Coinbaseでのハイプロファイルの内部漏洩は、米国司法省を巻き込んだ大規模な調査に発展し、オンチェーンアナリストが攻撃者の暗号資産のロンダリング活動を追跡しています。
この漏洩事件は、Coinbaseが今月初めに公開しましたが、12月に遡ります。顧客サポートエージェントが賄賂を受け取り、97,000人以上のユーザーに関する機密情報を渡しました。そのデータには、政府発行のIDや潜在的にリンクされたメールアドレスが含まれていました。
身元が不明な攻撃者は、その後、Thorchainという分散型クロスチェーン流動性プロトコルを通じて、盗んだ約$42.5Mのビットコインをイーサリアムと交換しました。その変換の直後に、8,698 ETH($22M超の価値)がドルにペッグされたステーブルコインDAIに売却されました。この動きは、攻撃者が資金を隠蔽し、さらなる分散型プロトコルやミキサーを通じて現金化しようとしているのではないかという推測を強めました。
この漏洩事件は、暗号業界と規制の両者に衝撃を与えました。この事件は、主要な中央集権型プラットフォームの内部セキュリティシステムの脆弱性を浮き彫りにしただけでなく、企業が機関レベルのコンプライアンスを主張している場合でも、人間の弱さをどれだけ容易に利用できるかに関する懸念を再燃させました。
調査員を挑発しながら資金を捨てるハッカー
攻撃者は、数多くの暗号ハックにおいて資金を追跡するのを助けた有名な独立したオンチェーン調査官であるZachXBTに向けて、ブロックチェーン上に挑発的なメッセージを残しました。「L bozo」というスラングは、「敗者」または愚かと見なされる人を指す侮蔑的な用語で、追跡または暴露を試みている人々に対する軽蔑を示しています。
この挑発的な態度は、単なるデジタル上の嘲笑だけでなく、分散型ツールと匿名性インフラストラクチャが、熟練した犯罪者のための有効な逃走ルートを依然として提供していることを示す深い信頼を反映しています。アナリストは仲介者なしでクロスチェーンのスワップを可能にするThorchainの選択が、従来のブロックチェーンの法科学を使用した資金追跡を困難にする可能性があると指摘しています。
漏洩の解剖: インサイダー搾取のケーススタディ
Coinbaseは、攻撃者が海外に拠点を置くサポートエージェントを買収し、内部システムと顧客記録に不正アクセスを取得したことを確認しました。攻撃者は、フィッシングまたは直接的な金銭的インセンティブを通じて、従業員を操作し、身分証明書をコピーおよび転送させたとされています。結果として、69,461人のユーザーが個人データの侵害を確実に確認されましたが、影響を受けた人々の総数は97,000人に近いかもしれません。
Coinbaseは、パスワード、プライベートキー、完全なアカウントアクセスは侵害されなかったと強調しましたが、政府発行のIDやメールアドレスなどの露出したデータは、フィッシング攻撃を起動したり、SIMスワップを試みたり、他の形態のIDベースの搾取を実行するには十分である可能性があります。
漏洩の範囲を理解した後、Coinbaseはハッカーの$20Mの身代金要求を拒否しました。代わりに、同じ金額のカウンター報奨金を発表し、攻撃者の特定と逮捕に繋がる情報を提供した人々に資金を提供しました。
DOJ調査、コンプライアンス圧力、内部波紋
米国司法省は事件に対する正式な調査を開始し、Coinbaseがまれではあるが深刻な内部妥協と特徴付けたものに連邦の監視が加わりました。一方、Coinbaseは漏洩に関与または関わったすべての人員を解雇し、特に次の点に焦点を当てて、内部セキュリティフレームワークをオーバーホールし始めました:
- 顧客サービス採用者に対し、特に外国での厳格な審査および審査プロセス
- 内部活動のリアルタイム監視、データアクセスログおよび行動異常を含む
- どの単一アクセスポイントからも露出を最小限に抑えるための重要なユーザーデータの改善された分割
Coinbaseは、漏洩に関連する直接的および間接的な費用が$400Mを超える可能性があると推定しています。これらの費用は、可能性のある集団訴訟責任および法的費用に限らず、顧客の信頼の喪失、システムのアップグレード、および将来のコンプライアンス負荷をカバーしています。
また、この漏洩は、FTXからPrime Trustに至るまでの一連の著名な暗号通貨の失敗と崩壊に続き、主要な運用上の誠実性と保管セキュリティにおける大きな違反が明らかになった後、特に消費者保護の強化を示すための規制圧力を増す中で発生しました。
暗号分野におけるソーシャルエンジニアリングの台頭
