İçeriden Gelen Tehdit: İç Aktörlerin Kripto'nun En Zayıf Halkası Haline Gelmesi - Brave New Coin

Bu hafta, Nisan 2024'te, akıllı sözleşme denetim firması Fuzzland'ın eski bir çalışanının, Bedrock'un UniBTC protokolünü 2 milyon $'a hacklemek için iç erişimi kötüye kullandığı ortaya çıktı.

Bir rapor, saldırganın ısrarcı olduğunu ve birçok farklı yöntem kullandığını ortaya koyuyor. İçerideki kişi, firmanın mühendislik iş istasyonlarına arka kapılar ekledi, bu da haftalarca tespit edilmedi. Ayrıca sosyal mühendislik ve tedarik zinciri saldırıları kullandılar. Olay, Coinbase'deki başka bir yakın tarihli ‘iç iş’ olayını hatırlatıyor; burada yardım masası çalışanları, son derece gizli müşteri verilerini suç çetelerine sattı. Bu durum, rahatsız edici bir gerçeği daha da vurguluyor: iyi denetlenmiş sistemler bile içten çökertilebilir.

İçeriden bilgiler, kripto altyapısına potansiyel bir varoluşsal tehdit olarak ortaya çıkıyor. Bu, sistemlere ayrıcalıklı erişimi olan geliştiriciler, çalışanlar ve hatta üçüncü taraf yüklenicilerdir ve bu erişimi kötü niyetli kazanç elde etmek için istismar edebilirler.

Geliştiricileriniz En Zayıf Bağlantı Mı?

İçeriden yapılan saldırılar genellikle geleneksel güvenlik önlemlerinden kaçınır. Giriş yöntemleri, kalenin anahtarlarının kendilerine verilmesine dayanır. Geliştiriciler ve denetçiler, üretim ortamlarına erişim, taahhüt ayrıcalıkları ve sistem zayıflıkları hakkında gerçek zamanlı bilgiye sahiptir.

Giriş yöntemleri, kaleye anahtarların teslim edilmesine dayanıyor; kaba kuvvet saldırıları veya sıfır gün açıkları ile değil, güvenilir ekip üyeleri olarak meşru erişim sağlayarak. İçeri girdikten sonra, bu içerden gelenler, iç sistemler arasında yatay hareket edebilir, arka kapılar kurabilir, hassas anahtarları dışarı aktarabilir veya akıllı sözleşme dağıtımlarını manipüle edebilir, tüm bunları normal geliştirici faaliyetleri kılıfında yapabilirler. Bu, onları dış saldırganlardan çok daha zor tespit edilebilir hale getirir ve uzun vadeli, tespit edilmemiş bir ihlal potansiyelini önemli ölçüde artırır.

Birçok açıdan, ekip üyelerine güven, bir güvenlik yükü haline gelmiştir. Ve yüz yüze hiç tanışmayabilecek açık kaynak katkıcılarının bulunduğu bir takma ad endüstrisinde, niyet ve kimlik doğrulama zorluğu özellikle karmaşık hale gelmektedir.

Kuzey Kore'nin Siber Ordusu ve Web3 Ekiplerine Sızma

En alarm verici trend alt kümesi, devlet destekli uzaktan çalışmanın silahlandırılmasıdır. ABD hükümeti raporlarına ve siber güvenlik firması DTEX'e göre, Kuzey Kore, Web3 organizasyonlarına uyuyan ajanlar yerleştirmiştir; bunlar serbest geliştiriciler ve BT çalışanları olarak kendilerini tanıtmaktadır. Bu operatörler, kripto girişimlerinde ve DAO'larda sözleşmeler elde etmek için sahte kimlikler, ikna edici GitHub katkıları ve profesyonel LinkedIn profilleri kullanmaktadır.

İçeri girdiklerinde, ya hassas kimlik bilgilerini doğrudan çalarlar ya da kod tabanına arka kapılar eklerler. Bu saldırılar, özellikle yüz yüze doğrulamanın minimum seviyede olduğu küresel dağıtılmış ekiplerde son derece zor tespit edilir.

FBI, Hazine ve Adalet Bakanlığı, kripto projelerinin uzaktan çalışanları daha titiz bir şekilde incelemeleri için ortak uyarılar yayınladı. 2024'ün sonlarına doğru, 1 milyar ABD dolarından fazla kripto hırsızlığı Kuzey Kore devlet destekli aktörlerle ilişkilendirilmiştir.

Kripto'nun Takma İsim Kültürü Bir Güvenlik Riski Mi?

Güvenlik sadece kodla ilgili değil, aynı zamanda insanlarla da ilgilidir. Kripto para biriminin temel değerlerinden biri, takma adla işlem yapabilme yeteneğidir; sektör bireysel mahremiyete saygı üzerine kurulmuştur. Ancak bu özellik, geleneksel İK ve güvenlik uygulamalarını uygulamayı zorlaştırır. Takma ad kullanımı, ihbarcıları, açık kaynak katkılarını ve baskıcı bölgelerdeki toplulukları güçlendirirken, aynı zamanda kötüye kullanım için kapıyı açar.

Merkeziyetsizlik değerleri, güvenli sistemler inşa etmek için gereken güven modelleriyle uyumlu mu? Potansiyel bir çözüm, takma ad kullanan katkıda bulunanların kum havuzunda rol oynadığı, temel altyapının ise yalnızca doğrulanmış ekip üyeleriyle sınırlı olduğu hibrit bir yaklaşımdır.

Sonuç

Bedrock istismarı ve devlet bağlantılı daha geniş eğilim, sektörün artık yalnızca dış denetimlere ve hata ödüllerine güvenemeyeceğini önermektedir. Şeffaflık ve kod üzerine inşa edilmiş bir sektörde, insan güveni en basit saldırı yüzeyi olabilir.

Web3'ün güvenli bir şekilde ölçeklenebilmesi için, rahatsız edici bir gerçekle yüzleşmesi gerekiyor: en tehlikeli tehdit dışarıda değil, zaten duvarların içinde olabilir.