После хакерской атаки на Drift на сумму 285 миллионов долларов: новые угрозы безопасности в криптовалюте

Недавняя хакерская атака на Drift, в результате которой было похищено 285 миллионов долларов, и предостережение от Stabble поднимают важные вопросы о безопасности в криптовалютной сфере. Эти инциденты указывают на то, что следующая крупная утечка средств может начаться задолго до того, как деньги будут переведены в блокчейн. Это делает такие случаи более чем просто изолированными сигналами тревоги. Они свидетельствуют о том, что некоторые протоколы все еще ищут уязвимости в смарт-контрактах, в то время как настоящая угроза может заключаться в найме, доступе, управлении и доверительных отношениях.

Ход событий вокруг атаки на Drift

1 апреля Drift приостановил депозиты и вывод средств, уведомив пользователей о том, что подвергается активной атаке. К 5 апреля команда сообщила с умеренной высокой степенью уверенности, что за этой операцией стоят те же злоумышленники, которые были причастны к хакерской атаке на Radiant Capital в октябре 2024 года. TRM Labs оценил ущерб в 285 миллионов долларов, а послематчевый анализ Drift описал сложную схему, в которой злоумышленники использовали 1 миллион долларов собственного капитала и встречались с членами команды Drift, чтобы внедриться в структуру протокола.

С технической стороны TRM выявил критическую уязвимость, заключающуюся в социальной инженерии подписантов мультиподписей в сочетании с миграцией Совета безопасности без временной блокировки. Этот дизайн управления позволил злоумышленникам выполнять привилегированные действия без задержек, которые предназначались для выявления несанкционированных изменений.

Проблема безопасности в криптовалюте

Эти события подчеркивают, что риск теперь смещается с кода на людей и разрешения, связанные с ним. Для пользователей и рынков это означает, что протокол может выглядеть работоспособным до тех пор, пока скрытая ошибка доступа не приведет к событию с реальными средствами, принудительным выводам или внезапной потере доверия. Elliptic сообщила, что схемы отмывания денег и сетевые индикаторы совпадали с ранее приписываемыми операциям КНДР и указывали на вероятное компрометирование административных ключей, что позволило осуществить привилегированные выводы и административный контроль.

Сложности с наймом и доступом

Атака на Drift продемонстрировала, как злоумышленники смогли заработать достаточно доверия, чтобы превратить обычный доступ в 12-минутную утечку на сумму 285 миллионов долларов. Хронология показывает, что взлом Drift развивался на протяжении нескольких месяцев социальной инженерии, прежде чем произошла утечка. 7 апреля протокол ликвидности на базе Solana Stabble уведомил своих поставщиков ликвидности о необходимости вывести средства в качестве меры предосторожности. Новая команда, недавно приобретшая протокол, заявила, что обнаружила, что бывший технический директор, похоже, является тем же человеком, которого ZachXBT публично обозначил как работника IT из Северной Кореи.

Протокол пообещал провести новые аудиты перед возобновлением операций. Ситуация со Stabble продемонстрировала, что предполагаемая внутренняя угроза теперь движется так быстро, что сама по себе может стать событием с реальными средствами.

Анализ угроз и возможные меры

Министерство финансов США в своем отчете от 12 марта указало, что схемы мошенничества с работниками IT из КНДР в 2024 году принесли почти 800 миллионов долларов, используя поддельные документы, украденные личности и сфабрикованные персоны. Министерство юстиции отдельно сообщило, что северокорейские операторы получили работу в более чем 100 компаниях США, используя фальшивые и украденные личности. В одном из случаев в Атланте работники украли более 900 тысяч долларов в виртуальной валюте. Эти инвазии рабочей силы происходили на протяжении длительного времени в нескольких компаниях.

Flare и IBM X-Force опубликовали свое исследование 18 марта, в котором описывается многоуровневая структура рекрутеров, посредников, IT-работников и сотрудников, которые помогают с проверкой личности и процессом приема на работу. После внедрения операторы используют инструменты удаленного доступа, VPN и прокси-сервисы, а также внутренние каналы связи, оставляя заметные, но часто упускаемые из виду следы в логах устройств.

Необходимость изменений в подходах к безопасности

Текущая ситуация подчеркивает необходимость изменений в подходах к безопасности в криптовалютной сфере. Протоколы могут добавить временные блокировки к миграциям управления, сократить полномочия подписантов, сегментировать разрешения по функциям и рассматривать процесс приема на работу как контроль безопасности с той же строгостью, что и аудиты кода. Flare и IBM предлагают операционную структуру: агрессивно проверять личности, мониторить логи устройств и индикаторы удаленного доступа, сегментировать доступ подрядчиков и создавать дисциплину увольнения, которая отменяет учетные данные и полномочия на подписание при выходе.

Если Drift станет катализатором изменений, как это произошло после хакерской атаки на DAO в 2016 году, это может привести к пересмотру рисков, связанных со смарт-контрактами, и сектор сможет сократить разрыв между известными тактиками КНДР и фактическими защитными мерами в разумные сроки.

Заключение

В заключение, инциденты, подобные атаке на Drift, подчеркивают важность комплексного подхода к безопасности в криптовалютной сфере. Протоколы должны учитывать не только код, но и людей, которые его используют, а также процессы, которые обеспечивают безопасность. Внедрение более строгих мер контроля доступа, мониторинга и проверки личностей может помочь предотвратить подобные атаки в будущем. В условиях растущих угроз со стороны злоумышленников, особенно связанных с КНДР, криптовалютные проекты должны быть готовы адаптироваться и улучшать свои системы безопасности, чтобы сохранить доверие пользователей и инвесторов.