Блокчейн-гигант открывает линии связи, чтобы защитить отрасль от киберопасностей со стороны государства-изгоя
В понедельник компания заявила, что Ripple теперь делится своей внутренней информацией об угрозах в отношении северокорейских хакеров с криптоиндустрией, что переосмысливает то, как сектор реагирует на изменение методологии атак в КНДР.
Взлом Drift не был хаком в том смысле, в каком его представляет большинство людей.
Никто не нашел ошибку и не воспользовался смарт-контрактом. Северокорейские оперативники месяцами дружили с участниками Drift, загрузили вредоносное ПО на их машины и ушли с ключами. К тому времени, когда были переведены 285 миллионов долларов, каждой системе, которая должна была обнаружить взлом, не было ничего, что можно было бы пометить.
Такую версию событий Ripple и Crypto ISAC, группа по обмену угрозами в криптоиндустрии, изложили в понедельник вместе с новостями о том, что Ripple теперь делится своими внутренними данными о северокорейских субъектах угроз с остальным сектором.
Волна новых взломов DeFi в 2022–2024 годах была сосредоточена на использовании кода: злоумышленники находили уязвимости смарт-контрактов и истощали протоколы за считанные минуты.
Но по мере ужесточения мер безопасности образ действий смещается от технологий к людям. Мошенники подают заявки на работу в криптофирмы, проходят проверку биографических данных, появляются на звонках в Zoom и месяцами укрепляют доверие. Затем они развертывают атаки, которые не способен отразить ни один традиционный инструмент безопасности, поскольку злоумышленник уже находится внутри.
Ripple теперь предоставляет Crypto ISAC данные профиля, которые делают этот шаблон понятным для всех компаний. Профили LinkedIn, адреса электронной почты, местоположения, контактные номера — или соединительная ткань, которая позволяет команде безопасности распознать кандидата, с которым они только что взяли интервью, как того же сотрудника, который не прошел проверку данных в трех других фирмах на прошлой неделе.
«Самый сильный уровень безопасности в криптовалюте — это общий подход», — написал Ripple на X. «Злоумышленник, не прошедший проверку анкетных данных в одной компании, на той же неделе подаст заявку еще в три. Без общего интеллекта каждая компания начинает с нуля».
Влияние Lazarus Group на крипто-сектор теперь настолько заметно, что она начала менять судебные процедуры, а также процедуры безопасности.
В понедельник адвокат, представляющий интересы жертв северокорейского терроризма, вручил Arbitrum DAO запретительные уведомления, утверждая, что 30 765 долларов ETH, замороженные после апрельского взлома моста Kelp, являются собственностью Северной Кореи в соответствии с правоприменительным законодательством США.
Кредитная компания Aave с тех пор оспорила это заявление в поддержку Arbitrum, утверждая, что «вор не получает законного права собственности на украденное имущество, просто забрав его».
Взлом Kelp унес 292 миллиона долларов в эфире ($ETH), а также был публично приписан оперативникам Lazarus Group, в результате чего апрельские убытки Drift и Kelp составили более полумиллиарда долларов, привязанных к одному государственному субъекту, за один месяц.
Вопрос о том, действительно ли обмен разведывательными данными на отраслевом уровне замедляет кампании, остается открытым. Те же оперативники, возможно, уже где-то будут на следующем раунде допросов.