Эксплуатация Drift и предупреждение Stabble указывают на сложную проблему безопасности криптовалют: следующее крупное нарушение может начаться задолго до того, как средства будут переведены в сеть.
Именно это делает эти инциденты более чем изолированными сигналами тревоги. Они предполагают, что некоторые протоколы могут по-прежнему искать уязвимости в смарт-контрактах, в то время как реальная уязвимость заключается в найме, доступе, управлении и доверительных отношениях.
1 апреля Drift приостановил депозиты и выводы средств и сообщил пользователям, что подвергается активной атаке.
К 5 апреля команда с умеренно высокой уверенностью заявила, что те же угрозы, которые стояли за взломом Radiant Capital в октябре 2024 года, осуществили операцию.
Оценочная сумма ущерба составила примерно 285 миллионов долларов, и описана сложная схема, в которой лица использовали 1 миллион долларов своих собственных средств и встречались лично с членами команды Drift, чтобы проникнуть в структуру протокола.
С технической стороны TRM определил критическую слабость как социальную инженерию мультиподписантов в сочетании с миграцией Совета безопасности с нулевым таймлоком. Этот дизайн управления позволил атакующим выполнять привилегированные действия без задержек, предназначенных для обнаружения неавторизованных изменений.
Почему это важно: это смещает риск с кода на людей и разрешения вокруг него. Для пользователей и рынков это означает, что протокол может казаться рабочим до тех пор, пока скрытый сбой доступа не спровоцирует живое событие с средствами, принудительный вывод или внезапную потерю доверия.
Сказали, что модели отмывания и сетевые индикаторы совпадали с предыдущими операциями, приписываемыми КНДР, и указывали на вероятную компрометацию ключей администратора, которые позволили привилегированные выводы и административный контроль.
Атакующие заслужили достаточно доверия, чтобы преобразовать обычный доступ в 12-минутный, 285-миллионный слив.
Хронология показывает, что эксплуатация Drift разворачивалась в течение месяцев социальной инженерии перед 12-минутным, 285-миллионным сливом 1 апреля.
7 апреля ликвидный протокол Stabble попросил своих ликвидных поставщиков вывести средства в качестве меры предосторожности.
Новая команда, которая недавно приобрела протокол, заявила, что обнаружила, что бывший технический директор, по-видимому, был тем же человеком, которого ZachXBT публично обозначил как IT-специалиста.
Протокол пообещал новые аудиты перед возобновлением работы. Stabble продемонстрировал, что предполагаемое внутреннее раскрытие теперь перемещает пользователей достаточно быстро, чтобы составить живое событие с средствами само по себе.
Руководство по эксплуатации уже существует: Министерство казначейства поставило цифры на проблему: схемы мошенничества с IT-работниками КНДР в 2024 году сгенерировали почти 800 миллионов долларов, используя фальшивые документы, украденные личности и фабрикованные персоны.
Министерство юстиции отдельно заявило, что северокорейские оперативники получили работу в компаниях, используя фальшивые и украденные личности. В одном случае в Атланте исследователи блокчейна украли более 900 000 долларов виртуальной валюты.
Это были проникновения в рабочую силу, которые длились в течение нескольких фирм в течение длительного периода.
Flare и X-Force опубликовали свою оперативную разбивку 18 марта. Исследование рекрутеров, фацилитаторов, IT-специалистов и сотрудников, которые помогают с верификацией личности и интеграцией.
Как только они внедряются, оперативники используют инструменты удаленного доступа, VPN и прокси-сервисы, а также внутренние каналы связи, оставляя обнаруживаемые, но часто упускаемые из виду следы в журналах устройств.
Flare и IBM рассматривают это как общую проблему, которой владеют совместно команды безопасности и HR, требующую координации по найму, интеграции, контролю доступа и дисциплине увольнения.
