Експлойт Drift і попереднє попередження Stabble вказують на складну проблему криптовалютної безпеки: наступна велика утеча може розпочатися ще до того, як фонди будуть переміщені в ланцюжок.
Саме це робить ці інциденти більш ніж ізольованими сигналами тривоги. Вони свідчать про те, що деякі протоколи все ще шукають вади в розумних контрактах, тоді як справжня вразливість лежить в сфері найму, доступу, управління та довірчих відносин.
1 квітня Drift призупинив депозити та виведення коштів і повідомив користувачів, що піддається активній атаці.
До 5 квітня команда заявила з середнім-високим рівнем впевненості, що ті самі загрозливі актори, які стояли за хакуванням Radiant Capital у жовтні 2024 року, здійснили операцію.
оцінили витік приблизно в 285 мільйонів доларів і описали складну схему, в якій особи використовували 1 мільйон доларів власного капіталу та зустрічалися особисто з членами команди Drift, щоб проникнути в структуру протоколу.
З технічної сторони TRM визначила критичну слабкість як соціальну інженерію мультипідписувачів у поєднанні з міграцією Ради безпеки з нульовим тимелоком. Цей дизайн управління дозволив атакувальникам виконувати привілейовані дії без затримок, призначених для виявлення неавторизованих змін.
Чому це важливо Це зсуває ризик з коду сам по собі на людей та дозволи навколо нього. Для користувачів та ринків це означає, що протокол може здаватися робочим до тих пір, поки прихована вада доступу не спровокує подію з живими фондами, примусове виведення коштів або раптову втрату довіри.
зазначили, що схеми відмивання та мережеві індикатори збігалися з попередніми операціями, пов’язаними з КНДР, і вказували на ймовірну компрометацію адміністративних ключів, які дозволили привілейовані виведення коштів та адміністративний контроль.
Атакувальники здобули достатньо довіри, щоб перетворити звичайний доступ на 12-хвилинний витік на суму 285 мільйонів доларів.
Хронологія показує, що експлойт Drift розгортався протягом місяців соціальної інженерії перед 12-хвилинним витоком на суму 285 мільйонів доларів 1 квітня.
7 квітня ліквідний протокол Stabble повідомив своїх ліквідаторів про виведення коштів як запобіжний захід.
Нова команда, яка нещодавно придбала протокол, заявила, що виявила, що колишній технічний керівник, як здається, був тією ж особою, яку ZachXBT публічно виказав як ІТ-робітника.
Протокол пообіцяв нові аудити перед відновленням роботи. Що продемонстрував Stabble, то те, що передбачувана внутрішня вразливість тепер рухає користувачів досить швидко, щоб скласти окрему подію з живими фондами.
Інструкція з експлуатації вже існує Скарбниця поставила цифри на проблему: схеми шахрайства ІТ-робітників КНДР генерували майже 800 мільйонів доларів у 2024 році, використовуючи підроблені документи, вкрадені особи та сфабриковані персони.
Відділ юстиції окремо заявив, що північнокорейські оперативники отримали роботу в компанії, використовуючи підроблені та вкрадені особи. У одному випадку в Атланті працівники викрали понад 900 тисяч доларів віртуальної валюти.
Це були проникнення в робочу силу, які тривали в декількох компаніях протягом тривалого періоду.
Flare і X-Force опублікували свій оперативний розбір 18 березня. Дослідження рекрутерів, фасилітаторів, ІТ-робітників та співробітників, які допомагають з верифікацією особи та налаштуванням.
Як тільки вони вбудовані, оперативники використовують інструменти віддаленого доступу, послуги VPN та проксі, а також внутрішні канали зв’язку, залишаючи виявні, але часто пропущені сліди в журналах пристроїв.
Flare і IBM розглядають це як спільну проблему, яка належить спільно командам безпеки та кадровим службам, і вимагає координації під час найму, налаштування, контролю доступу та відключення дисциплін.
