內部威脅：內部行爲者如何成爲加密貨幣的最薄弱環節 - Brave New Coin

本週披露，2024年4月，智能合約審計公司Fuzzland的一名前員工利用內部訪問權限黑客攻擊了Bedrock的UniBTC協議，竊取了200萬美元。

一份報告顯示，攻擊者非常頑強，並使用了多種不同的方法。在公司工作期間，內鬼在工程工作站中插入了後門，這一行爲在數周內未被發現。他們還使用了社會工程學和供應鏈攻擊。該事件讓人想起最近在Coinbase發生的另一樁“內部工作”，幫助臺員工向犯罪團夥出售高度機密的客戶數據。這進一步強調了一個令人不安的事實：即使是經過良好審計的系統也可能從內部被破壞。

內部人士正逐漸成爲加密基礎設施的潛在生存威脅。這些是擁有特權訪問系統的開發人員、員工甚至第三方承包商，他們可以利用這種訪問進行惡意獲利。

你的開發者是最薄弱的環節嗎？

內部攻擊通常會逃避傳統的安全措施。它們的入侵方法依賴於被授予進入特權。開發人員和審計人員可以訪問生產環境、提交權限，並實時了解系統漏洞。

他們的進入方式依賴於獲得進入城堡的鑰匙，而不是通過暴力破解或零日漏洞，而是通過作爲受信任的團隊成員確保合法訪問。一旦進入，這些內部人員可以在內部系統中橫向移動，植入後門，竊取敏感密鑰，或操縱智能合約的部署，所有這些都在正常開發活動的掩護下進行。這使得他們比外部攻擊者更難被發現，並顯著增加了長期未被發現的妥協的潛力。

在許多方面，對團隊成員的信任已成爲一種安全負擔。在一個可能永遠不會親自見面的僞匿名行業中，驗證意圖和身分的挑戰尤其復雜。

朝鮮網路軍與Web3團隊的滲透

最令人擔憂的趨勢子集是國家支持的遠程工作的武器化。根據美國政府報告和網路安全公司DTEX的說法，北朝鮮已經通過僞裝成自由開發者和IT工作人員，將臥底代理滲透到Web3組織中。這些特工使用虛假身分、令人信服的GitHub貢獻和專業的LinkedIn個人資料來確保在加密初創企業和DAO中獲得合同。

一旦進入，他們要麼直接竊取敏感憑證，要麼在代碼庫中插入後門。這些攻擊極難被發現，尤其是在全球分布的團隊中，面對面驗證很少。

聯邦調查局、財政部和司法部已聯合發布公告，敦促加密項目對遠程工作人員進行更嚴格的審查。截至2024年底，超過10億美元的加密盜竊案件已與朝鮮國家支持的行爲者相關聯。

加密貨幣的匿名文化是否構成安全風險？

安全不僅僅關乎代碼，還關乎人。加密貨幣的基本價值之一是能夠以假名運作；這個行業是圍繞對個人隱私的尊重而建立的。然而，這一特性使得傳統的人力資源和安全實踐難以應用。雖然假名制賦予了舉報者、開源貢獻者和壓迫地區的社區權力，但它也爲濫用打開了大門。

去中心化的價值觀與建立安全系統所需的信任模型是否兼容？一種潛在的解決方案是混合方法，其中僞名貢獻者在沙盒角色中運作，而核心基礎設施僅限於經過驗證的團隊成員。

結論

Bedrock漏洞以及與之相關的國家連結的趨勢表明，行業不再能夠僅僅依賴外部審計和漏洞賞金。在一個建立在透明和代碼基礎上的行業中，人類信任可能是最直接的攻擊面。

爲了讓Web3安全地擴展，它必須面對一個不舒服的真相：最危險的威脅可能不是外部的，而是在內部的牆壁之內。