กรณีละเมิดข้อมูลภายในระดับสูงที่ Coinbase ได้ขยายเป็นการสืบสวนขนาดใหญ่ที่เกี่ยวข้องกับกระทรวงยุติธรรมของสหรัฐฯ โดยมีนักวิเคราะห์บล็อกเชนกำลังติดตามกิจกรรมฟอกเงินของผู้โจมตี
การละเมิดนี้ ซึ่ง Coinbase เปิดเผยเมื่อต้นเดือนนี้ แต่เกิดขึ้นตั้งแต่เดือนธันวาคม รวมถึงพนักงานสนับสนุนลูกค้าที่ถูกสินบนซึ่งได้ส่งข้อมูลที่สำคัญของผู้ใช้เกือบ 97,000 คน โดยข้อมูลนี้รวมถึงบัตรประชาชนและที่อยู่อีเมลที่อาจเชื่อมโยง
ผู้โจมตีซึ่งยังไม่ทราบชื่อ ได้เปลี่ยน Bitcoin ที่ขโมยได้ประมาณ $42.5 ล้านเป็น Ethereum ผ่าน Thorchain โปรโตคอลสภาพคล่องข้ามเชนแบบกระจายศูนย์ ไม่นานหลังจากการแปลง 8,698 ETH - มูลค่ามากกว่า $22 ล้าน - ถูกขายทอดตลาดสำหรับ DAI เงินสกุลมั่นคงที่ผูกกับดอลลาร์สหรัฐ การเคลื่อนไหวนี้เพิ่มการคาดเดาว่าผู้โจมตีอาจพยายามซ่อนให้มิดชิดก่อนที่จะถอนเงินผ่านโปรโตคอลกระจายใหม่หรือเครื่องผสม
เหตุการณ์นี้ทำให้เกิดความสั่นสะเทือนในทั้งอุตสาหกรรมคริปโตและวงการกำกับดูแล ซึ่งไม่เพียงแต่ว่าเหตุการณ์นี้เน้นย้ำถึงความเปราะบางของระบบรักษาความปลอดภัยภายในที่แพลตฟอร์มแบบรวมขนาดใหญ่ แต่ยังฟื้นกังวลที่ต่อเนื่องเกี่ยวกับวิธีการที่จุดอ่อนของมนุษย์สามารถถูกใช้ประโยชน์ได้ง่าย - แม้ในบริษัทยักษ์ที่อ้างว่ามีการปฏิบัติตามมาตรฐานระดับสถาบัน
แฮกเกอร์เยาะเย้ยผู้ตรวจสอบในขณะย้ายถ่ายเงิน
ผู้โจมตีได้ทิ้งข้อความเยาะเย้ยบนบล็อกเชนให้กับ ZachXBT หนึ่งในนักตรวจสอบอิสระที่มีชื่อเสียงซึ่งได้ช่วยติดตามเงินในการแฮกคริปโตจำนวนมาก คำว่า “L bozo” - ภาษาแสลงที่แปลว่า “คนขี้แพ้” และเป็นศัพท์ที่หยาบคายใช้เรียกคนที่ถูกมองว่าโง่ - ถูกแนบไปกับการทำธุรกรรมหนึ่งครั้งแสดงถึงความดูถูกต่อผู้ที่พยายามติดตามหรือเปิดโปงพวกเขา
การแสดงท่าทีนี้ไม่เพียงแค่การเยาะเย้ยดิจิทัล แต่สะท้อนถึงความมั่นใจอย่างลึกซึ้งว่าตัวเลือกทางเลือกกระจายและโครงสร้างพื้นฐานนิรนามยังคงเป็นเส้นทางหลบหนีที่มีชีวิตรอดสำหรับอาชญากรชำนาญ นักวิเคราะห์ตั้งข้อสังเกตว่าทางเลือกของ Thorchain ที่รองรับการแลกเปลี่ยนข้ามเชนโดยไม่ต้องมีตัวกลางอาจทำให้การติดตามเส้นทางเงินยากขึ้นอย่างมีนัยสำคัญโดยใช้การวิเคราะห์บล็อกเชนแบบดั้งเดิม
โครงสร้างของการละเมิด: กรณีศึกษาการเอาเปรียบจากภายใน
