изолированных ролях, в то время как основная инфраструктура ограничена проверенными членами команды.

Заключение

Эксплуатация Bedrock и более широкая тенденция связи с государством предполагают, что отрасль больше не может полагаться исключительно на внешние аудиты и вознаграждения за обнаружение ошибок. В секторе, построенном на прозрачности и коде, человеческое доверие может быть самой простой поверхностью для атаки.

Чтобы Web3 масштабировался безопасно, он должен столкнуться с неприятной истиной: самой опасной угрозой может быть не внешний враг, а уже находящийся внутри стен.