Этап Кто участвует Что происходит Что выглядит как предупреждающий знак Почему криптокоманды упускают это из виду Наем / фабрикация личности Рекрутеры, фацилитаторы, фальшивые заявители, сотрудники Оперативники строят фальшивые персоны, используя фальшивые документы, украденные личности и фабрикованные истории трудоустройства, чтобы пройти проверку Неуважительные биографические детали, тонкий цифровой след, несоответствия личности, подозрительные рекомендации Команды оптимизируют скорость и технический талант, а не обзор найма противников Наем / интеграция HR, менеджеры по найму, сотрудники / брокеры, IT-специалисты Сотрудники помогают кандидатам пройти верификацию личности, проверки биографии и шаги интеграции Необычная помощь во время интеграции, аномалии документов, несоответствия устройств / местоположения Команды по найму и безопасности часто работают отдельно, поэтому ни одна команда не видит всю картину Внедрение в команды IT-специалисты, менеджеры, коллеги, подрядчики Как только они наняты, оперативники устанавливают легитимность во времени через рутинную работу и доверительные отношения Интенсивное использование VPN / прокси, необычные модели удаленного доступа, странные журналы устройств, ограниченная готовность к прямому взаимодействию Нормальное поведение удаленной работы может маскировать индикаторы, и небольшие команды не имеют глубины мониторинга Накопление доступа Разработчики, администраторы, подписчики, операторы управления Доверенные инсайдеры получают разрешения, влияние подписчиков, доступ администратора или видимость в чувствительных рабочих процессах Переполнение разрешений, чрезмерный доступ ролей, слабая разделение обязанностей, спящие одобрения, которые находятся на месте Безопасность криптовалют часто ориентирована на код, поэтому дизайн доступа человека получает меньше внимания, чем смарт-контракты Эксплуатация / кража или вымогательство Компрометированные инсайдеры, внешние обработчики, сети отмывания Атакующие конвертируют обычный доступ в привилегированные выводы, действия управления, компрометацию ключей или кражу после доступа Внезапное использование привилегированных функций, подозрительные миграции управления, необычное поведение вывода, аварийные паузы К тому времени, когда активность в сети кажется аномальной, сбой доверия уже произошел гораздо раньше Реакция после инцидента Команды протоколов, пользователи, аудиторы, следователи Команды приостанавливают работу, просят пользователей вывести средства, ротируют доступ, заказывают аудиты и расследуют раскрытие Предупреждения о предосторожности, сброс аудитов, проверки доступа, обновления атрибуции Большинство протоколов не имеют зрелых руководств по сдерживанию внутреннего риска и увольнению Reuters сообщил 31 марта, что операция, связанная с КНДР, скомпрометировала широко используемый пакет Axios npm в атаке на цепочку поставок, которая могла повлиять на миллионы сред.
Актор, стоящий за этой компрометацией, UNC1069, отличается от UNC4736, кластера, который Drift связал с.
Что ожидать Негативный сценарий проходит через то, что раскрывает о скрытой уязвимости.
Если атакующие потратили с 11 марта на 1 апреля на внедрение предподписанных авторизаций и инженерных одобрений перед выполнением слива, это добавляет к месяцам сложной социальной инженерии. Другие протоколы могут уже содержать скомпрометированных подписчиков, подрядчиков или вкладчиков, которых они еще не определили.
Ситуация Stabble, когда предполагаемая связь с обозначенной личностью появилась в публичных исследованиях до того, как команда обнаружила свои собственные контроли, иллюстрирует, как часто организации узнают о своем собственном раскрытии извне.
Цифра Министерства казначейства в 800 миллионов долларов за один год ставит нижнюю границу угрозы, которая уже имеет стоимость.
Цифра Министерства юстиции более 100 компаний предполагает, что распределение целей является широким.
В этой среде следующий крупный ущерб может уже находиться внутри периметра, ожидая управления или ротации ключа администратора.
Положительный сценарий основан на способности сектора адаптироваться, как только модель угрозы станет конкретной. Drift является конкретным доказательством, и контрмеры хорошо документированы.
Протоколы могут добавить таймлоки к миграциям управления, уменьшить полномочия подписчиков, разделить разрешения по функциям и рассматривать интеграцию как контрольную точку безопасности с той же строгостью, что и аудиты кода.
Flare и IBM поставляют оперативную основу: агрессивно проверять личность, мониторить журналы устройств и индикаторы удаленного доступа, разделить доступ подрядчиков и построить дисциплину увольнения, которая отзывает учетные данные и полномочия подписи при выходе.
