Cryptonews

Как шестимесячная программа секретного шпионажа Северной Кореи заставила криптосообщество переосмыслить безопасность

Источник
cryptonewstrend.com
Опубликовано
Как шестимесячная программа секретного шпионажа Северной Кореи заставила криптосообщество переосмыслить безопасность

Когда Drift раскрыла подробности своего эксплойта стоимостью 270 миллионов долларов, самым тревожным был не масштаб потерь, а то, как это произошло.

По словам команды, разработавшей протокол, атака не была ошибкой смарт-контракта или хитрой манипуляцией с кодом. Это была шестимесячная кампания, включавшая вымышленные личности, личные встречи в нескольких странах и тщательно культивируемое доверие. Злоумышленники, предположительно из Северной Кореи, не просто нашли уязвимость в системе. Они стали частью этого.

Эта новая угроза теперь заставляет более широко расплачиваться за децентрализованные финансы.

В течение многих лет отрасль рассматривала безопасность как техническую проблему, которую можно решить с помощью аудита, формальной проверки и улучшения кода. Но инцидент с Drift предполагает нечто гораздо более сложное: настоящие уязвимости могут вообще находиться за пределами кодовой базы.

Александр Урбелис, директор по информационной безопасности (CISO) ENS Labs, утверждает, что сама формулировка уже устарела.

«Нам нужно перестать называть эти «хаки» и начать называть их тем, чем они являются: разведывательными операциями», — сказал Урбелис CoinDesk. «Люди, которые появлялись на конференциях, лично встречались с участниками Drift в разных странах, которые вложили миллион долларов собственных денег, чтобы завоевать доверие: это профессиональное мастерство. Это то, чего можно ожидать от куратора, а не от хакера».

Если эта характеристика верна, то Drift представляет собой новый сценарий: злоумышленники ведут себя не как оппортунистические хакеры, а больше как терпеливые операторы, внедряющиеся в социальную среду, прежде чем совершить шаг в цепочке.

«Северная Корея больше не сканирует уязвимые контракты. Они сканируют уязвимых людей… Это не хакерство. Это управление агентами», — добавил Урбелис.

Сама тактика не совсем нова.

Расследования последних лет показали, что северокорейские оперативники проникают в криптофирмы, выдавая себя за разработчиков, проходя собеседования и даже получая должности под вымышленными именами. Но инцидент с «Дрифтом» свидетельствует о том, что эти усилия возросли — от получения доступа через каналы найма до многомесячных операций по построению личных отношений перед проведением атаки.

«Ахиллесова пята»

Этот сдвиг больше всего беспокоит многих руководителей служб безопасности. Даже самый тщательно проверяемый протокол все равно может дать сбой, если участник будет скомпрометирован.

Дэвид Швед, главный операционный директор SVRN и бывший директор по информационной безопасности в Robinhood и Galaxy, рассматривает дело Drift как тревожный сигнал.

«Протоколы должны понимать, с чем они сталкиваются. Это не простые эксплойты. Это хорошо спланированные многомесячные операции с выделенными ресурсами, сфабрикованными личностями и продуманным человеческим фактором», — сказал Швед CoinDesk. «Этот человеческий фактор является ахиллесовой пятой для многих организаций».

Многие команды DeFi остаются небольшими, быстро развивающимися и основанными на доверии. Но когда несколько человек контролируют критически важный доступ, компрометации одного может быть достаточно.

Швед утверждает, что ответ необходимо обновить. «Ответ — хорошо продуманная программа безопасности, которая защищает не только технологии, но и людей и процессы… Безопасность должна быть основой проекта и команды».

Некоторые протоколы уже корректируются. В Jupiter, одной из крупнейших DeFi-платформ Solana, базовый уровень аудита и формальной проверки сохраняется, но руководители утверждают, что этого уже недостаточно.

«Очевидно, что защита кода с помощью многочисленных независимых аудитов, открытого исходного кода и формальной проверки — это всего лишь ставки. Зона атак существенно расширилась», — сказал главный операционный директор Каш Дханда.

Эта более широкая сфера теперь включает в себя управление, участников и операционную безопасность. Юпитер расширил использование мультисигов и таймлоков, одновременно инвестируя в системы обнаружения и внутреннее обучение.

«Учитывая, что плоть более уязвима, чем код, мы также обновляем обучение и мониторинг оперативной безопасности для ключевых членов команды», — сказал Дханда.

Но даже в этом случае, добавил он, «конечного состояния безопасности не существует», и самоуспокоенность остается самым большим риском.

Для таких протоколов, как dYdX, инцидент с Drift усиливает реальность, которую невозможно полностью изменить.

«К сожалению, криптопроекты все чаще становятся целью спонсируемых государством злоумышленников… разработчики должны принимать меры предосторожности, чтобы предотвратить и смягчить последствия компрометации социальной инженерии, но пользователи также должны знать, что, учитывая растущую изощренность злоумышленников, риск таких компрометаций не может быть полностью устранен», — сказал Дэвид Гогель, главный операционный директор dYdX Labs.

Эта развивающаяся модель угроз также перекладывает ответственность на самих пользователей.

«Пользователи, которые активно работают в DeFi, должны потратить время на то, чтобы понять техническую архитектуру протоколов или смарт-контрактов, в которых хранятся их средства, и должны учитывать в своих оценках рисков роль и характер любых мультиподписей для обновлений программного обеспечения, а также возможность того, что они могут быть злонамеренно скомпрометированы», — добавил Гогель.

«Модель угроз»

Для некоторых