Coinbase ยืนยันว่าผู้โจมตีได้ติดสินบนพนักงานสนับสนุนที่ทำงานต่างประเทศ ทำให้ได้รับสิทธิ์เข้าถึงระบบภายในและบันทึกข้อมูลลูกค้าโดยไม่ได้รับอนุญาต มีรายงานว่าผู้โจมตีบีบบังคับให้พนักงานคัดลอกและย้ายเอกสารยืนยันตัวตน อาจเป็นไปได้โดยใช้ฟิชชิ่งหรือแรงจูงใจทางการเงินโดยตรง ในภายหลัง ผู้ใช้งานจำนวน 69,461 คนถูกยืนยันว่าข้อมูลส่วนตัวถูกละเมิด แต่ว่าจำนวนที่กว้างขวางกว่านี้อาจใกล้เคียง 97,000
Coinbase ได้กล่าวว่ารหัสผ่าน, คีย์ส่วนตัว และการเข้าถึงบัญชีทั้งหมดไม่ได้ถูกละเมิด ข้อมูลที่รั่วไหลไม่ว่าจะเป็นบัตรประชาชนหรือที่อยู่อีเมลก็เพียงพอสำหรับการโจมตีฟิชชิ่ง, พยายามโอน SIM หรือการแสวงหาผลประโยชน์ในรูปแบบอื่นที่เกี่ยวข้องกับตัวตน
เมื่อทราบถึงขอบเขตของการละเมิด Coinbase ปฏิเสธความต้องการของผู้โจมตีสำหรับเงินค่าไถ่ $20 ล้าน แต่ทางเดียวกันก็ออกเงินรางวัลคืนเป็นจำนวนเงินเดียวกันกับแก่ผู้ที่สามารถให้ข้อมูลที่นำไปสู่การระบุตัวและจับกุมผู้โจมตี
การสอบสวนของ DOJ, ความกดดันทางการตรวจสอบ, และผลพวงภายใน
กระทรวงยุติธรรมของสหรัฐฯ ได้เปิดการสอบสวนอย่างเป็นทางการกับเหตุการณ์นี้ เพิ่มความถี่ของการตรวจสอบจากรัฐบาลกลางในสิ่งที่ Coinbase ได้รวบรวมว่าเป็นการละเมิดเล็กน้อยแต่รุนแรงของภายใน ในเวลาเดียวกัน Coinbase ได้ทำการยกเลิกพนักงานทุกคนที่เกี่ยวข้องหรือละเมิดกับเหตุการณ์นี้และได้เริ่มเปลี่ยนแปลงโครงสร้างรักษาความปลอดภัยภายในของตน โดยมุ่งเน้นที่:
- กระบวนตรวจสอบและมรรคนายใหม่ที่เข้มงวดขึ้นสำหรับการว่าจ้างบริการลูกค้า โดยเฉพาะในต่างประเทศ
- การตรวจสอบแบบเรียลไทม์ของกิจกรรมพนักงาน รวมถึงบันทึกการเข้าถึงข้อมูลและความผิดปกติในพฤติกรรม
- การจัดสรรข้อมูลลูกค้าที่ละเอียดอ่อนไว้เป็นกลุ่มเพื่อลดการเปิดใช้จากจุดเข้าถึงเดียว
Coinbase ประเมินว่าค่าใช้จ่ายทั้งตรงและทางอ้อมที่เกี่ยวข้องกับการละเมิดนี้อาจเกิน $400 ล้าน ค่าใช้จ่ายเหล่านี้ไม่เพียงแต่ครอบคลุมความรับผิดคดีชั้นเรียนที่เป็นไปได้และค่าธรรมเนียมทางกฎหมาย แต่ยังรวมถึงความเชื่อถือผู้ใช้ที่สูญเสียไป, การอัพเกรดระบบ และความกดดันในการปฏิบัติตามในอนาคต
การละเมิดนี้ยังเกิดขึ้นท่ามกลางความกดดันที่เพิ่มขึ้นจากหน่วยงานกำกับดูแลเพื่อแสดงการป้องกันผู้บริโภคที่แข็งแกร่งขึ้น โดยเฉพาะหลังจากความล้มเหลวและการล้มละลายที่มีชื่อเสียงหลายครั้งในวงการคริปโต - ตั้งแต่ FTX ถึง Prime Trust - ที่เปิดเผยช่องโหว่ใหญ่ในทั้งความสมบูรณ์ในการดำเนินงานและความปลอดภัยในการรับฝากของ