スマートコントラクトコードやプロトコルの脆弱性の利用は通常注目を集めますが、ソーシャルエンジニアリングはデジタル資産企業に対する最も強力な脅威の一つとして残っています。これらの攻撃は技術的な防御を回避し、人間の層を標的にして、インサイダーに資格情報や機密資料を渡すよう説得します。
ソーシャルエンジニアリングの事件は、Web3ネイティブおよび暗号分野の従来企業の両方が、内部アクセス制御、人材育成、およびモニタリングの取り扱い方法を見直す必要がある促進要素として最近急増しています。スマートコントラクトのバグとは異なり、ソーシャルエンジニアリングはコーディングの欠陥に依存せず、組織の弱点と文化的準備の欠如を利用します。
セキュリティ研究者によると、急速な採用サイクル、内部コンプライアンス文化の未成熟、およびサードパーティや外部委託スタッフの増加した使用により、暗号分野はこの種の攻撃に対して非常に脆弱です。例えば:
- 顧客サポートのアウトソーシングはコスト効率が良いですが、それらのチームが十分な監視が欠けているか、労働保護が弱い法域に拠点を置く場合、暴露が増加する可能性があります。
- 低レベルのサポートスタッフに許可される特権アクセス - 適切な階層化された許可なしでは - 不必要な攻撃面を提供する可能性があります。
- 行動異常検出ツールの欠如は、今回のケースのように、数ヶ月間、侵害が気付かれないままになってしまう危険性があります。
ハッカーが資金を移動する方法: 分散型ロンダリング戦術
身代金要求の失敗と公表後、攻撃者は盗んだ資金を変換し始め、アナリストが言うところのプロビナンスを隠蔽する意図的な試みを行いました。攻撃者はThorchainを使用して、BTCからETHへの信頼なしの交換を行い、大手証券会社や物理的取引を回避するため選択した可能性があります。
初期変換の後、攻撃者は8,700 ETH近くをDAIに売却し、これはMakerDAOによって発行されたステーブルコインであり、資産を安定化させ、あまり知られていないブリッジやオーバーザカウンター経路を通じて売却を準備する試みを示唆しています。
セキュリティアナリストたちは、攻撃者が最終的にTornado Cashクローン、Railgun、またはサードパーティのミキサーのようなプライバシー保護ツールを使用する可能性があると示唆しましたが、その多くのサービスは現在制裁や法律上の制限のために法的な脅威やジオフェンスがかけられています。それでも、分散型金融の許可不要の性格は、攻撃者にかなりの自由を与え、従来の法科学的方法を挑戦する形で、チェーンやトークン間で資金を移動することを可能にしています。
影響と業界の反応: 転換点か?
中央集権型の取引所は数年にわたって暗号資産の安全な管理者としてのイメージを強化してきましたが、Coinbaseのインサイダー漏洩は、インサイダーレスクに対するセキュリティ仮定の見直しを引き起こす可能性があります。インサイダーは外部の俳優が簡単には複製できない正当性で行動することができ、先進的なファイアウォールや多要素認証を持つシステムでも壊滅的な侵害を可能にします。
対応として、業界リーダーは以下のことを要求しています:
- 敏感なシステムへの人間のアクセスを制限するための自動化とアクセス制御の増加
- いかなる単一の従業員または契約者も、多者承認なしに重要なデータにアクセスできないゼロトラストアーキテクチャ
- フィッシングや賄賂のシナリオを模倣する必要な内部脅威シミュレーションとトレーニング
- 行動パターン、資格情報の使用だけでなく行動様式を監視する異常ベースの検出システムの広範な導入
これらの手順が適切に実施されれば、反逆的な俳優だけでなく、内部の妥協をベクトルとして活用する協調した外部の脅威に対しても、回復力を構築する可能性があります。
最終的な考え
Coinbaseの漏洩は、暗号史上最大ではありませんが、機関の結果と規制の勢いにおいて最も重要なものの一つになる可能性があります。米国の議員やグローバルな規制当局が、暗号取引所、保管プロバイダー、および身分証明システムの監督をどのように構築するかを議論している時期に、中央集中プラットフォームがはるかに厳しい運用上のセキュリティ対策を必要とするという議論に火を付けます。
それはまた明快なリマインダーとして機能します:DeFiはコードのセキュリティの不備についてしばしば批判されるが、CeFiは依然として人間のエラーと人間の妥協に対して深く脆弱です。
Coinbaseにとって、次の道はユーザー基盤の信頼を再構築し、規制当局に対し強化された監視の下で運営できることを示すことを含んでいます。より広い業界にとって、この漏洩は一つの警鐘であり、セキュリティは防火壁や暗号化を超えて進化し、内部の妥協が可能であるだけでなく、不可避であるというモデルに移行する必要があります。