📢 #Gate观点任务# 第一期精彩启程!调研 Palio (PAL) 项目,在Gate广场发布您的看法观点,瓜分 $300 PAL!
💰️ 选取15名优质发帖用户,每人轻松赢取 $20 PAL!
👉 参与方式:
1. 调研$PAL项目,发表你对项目的见解。
2. 带上$PAL交易链接。
3. 推广$PAL生态周系列活动:
为庆祝PAL上线Gate交易,平台特推出HODLer Airdrop、CandyDrop、VIP Airdrop、Alpha及余币宝等多项PAL专属活动,回馈广大用户。请在帖文中积极宣传本次系列活动,详情:https://www.gate.com/announcements/article/45976
建议项目调研的主题:
🔹 Palio 是什么?
🔹 $PAL 代币经济模型如何运作?
🔹 如何参与 $PAL生态周系列活动?
您可以选择以上一个或多个方向发表看法,也可以跳出框架,分享主题以外的独到见解。
注意:帖子不得包含除 #Gate观点任务# 和 #PAL# 之外的其他标签,并确保你的帖子至少有 60 字,并获得至少 3 个点赞,否则将无法获得奖励。
⚠️ 重复内容的帖子将不会被选取,请分享属于你独特的观点。
⏰ 活动时间:截止至 2025年7月11日 24:00(UTC+8)
内部威胁:内部行为者如何成为加密货币的最薄弱环节 - Brave New Coin
本周披露,2024年4月,智能合约审计公司Fuzzland的一名前员工利用内部访问权限黑客攻击了Bedrock的UniBTC协议,窃取了200万美元。
一份报告显示,攻击者非常顽强,并使用了多种不同的方法。在公司工作期间,内鬼在工程工作站中插入了后门,这一行为在数周内未被发现。他们还使用了社会工程学和供应链攻击。该事件让人想起最近在Coinbase发生的另一桩“内部工作”,帮助台员工向犯罪团伙出售高度机密的客户数据。这进一步强调了一个令人不安的事实:即使是经过良好审计的系统也可能从内部被破坏。
内部人士正逐渐成为加密基础设施的潜在生存威胁。这些是拥有特权访问系统的开发人员、员工甚至第三方承包商,他们可以利用这种访问进行恶意获利。
你的开发者是最薄弱的环节吗?
内部攻击通常会逃避传统的安全措施。它们的入侵方法依赖于被授予进入特权。开发人员和审计人员可以访问生产环境、提交权限,并实时了解系统漏洞。
他们的进入方式依赖于获得进入城堡的钥匙,而不是通过暴力破解或零日漏洞,而是通过作为受信任的团队成员确保合法访问。一旦进入,这些内部人员可以在内部系统中横向移动,植入后门,窃取敏感密钥,或操纵智能合约的部署,所有这些都在正常开发活动的掩护下进行。这使得他们比外部攻击者更难被发现,并显著增加了长期未被发现的妥协的潜力。
在许多方面,对团队成员的信任已成为一种安全负担。在一个可能永远不会亲自见面的伪匿名行业中,验证意图和身份的挑战尤其复杂。
朝鲜网络军与Web3团队的渗透
最令人担忧的趋势子集是国家支持的远程工作的武器化。根据美国政府报告和网络安全公司DTEX的说法,北朝鲜已经通过伪装成自由开发者和IT工作人员,将卧底代理渗透到Web3组织中。这些特工使用虚假身份、令人信服的GitHub贡献和专业的LinkedIn个人资料来确保在加密初创企业和DAO中获得合同。
一旦进入,他们要么直接窃取敏感凭证,要么在代码库中插入后门。这些攻击极难被发现,尤其是在全球分布的团队中,面对面验证很少。
联邦调查局、财政部和司法部已联合发布公告,敦促加密项目对远程工作人员进行更严格的审查。截至2024年底,超过10亿美元的加密盗窃案件已与朝鲜国家支持的行为者相关联。
加密货币的匿名文化是否构成安全风险?
安全不仅仅关乎代码,还关乎人。加密货币的基本价值之一是能够以假名运作;这个行业是围绕对个人隐私的尊重而建立的。然而,这一特性使得传统的人力资源和安全实践难以应用。虽然假名制赋予了举报者、开源贡献者和压迫地区的社区权力,但它也为滥用打开了大门。
去中心化的价值观与建立安全系统所需的信任模型是否兼容?一种潜在的解决方案是混合方法,其中伪名贡献者在沙盒角色中运作,而核心基础设施仅限于经过验证的团队成员。
结论
Bedrock漏洞以及与之相关的国家链接的趋势表明,行业不再能够仅仅依赖外部审计和漏洞赏金。在一个建立在透明和代码基础上的行业中,人类信任可能是最直接的攻击面。
为了让Web3安全地扩展,它必须面对一个不舒服的真相:最危险的威胁可能不是外部的,而是在内部的墙壁之内。