Две крупнейшие криптовалютные биржи в мире, Binance и Kraken, якобы предотвратили скоординированные атаки социальной инженерии, направленные на компрометацию внутренних систем через подкуп сотрудников - метод, недавно сработавший при взломе Coinbase.
Неудавшиеся попытки подчеркивают растущую изощренность киберпреступников, нацеленных на централизованные криптовалютные платформы, и хрупкость зависимых от человека систем безопасности.
По данным, приведенным Bloomberg, злоумышленники обратились к сотрудникам служб поддержки клиентов Binance и Kraken, предлагая взятки за доступ к системам и конфиденциальным данным клиентов. Общение велось через Telegram, где злоумышленники предоставляли инструкции и обещания оплаты за доступ к внутренним панелям управления.
В отличие от инцидента на Coinbase, приведшего к серьезной утечке данных и потенциальной ответственности до $400 миллионов, атаки на Binance и Kraken были пресечены прежде, чем данные пользователей были раскрыты. Эти инциденты подчеркивают не только эффективность технических и политических защитных мер, но и растущую угрозу эксплуатации инсайдеров в криптосекторе.
Характер атак аналогичен инциденту с Coinbase
Последняя волна атак, нацеленных на инсайдеров, кажется, повторяет тактику, использованную в недавнем взломе Coinbase. В этом случае злоумышленники успешно подкупили зарубежных агентов поддержки клиентов - которые были либо подрядчиками, либо низкоуровневыми сотрудниками - и использовали внутренние разрешения для доступа к данным идентификации клиентов, включая выданные правительством удостоверения личности и адреса.
Этот взлом привел к требованию выкупа в $20 миллионов и, по сообщениям, затронул сотни тысяч пользователей, некоторые из которых впоследствии стали объектами фишинговых кампаний и схем кражи идентификационной информации. Coinbase впоследствии уволила замешанных сотрудников и обратилась в правоохранительные органы США, но последствия продолжают разворачиваться.
Binance и Kraken смогли выявить и нейтрализовать аналогичные угрозы заранее, что указывает на то, что операторы бирж начинают адаптироваться к растущей угрозе социальной инженерии в операциях поддержки клиентов криптовалют.
Telegram: Координационный центр предложений взяток
Злоумышленники использовали учетные записи в Telegram для прямого обращения к сотрудникам биржи. Эти учетные записи делились точными инструкциями по извлечению и эксфильтрации данных клиентов, обходу мониторинга и приемке оплаты в криптовалюте.
Эксперты по безопасности утверждают, что Telegram все чаще становится платформой для координации взяточничества, торговли данными и деятельности, связанной с выкупом, в криптовалютной сфере. Её функции анонимности, большая пользовательская база и отсутствие модерации делают её идеальной для преступных действий, особенно при целенаправленных атаках на инсайдерский доступ.
Что отличает эти атаки от традиционного фишинга, так это их нацеленность на прямое человеческое взаимодействие и манипуляции. Вместо использования уязвимостей в программном обеспечении злоумышленники делают ставку на человеческое слабое звено - низкооплачиваемых подрядчиков, перегруженных сотрудников службы поддержки или младших сотрудников с доступом к чувствительным системам.
Binance и Kraken признают заслуги автоматизированной защиты и ограничений доступа
На Binance внутренние системы мониторинга, некоторые из которых работают на машинном обучении, якобы обнаружили подозрительные схемы общения, включая ключевые слова, связанные со взяточничеством, и попытки внешнего контакта через Telegram. Фильтры разговоров на базе ИИ смогли перехватить и изолировать рискованные взаимодействия до их развития.
Кроме того, политика Binance по ограничению доступа к данным клиентов, если только это не вызвано самим пользователем, помогла ограничить площадь для эксплуатации. По данным инсайдеров компании, нацеленные агенты службы поддержки не имели необходимых разрешений для самостоятельного извлечения конфиденциальной информации, что нейтрализовало стратегию злоумышленников.
Kraken аналогично применил политику контроля доступа и внутреннего мониторинга для остановки попытки взлома. Хотя детали остаются ограниченными, источники сообщают, что обе биржи предприняли активные шаги в четвертом квартале 2024 года для усиления контроля доступа к данным после предостережений об увеличении внутреннего риска по всей отрасли.
Неспособность Coinbase подчеркивает уязвимости в отрасли
Взлом Coinbase, раскрытый в начале этого месяца, отбрасывает тень на практику обеспечения безопасности на централизованных биржах. Платформе теперь грозят потенциальные расходы на исправление и возмещение ущерба до $400 миллионов, а также растущая регуляторная проверка её обработки персональных данных.
Сообщается, что Coinbase получила предупреждения еще в декабре 2024 года от конкурирующих платформ о скоординированной кампании, направленной на службы поддержки. К январю внутренние системы зарегистрировали необычную активность поддержки. Тем не менее, атака не была сдержана до тех пор, пока не был нанесен значительный ущерб.
