Mối đe dọa từ bên trong: Cách mà các tác nhân nội bộ đang trở thành mắt xích yếu nhất của Tiền điện tử - Brave New Coin

Tuần này, đã được tiết lộ rằng vào tháng 4 năm 2024, một cựu nhân viên của công ty kiểm toán hợp đồng thông minh Fuzzland đã lợi dụng quyền truy cập nội bộ để hack giao thức UniBTC của Bedrock với số tiền 2 triệu đô la.

Một báo cáo cho thấy kẻ tấn công đã kiên trì và sử dụng nhiều phương pháp khác nhau. Kẻ gián điệp đã chèn backdoor vào các trạm làm việc kỹ thuật trong khi làm việc tại công ty, điều này đã không bị phát hiện trong nhiều tuần. Họ cũng đã sử dụng kỹ thuật xã hội, tấn công chuỗi cung ứng. Sự cố này gợi nhớ đến một 'công việc nội bộ' gần đây khác tại Coinbase, nơi nhân viên hỗ trợ đã bán dữ liệu khách hàng cực kỳ nhạy cảm cho các băng nhóm tội phạm. Điều này càng nhấn mạnh một sự thật đáng lo ngại: ngay cả những hệ thống được kiểm toán tốt cũng có thể bị xâm nhập từ bên trong.

Những người trong cuộc đang nổi lên như một mối đe dọa tồn tại tiềm tàng đối với hạ tầng crypto. Đây là các nhà phát triển, nhân viên, và thậm chí là các nhà thầu bên thứ ba có quyền truy cập đặc quyền vào các hệ thống và có thể khai thác quyền truy cập đó để thu lợi bất chính.

Các nhà phát triển của bạn có phải là liên kết yếu nhất không?

Các cuộc tấn công nội bộ thường thoát khỏi các biện pháp an ninh truyền thống. Phương thức xâm nhập của họ dựa vào việc được giao chìa khóa vào lâu đài. Các nhà phát triển và kiểm toán viên có quyền truy cập vào môi trường sản xuất, quyền cam kết và hiểu biết thời gian thực về các điểm yếu của hệ thống.

Phương pháp vào bên trong của họ phụ thuộc vào việc được trao chìa khóa vào lâu đài, không phải thông qua các cuộc tấn công brute-force hoặc khai thác zero-day, mà bằng cách đảm bảo quyền truy cập hợp pháp như những thành viên trong đội ngũ đáng tin cậy. Khi đã vào bên trong, những người này có thể di chuyển ngang qua các hệ thống nội bộ, cài đặt backdoor, đánh cắp các chìa khóa nhạy cảm, hoặc thao tác các triển khai hợp đồng thông minh, tất cả đều dưới vỏ bọc của hoạt động phát triển bình thường. Điều này khiến họ khó phát hiện hơn nhiều so với các kẻ tấn công bên ngoài và tăng đáng kể khả năng bị xâm nhập lâu dài mà không bị phát hiện.

Theo nhiều cách, sự tin tưởng vào các thành viên trong nhóm đã trở thành một trách nhiệm về an ninh. Và trong một ngành công nghiệp giả danh, nơi mà những người đóng góp mã nguồn mở có thể không bao giờ gặp mặt trực tiếp, thách thức trong việc xác minh ý định và danh tính trở nên đặc biệt phức tạp.

Quân đội mạng của Bắc Triều Tiên và sự xâm nhập của các đội Web3

Xu hướng đáng lo ngại nhất trong số các xu hướng là việc các quốc gia tài trợ vũ khí hóa công việc từ xa. Theo các báo cáo của chính phủ Hoa Kỳ và công ty an ninh mạng DTEX, Bắc Triều Tiên đã triển khai các điệp viên ngầm vào các tổ chức Web3 bằng cách giả mạo là các nhà phát triển tự do và nhân viên CNTT. Các điệp viên này sử dụng danh tính giả, những đóng góp thuyết phục trên GitHub, và các hồ sơ LinkedIn chuyên nghiệp để giành hợp đồng tại các công ty khởi nghiệp tiền điện tử và DAO.

Khi đã vào bên trong, họ sẽ hoặc đánh cắp thông tin xác thực nhạy cảm trực tiếp hoặc chèn các lỗ hổng vào mã nguồn. Những cuộc tấn công này rất khó phát hiện, đặc biệt là trong các nhóm phân phối toàn cầu với việc xác minh trực tiếp tối thiểu.

FBI, Bộ Tài chính và Bộ Tư pháp đã phát hành thông báo chung kêu gọi các dự án tiền điện tử cần thẩm định nhân viên làm việc từ xa một cách nghiêm ngặt hơn. Tính đến cuối năm 2024, hơn 1 tỷ USD trong các vụ trộm tiền điện tử đã được liên kết với các nhân vật được nhà nước Triều Tiên tài trợ.

Văn hóa bút danh của Crypto có phải là rủi ro về an ninh không?

Bảo mật không chỉ là về mã, mà còn là về con người. Một trong những giá trị nền tảng của tiền điện tử là khả năng hoạt động một cách ẩn danh; ngành công nghiệp được xây dựng dựa trên sự tôn trọng quyền riêng tư của cá nhân. Tuy nhiên, tính ẩn danh này khiến cho các thực tiễn HR và bảo mật truyền thống khó áp dụng. Trong khi tính ẩn danh đã trao quyền cho những người tố cáo, những người đóng góp mã nguồn mở, và các cộng đồng ở các khu vực bị áp bức, nó cũng mở ra cánh cửa cho sự lạm dụng.

Các giá trị của phi tập trung có tương thích với các mô hình tin cậy cần thiết để xây dựng các hệ thống an toàn không? Một giải pháp tiềm năng là phương pháp lai, trong đó các người đóng góp ẩn danh hoạt động trong các vai trò được cách ly, trong khi cơ sở hạ tầng cốt lõi chỉ giới hạn cho các thành viên trong nhóm đã được xác minh.

Kết luận

Lỗ hổng Bedrock và xu hướng rộng lớn hơn liên quan đến nhà nước cho thấy ngành công nghiệp không thể chỉ dựa vào kiểm toán bên ngoài và phần thưởng lỗi nữa. Trong một lĩnh vực được xây dựng trên sự minh bạch và mã, niềm tin của con người có thể là bề mặt tấn công đơn giản nhất.

Để Web3 có thể mở rộng một cách an toàn, nó phải đối mặt với một sự thật khó chịu: mối đe dọa nguy hiểm nhất có thể không phải ở bên ngoài nhìn vào, mà đã ở bên trong những bức tường.