内部威胁:内部行为者如何成为加密货币的最薄弱环节 - Brave New Coin

本周披露,2024年4月,智能合约审计公司Fuzzland的一名前员工利用内部访问权限黑客攻击了Bedrock的UniBTC协议,窃取了200万美元。

一份报告显示,攻击者非常顽强,并使用了多种不同的方法。在公司工作期间,内鬼在工程工作站中插入了后门,这一行为在数周内未被发现。他们还使用了社会工程学和供应链攻击。该事件让人想起最近在Coinbase发生的另一桩“内部工作”,帮助台员工向犯罪团伙出售高度机密的客户数据。这进一步强调了一个令人不安的事实:即使是经过良好审计的系统也可能从内部被破坏。

内部人士正逐渐成为加密基础设施的潜在生存威胁。这些是拥有特权访问系统的开发人员、员工甚至第三方承包商,他们可以利用这种访问进行恶意获利。

你的开发者是最薄弱的环节吗?

内部攻击通常会逃避传统的安全措施。它们的入侵方法依赖于被授予进入特权。开发人员和审计人员可以访问生产环境、提交权限,并实时了解系统漏洞。

他们的进入方式依赖于获得进入城堡的钥匙,而不是通过暴力破解或零日漏洞,而是通过作为受信任的团队成员确保合法访问。一旦进入,这些内部人员可以在内部系统中横向移动,植入后门,窃取敏感密钥,或操纵智能合约的部署,所有这些都在正常开发活动的掩护下进行。这使得他们比外部攻击者更难被发现,并显著增加了长期未被发现的妥协的潜力。

在许多方面,对团队成员的信任已成为一种安全负担。在一个可能永远不会亲自见面的伪匿名行业中,验证意图和身份的挑战尤其复杂。

朝鲜网络军与Web3团队的渗透

最令人担忧的趋势子集是国家支持的远程工作的武器化。根据美国政府报告和网络安全公司DTEX的说法,北朝鲜已经通过伪装成自由开发者和IT工作人员,将卧底代理渗透到Web3组织中。这些特工使用虚假身份、令人信服的GitHub贡献和专业的LinkedIn个人资料来确保在加密初创企业和DAO中获得合同。

一旦进入,他们要么直接窃取敏感凭证,要么在代码库中插入后门。这些攻击极难被发现,尤其是在全球分布的团队中,面对面验证很少。

联邦调查局、财政部和司法部已联合发布公告,敦促加密项目对远程工作人员进行更严格的审查。截至2024年底,超过10亿美元的加密盗窃案件已与朝鲜国家支持的行为者相关联。

加密货币的匿名文化是否构成安全风险?

安全不仅仅关乎代码,还关乎人。加密货币的基本价值之一是能够以假名运作;这个行业是围绕对个人隐私的尊重而建立的。然而,这一特性使得传统的人力资源和安全实践难以应用。虽然假名制赋予了举报者、开源贡献者和压迫地区的社区权力,但它也为滥用打开了大门。

去中心化的价值观与建立安全系统所需的信任模型是否兼容?一种潜在的解决方案是混合方法,其中伪名贡献者在沙盒角色中运作,而核心基础设施仅限于经过验证的团队成员。

结论

Bedrock漏洞以及与之相关的国家链接的趋势表明,行业不再能够仅仅依赖外部审计和漏洞赏金。在一个建立在透明和代码基础上的行业中,人类信任可能是最直接的攻击面。

为了让Web3安全地扩展,它必须面对一个不舒服的真相:最危险的威胁可能不是外部的,而是在内部的墙壁之内。

查看原文
此页面可能包含第三方内容,仅供参考(非陈述/保证),不应被视为 Gate 认可其观点表述,也不得被视为财务或专业建议。详见声明
  • 赞赏
  • 评论
  • 分享
评论
0/400
暂无评论
交易,随时随地
qrCode
扫码下载 Gate APP
社群列表
简体中文
  • 简体中文
  • English
  • Tiếng Việt
  • 繁體中文
  • Español
  • Русский
  • Français (Afrique)
  • Português (Portugal)
  • Bahasa Indonesia
  • 日本語
  • بالعربية
  • Українська
  • Português (Brasil)