Внутрішня загроза: як внутрішні учасники стають найслабшою ланкою Крипто - Brave New Coin

Цього тижня було розкрито, що в квітні 2024 року колишній співробітник фірми з аудиту смарт-контрактів Fuzzland скористався внутрішнім доступом, щоб зламати протокол UniBTC компанії Bedrock на суму 2 мільйони доларів.

Звіт показує, що зловмисник був наполегливим і використовував багато різних методів. Шпигун вставив бекдори в інженерні робочі станції, працюючи у фірмі, що залишалося непоміченим протягом кількох тижнів. Вони також використовували соціальну інженерію, атаки на ланцюг постачання. Інцидент нагадує про ще один нещодавній «внутрішній» випадок у Coinbase, де співробітники служби підтримки продавали надзвичайно конфіденційні дані клієнтів кримінальним угрупованням. Це ще раз підкреслює тривожну істину: навіть добре перевірені системи можуть бути підірвані зсередини.

Внутрішні особи стають потенційною екзистенційною загрозою для криптоінфраструктури. Це розробники, працівники та навіть сторонні підрядники, які мають привілейований доступ до систем і можуть використовувати цей доступ для злочинної вигоди.

Чи є ваші розробники найслабшою ланкою?

Внутрішні атаки часто ухиляються від традиційних заходів безпеки. Їхній спосіб входу базується на отриманні ключів до замку. Розробники та аудитори мають доступ до виробничих середовищ, привілеї на коміт та реальний час знання слабких місць системи.

Їхній метод входу ґрунтується на отриманні ключів до замку, а не через грубі атаки чи нульові вразливості, а шляхом забезпечення легітимного доступу як довірені члени команди. Опинившись усередині, ці інсайдери можуть переміщатися по внутрішніх системах, встановлювати бекдори, виводити чутливі ключі або маніпулювати розгортанням смарт-контрактів, все це під виглядом нормальної діяльності розробника. Це робить їх набагато важчими для виявлення, ніж зовнішні атаки, і значно збільшує потенціал для тривалого, непоміченого компромісу.

У багатьох відношеннях довіра до членів команди стала загрозою безпеці. А в псевдонімній індустрії, де відкриті внески можуть ніколи не зустрічатися в особі, виклик перевірки намірів і особи є особливо складним.

Кібер армія Північної Кореї та проникнення в команди Web3

Найбільш тривожним піднаправленням цього тренду є державна підтримка використання віддаленої роботи як зброї. Згідно з доповідями уряду США та кібербезпекової фірми DTEX, Північна Корея розгорнула сплячі агенти в організації Web3, видаючи себе за фріланс-розробників та ІТ-спеціалістів. Ці агенти використовують підроблені особистості, переконливі внески на GitHub та професійні профілі в LinkedIn, щоб забезпечити контракти в крипто-стартапах та DAO.

Потрапивши всередину, вони або безпосередньо викрадають чутливі облікові дані, або вставляють бекдори в кодову базу. Ці атаки надзвичайно важко виявити, особливо в глобально розподілених командах з мінімальною особистою перевіркою.

ФБР, Міністерство фінансів та Міністерство юстиції видали спільні рекомендації, закликаючи криптопроекти більш ретельно перевіряти віддалених працівників. Станом на кінець 2024 року, більше 1 мільярда доларів США у криптозлодіяннях було пов'язано з акторами, спонсорованими державою Північної Кореї.

Чи є псевдонімна культура криптовалюти ризиком для безпеки?

Безпека – це не лише код, це ще й люди. Однією з основоположних цінностей криптовалюти є можливість діяти псевдодинамічно; індустрія побудована на повазі до особистої конфіденційності. Однак ця особливість ускладнює застосування традиційних практик управління персоналом і безпеки. Хоча псевдодинаміка надала можливості викривачам, учасникам з відкритим кодом та громадам в репресивних регіонах, вона також відкриває двері для зловживань.

Чи сумісні цінності децентралізації з моделями довіри, необхідними для створення безпечних систем? Потенційним рішенням є гібридний підхід, в якому псевдонімні учасники діють у пісочницях, тоді як основна інфраструктура обмежена перевіреними членами команди.

Висновок

Експлуатація Bedrock та ширша тенденція зв'язків з державою свідчать про те, що індустрія більше не може покладатися виключно на зовнішні аудити та винагороди за виявлення помилок. У секторі, побудованому на прозорості та коді, людська довіра може бути найпростішою поверхнею атаки.

Щоб Web3 міг безпечно масштабуватися, він повинен зіткнутися з незручною правдою: найбільшою небезпекою може бути не те, що зовні, а вже всередині стін.