Протоколы, которые исправляют это и добавляют организационные контроли наряду с этим, существенно сужают поверхность атаки.
Если Drift станет вынуждающим событием, как взлом DAO в 2016 году, заставившим пересмотреть риск смарт-контрактов, сектор может закрыть разрыв между известными тактиками КНДР и фактическими защитами в разумном окне.
Более жесткий ограничитель положительного сценария — это институциональная привычка. Криптокоманды построили свою культуру безопасности вокруг аудитов, программ вознаграждений и формальной верификации.
Добавление верификации личности, минимизация доступа, контроль устройств, разделение подписчиков и координация безопасности HR требует другой оперативной позиции, которую большинство небольших и средних протоколов еще не построили.
Рынок будет учитывать это, и протоколы, которые демонстрируют гигиену управления и оперативные контроли, будут привлекать премию доверия.
Сценарий Что движет им Что происходит внутри протоколов Последствие для рынка Что сильные команды делают по-другому Негативный сценарий: скрытая уязвимость уже находится внутри периметра Хронология слива Drift предполагает, что другие протоколы могут уже содержать скомпрометированных подписчиков, подрядчиков или вкладчиков Команды обнаруживают раскрытие поздно, часто после внешних исследований, подозрительного поведения или живого инцидента Больше предосторожных пауз, выводов пользователей, фрагментации TVL и скидки доверия на небольших протоколах Усиливают контроль подписчиков, добавляют таймлоки, быстрее ротируют учетные данные, разделяют разрешения и так же агрессивно проверяют доступ организации, как и код Положительный сценарий: Drift становится вынуждающим событием Сектор рассматривает Drift как структурное пробуждение, а не изолированный взлом Протоколы улучшают дизайн управления, верификацию личности, проверки интеграции, мониторинг устройств и дисциплину увольнения Доверие постепенно стабилизируется, и лучше защищенные протоколы быстрее восстанавливают доверие Добавляют таймлоки к изменениям управления, минимизируют доступ, агрессивно проверяют личность и интегрируют HR с операциями безопасности Премия доверия: рынок вознаграждает оперативную безопасность Пользователи и капитал начинают различать проверенный код и проверенные организации Протоколы, которые могут доказать гигиену управления и дисциплину доступа, привлекают более лояльных пользователей и контрагентов Премия появляется для команд с видимыми контролями; более слабые команды сталкиваются с большим скептицизмом и более медленным возвращением ликвидности Публикуют более ясные процессы безопасности, разделяют роли подписчиков, документируют увольнение, мониторят индикаторы удаленного доступа и демонстрируют повторяющуюся оперативную гигиену Сценарий застоя: угроза известна, но привычки не меняются достаточно быстро Небольшие и средние команды продолжают полагаться в основном на аудиты, программы вознаграждений и формальную верификацию Безопасность кода улучшается, но пробелы в найме, доступе и доверенном программном обеспечении остаются открытыми Повторяющиеся «неожиданные» инциденты продолжают сбрасывать доверие и увеличивать стоимость доверия Рассматривают некодовые контроли как часть основной безопасности протокола, а не как необязательный слой соответствия Пробел выше кодового слоя Министерство казначейства, Министерство юстиции, Flare, IBM, TRM и Elliptic каждый по-разному указывают на один и тот же структурный пробел: аудиты смарт-контрактов решают только кодовый слой.
Кто держит ключи подписи, кто поручается за подрядчиков, кто проверяет журналы устройств и кто имеет полномочия по миграции управления без таймлока — это шаги, которые живут выше этого слоя. Текущее поколение инструментов безопасности едва достигает его.
Следующая эксплуатация может начаться с решения о найме, интеграции подрядчика, доверенного пакета npm или подписчика, который за месяцы заслужил достаточно доверия, чтобы авторизовать одну транзакцию, которая имела значение.
Протоколы, которые закрывают этот пробел до следующего обновления атрибуции, будут по-прежнему иметь доверие пользователей, когда это произойдет.
Пост впервые появился на.
По материалам CryptoSlate