Сцена Хто залучений Що відбувається Як виглядає попередній сигнал Чому команди криптовалют часто пропускають це Найм / фабрикація особи Рекрутери, фасилітатори, фальшиві заявники, співробітники Оперативники створюють фальшиві персони, використовуючи підроблені документи, вкрадені особи та сфабриковані трудові історії, щоб пройти відбір Несумісні біографічні дані, тонкий цифровий слід, несумісність особи, підозрілі рекомендації Команди оптимізують швидкість та технічний талант, а не огляди найму на присутність противника Найм / налаштування Кадрові служби, керівники найму, співробітники / брокери, ІТ-робітники Співробітники допомагають кандидатам пройти верифікацію особи, перевірки біографії та налаштування Незвичайна допомога під час налаштування, аномалії документів, несумісності пристрою / місця, підозрілі рекомендації Команди найму та безпеки часто працюють окремо, тому жодна команда не бачить цілу картину Вбудовування в команди ІТ-робітники, менеджери, колеги, підрядники Як тільки вони найняті, оперативники встановлюють легітимність протягом часу завдяки звичайній роботі та довірчим відносинам Інтенсивне використання VPN / проксі, незвичайні моделі віддаленого доступу, дивні журнали пристроїв, обмежена готовність до прямого спілкування Нормальне поведінку віддаленої роботи може маскувати індикатори, а менші команди не мають глибини моніторингу Накопичення доступу Розробники, адміністратори, підписувачі, оператори управління Довірені внутрішні особи здобувають дозволи, вплив підписувача, доступ адміністратора або видимість у чутливих робочих процесах Накопичення дозволів, надмірний доступ ролі, слабка роздільність обов’язків, сплячі затвердження, що знаходяться на місці Безпека криптовалют часто орієнтована на код, тому дизайн доступу людини отримує менше уваги, ніж розумні контракти Експлуатація / крадіжка або шантаж Компрометовані внутрішні особи, зовнішні обробники, мережі відмивання Атакувальники перетворюють звичайний доступ на привілейовані виведення коштів, дії управління, компрометацію ключа або крадіжку після доступу Раптове використання привілейованих функцій, підозрілі міграції управління, незвичайна поведінка виведення коштів, аварійні паузи До тих пір, поки діяльність в ланцюжку не виглядає аномально, порушення довіри вже відбулося раніше Пізніше реагування на інцидент Команди протоколів, користувачі, аудитори, слідчі Команди призупиняють роботу, просять користувачів вивести кошти, обертати доступ, проводити аудити та розслідувати вразливість Попередні попередження про виведення коштів, аудити, перевірки доступу, оновлення атрибуції Більшість протоколів не мають зрілих інструкцій з мінімізації внутрішнього ризику та відключення Reuters повідомили 31 березня, що операція, пов’язана з Північною Кореєю, скомпрометувала широко використовуваний пакет Axios npm у ланцюжковому атаці, який міг би вплинути на мільйони середовищ.
Актор, який стояв за цією компрометацією, UNC1069, відрізняється від UNC4736, кластера, пов’язаного з Drift. Однак обидва випадки експлуатують довірчі відносини, що складаються з довірчої особи, довірчого підписувача та довірчого пакету до того, як торкнутися коштів або систем.
Чого очікувати Песимістичний випадок проходить через те, що експлойт показує про приховану вразливість по всьому.
Якщо атакувальники витратили з 11 березня по 1 квітня на вбудовування попередньо підписаних авторизацій та інженерії затверджень перед виконанням витоку, це додається до місяців складної соціальної інженерії. Інші протоколи можуть вже містити компрометованих підписувачів, підрядників або учасників, яких вони ще не визначили.
Ситуація з Stabble, коли підозрілий зв’язок з виданим ідентифікатором з’явився в публічних дослідженнях до того, як команда сама виявила свої власні контролі, показує, як часто організації дізнаються про свою власну вразливість ззовні.
Цифра Скарбниці у 800 мільйонів доларів за один рік ставить нижню межу загрози, яка вже має свою вартість. Цифра Міністерства юстиції у понад 100 компаній свідчить про те, що розподіл цілей є широким.
У такій обстановці наступна велика втрата може вже бути всередині периметру, чекаючи на вікно управління або обертання адміністративного ключа.
Оптимістичний випадок ґрунтується на здатності сектора адаптуватися, коли модель загрози стає конкретною. Drift є конкретним доводом, а контрзаходи добре задокументовані.
Протоколи можуть додати тимелоки до міграцій управління, зменшити повноваження підписувачів, розділити дозволи по функціям та розглядати налаштування як перевірку безпеки з тією ж суворістю, яку застосовують до аудитів коду.