Эта задержка вызвала опасения по поводу разрывов во внутренней коммуникации и эффективности контрольных мер безопасности Coinbase, особенно на фоне её растущей институциональной роли - выступая в качестве хранителя для большинства одобренных в США спотовых биткойн- и эфириум-ETF.
Поскольку Coinbase занимается хранением средств для 8 из 11 спотовых биткойн-ETF и 8 из 9 спотовых эфириум-ETF, критики утверждают, что компания представляет собой единую точку отказа в криптоинфраструктуре США - что теперь усугубляется недавним взломом.
Более широкая тенденция в отрасли: рост внутренних угроз
События на Coinbase, Binance и Kraken отражают более широкую тенденцию в кибербезопасности: рост инсайдерских угроз как главного канала компрометации данных. По мере того, как биржи быстро масштабируются и передают на подряд часть своей поддержки и операций, они становятся более уязвимыми для атак, которые полагаются не на взлом брандмауэров, а на подкуп людей.
Это не уникально для крипто. В традиционных финансах и в крупных технологических компаниях внутренняя угроза давно является проблемой. Но децентрализованный дух криптовалют часто создаёт несоответствия между ожиданиями безопасности и операционными реалиями.
Биржи обещают хранение, анонимность и безопасность - но часто полагаются на человеческие команды с доступом к системам в реальном времени, что вводит в систему присущие ей риски. Утечка данных на Coinbase была особенно разрушительной, потому что включала данные, связанные с обязательным соблюдением принципа "Знай своего клиента" (KYC), такие как адреса и выданные правительством удостоверения личности, которые не могут быть изменены или перевыпущены, как пароли или личные ключи.
Последствия в правовой и регулирующей сфере
Несмотря на то, что Binance и Kraken удалось избежать худшего сценария, регуляторы, вероятно, увидят в этих инцидентах прямое доказательство недостаточной операционной контроли в рамках работы с клиентами в криптовалюте. Агентства США ранее призывали к ужесточению правил защиты данных, управления идентификацией и защиты клиентов по всей отрасли.
По мере того, как SEC, CFTC и FinCEN обсуждают сферу применения правил обращения с данными, связанными с криптовалютой, эти внутренние угрозы могут стать поворотным моментом. Законодательные предложения, такие как законопроект FIT21 и другие законы о структуре криптовалютных рынков, находящиеся на рассмотрении в Конгрессе, могут предусматривать более строгие внутренние меры безопасности и обязательства для бирж.
Учитывая объём активов под управлением и объём собранных данных KYC на централизованных платформах, регуляторы все больше обеспокоены тем, что произойдет, когда "доверие" к бирже становится самым слабым звеном.
Защита от социальной инженерии со стороны инсайдеров
Эксперты говорят, что самые эффективные меры защиты от социальной инженерии не являются исключительно техническими - они процедурные и культурные. Платформам нужно вкладывать средства в обучение сотрудников осведомленности, улучшать проверку подрядчиков, сокращать привилегированный доступ и внедрять более агрессивное оповещение о ненормальном поведении поддержки.
Некоторые лучшие практики, вытекающие из последних инцидентов, включают:
- Архитектура с нулевым доверием: предполагает, что внутренние пользователи могут быть подвержены компрометации; ограничивает доступ до уровня "минимум привилегий".
- Мониторинг на основе ИИ в реальном времени: выявление языка, свидетельствующего о взяточничестве, контакте вне платформы или запросах данных, не соответствующих поведению пользователя.
- Внутренние каналы сообщений о нарушениях: побуждать сотрудников поддержки сообщать о подозрительных взаимодействиях.
- Аудиторские следы на блокчейне: использование смарт-контрактов и автоматических журналов для запрашиваемых данных, обеспечивая подотчетность.
- Обмен разведывательной информацией об угрозах между платформами: координация с другими биржами по тенденциям атак и попыткам вторжений.
Эти меры могли бы помочь Coinbase предотвратить или ограничить последствия взлома.
Заключительные мысли
Неудавшиеся попытки подкупа на Binance и Kraken - и успешный взлом на Coinbase - иллюстрируют тревожный парадокс в криптосфере. Даже с учетом того что блокчейны продвигают децентрализацию и безопасность через код, платформы, поддерживающие их повседневное использование, остаются уязвимыми перед человеческими угрозами.
Пока централизованные биржи остаются воротами в криптовалюту для большинства пользователей - и продолжают хранить конфиденциальные данные пользователей - манипуляция инсайдерами будет оставаться предпочтительным методом атаки для хакеров. Задача отрасли сейчас заключается в том, чтобы развивать свои модели безопасности в соответствии с этой реальностью, в то время как регуляторы рассматривают возможность введения более строгих мер защиты.
С учётом репутационного урона, финансовой ответственности, и регуляторной проверки, ставки на то, чтобы сделать всё правильно, никогда не были выше.