Flare та IBM постачають оперативну основу: агресивно верифікувати особу, моніторити журнали пристроїв та індикатори віддаленого доступу, розділяти доступ підрядників та будувати дисципліну відключення, яка анулює дозволи та авторитет підписувача при виході. Дизайн управління з нульовим тимелоком, який TRM визначила як центральний для експлойту Drift, можна виправити.
Протоколи, які виправляють це та додають організаційні контролі поряд з ним, суттєво звужують поверхню атаки.
Якщо Drift стане примусовим заходом, як хакування DAO у 2016 році, яке змусило провести переоцінку ризику розумних контрактів, сектор міг би закрити розрив між відомими тактиками КНДР та фактичними захистами в розумному вікні.
Більш складна обмеження оптимістичного випадку полягає в інституційній звичці. Команди криптовалют побудували свою культуру безпеки навколо аудитів, програм винагород та формальної верифікації.
Додавання верифікації особи, мінімалізації доступу, контролю пристроїв, розділення підписувачів та координації безпеки кадрових служб вимагає іншої оперативної позиції, якої більшість малих та середніх протоколів ще не побудували.
Ринок цінує це, а протоколи, які демонструють гігієну управління та оперативні контролі, приваблюють премію довіри.
Сценарій Що рухає це Що відбувається всередині протоколів Наслідки для ринку Що роблять сильніші команди по-іншому Песимістичний випадок: латентна вразливість вже всередині периметру Довгий час підготовки Drift свідчить про те, що інші протоколи можуть вже містити компрометованих підписувачів, підрядників або учасників Команди пізно виявляють вразливість, часто після зовнішніх досліджень, підозрілої діяльності або живої інциденту Більше попередніх пауз, виведення користувачів, фрагментація TVL та дисконт довіри на менших протоколах Затягують контролі підписувачів, додають тимелоки, швидше обертають дозволи, розділяють дозволи та аудитують організаційний доступ так агресивно, як і код Оптимістичний випадок: Drift стає примусовим заходом Сектор розглядає Drift як структурний сигнал тривоги, а не ізольований хак Протоколи оновлюють дизайн управління, верифікацію особи, перевірки налаштування, моніторинг пристроїв та дисципліну відключення Довіра поступово стабілізується, а краще захищені протоколи швидше відновлюють довіру Додають тимелоки до змін управління, мінімалізують доступ, агресивно верифікують особи та інтегрують кадрові служби з операціями безпеки Премія довіри: ринок винагороджує оперативну безпеку Користувачі та капітал починають розрізняти аудитований код та аудитовані організації Протоколи, які можуть довести гігієну управління та дисципліну доступу, приваблюють більш лояльних користувачів та контрагентів Премія винагороджує команди з видимими контрольними заходами; слабші команди зустрічають більшу скептичність та повільніше повернення ліквідності Публікують чіткі процеси безпеки, розділяють ролі підписувачів, документують відключення, моніторять індикатори віддаленого доступу та демонструють повторювану оперативну гігієну Кейс стагнації: загроза відома, але звички не змінюються досить швидко Малі та середні команди продовжують покладатися в основному на аудити, винагороди та формальну верифікацію Безпека коду покращується, але прогалини в наймі, доступі та довірчих програмах залишаються відкритими Повторювані “подивовані” інциденти продовжують скидувати довіру та підвищувати вартість довіри Розглядають некодові контролі як частину основної безпеки протоколу, а не як необов’язковий шар відповідності Пропуск над рівнем коду Міністерство фінансів, Міністерство юстиції, Flare, IBM, TRM та Elliptic кожний по-своєму вказують на ту саму структурну вразливість: аудити розумних контрактів охоплюють лише рівень коду.
Хто володіє ключами підписувача, хто поручиться за підрядників, хто переглядає журнали пристроїв, і хто має повноваження на міграцію управління без тимелоку, є кроками, які живуть над цим рівнем. Поточне покоління інструментів безпеки ледь досягає цього рівня.
Наступний експлойт може розпочатися з рішення про найм, налаштування підрядника, довірчого пакету npm або підписувача, який протягом місяців здобув достатньо довіри, щоб авторизувати одну транзакцію, яка мала значення.
Протоколи, які закривають цю вразливість до наступної оновленої атрибуції, все ще матимуть довіру своїх користувачів, коли це станеться.
Пост вперше з’явився на.
За матеріалами CryptoSlate