คำเตือนที่กว้างขึ้น: การเพิ่มขึ้นของวิศวกรรมสังคมในคริปโต
ในขณะที่การใช้สิทธิในช่องโหว่ซอฟต์แวร์สัญญาอัจฉริยะหรือจุดบกพร่องทางโปรโตคอลมักจะเข้าเป็นพาดหัวข่าว การวิศวกรรมสังคมยังคงเป็นหนึ่งในภัยคุกคามที่อันตรายที่สุดต่อบริษัทสินทรัพย์ดิจิตอล การโจมตีเหล่านี้เลี่ยงการป้องกันทางเทคนิคโดยมุ่งเป้าที่ชั้นมนุษย์ - โน้มน้าวให้พนักงานภายในมอบข้อมูลประจำตัวหรือวัสดุที่สำคัญ
กรณีวิศวกรรมสังคมได้เพิ่มขึ้นอย่างมากในช่วงหลายเดือนที่ผ่านมา ทำให้ทั้งบริษัทที่เน้น Web3 และบริษัทดั้งเดิมในวงการคริปโตต้องทบทวนใหม่ถึงวิธีการที่พวกเขาจัดการกับการควบคุมการเข้าถึงภายใน การอบรม และการเฝ้าระวัง แตกต่างจากช่องโหว่ในสัญญาอัจฉริยะ วิศวกรรมสังคมไม่ได้พึ่งพาข้อบกพร่องในการเขียนโค้ด - มันเป็นการใช้จุดอ่อนองค์กรและการเตรียมพร้อมทางวัฒนธรรมที่ขาดแคลน
ตามนักวิจัยด้านความปลอดภัย วงการคริปโตยังคงมีความเปราะบางสูงต่อการโจมตีเหล่านี้อันเนื่องมาจากการเร่งดำเนินการจ้างงาน วัฒนธรรมการปฏิบัติตามภายในที่ไม่พัฒนา และการใช้บุคคลที่สามหรือนอกสตาฟที่เพิ่มขึ้น ตัวอย่างเช่น:
- การว่าจ้างบริการลูกค้าที่เพิ่มจากภายนอก แม้ว่าจะเป็นไปเพื่อประหยัดค่าใช้จ่าย แต่สามารถเพิ่มการเปิดใช้ได้ถ้าหากทีมเหล่านั้นขาดความดูแลเพียงพอหรือถูกจัดในเขตอำนาจที่มีการคุ้มครองแรงงานที่อ่อนแอ
- สิทธิพิเศษที่ให้กับพนักงานสนับสนุนระดับต่ำ - โดยไม่มีการมอบสิทธิ์อย่างเหมาะสม - สามารถให้พื้นผิวการโจมตีที่ไม่จำเป็น
- การขาดแรงงานเพื่อตรวจจับพฤติกรรมที่ผิดปกติสามารถทำให้การละเมิดไม่มีการสังเกตเห็นเป็นเวลาหลายเดือนเช่นที่เกิดขึ้นในกรณีนี้
วิธีการที่แฮกเกอร์ย้ายถ่ายเงิน: กลยุทธ์ฟอกเงินแบบกระจายศูนย์
หลังจากความพยายามเรียกค่าไถ่ล้มเหลวและการเปิดเผยต่อสาธารณะ แฮกเกอร์เริ่มเปลี่ยนเงินที่ขโมยมาในสิ่งที่นักวิเคราะห์กล่าวว่าเป็นความพยายามตั้งใจที่จะซ่อนที่มา ผู้โจมตีได้ใช้ Thorchain เพื่อดำเนินการสลับแบบไม่ต้องไว้วางใจจาก BTC ไปยัง ETH ซึ่งอาจเลือกเพื่อหลีกเลี่ยงการแลกเปลี่ยนแบบรวมศูนย์และการกระตุ้น KYC
หลังจากการแปลงครั้งแรก ผู้โจมตีได้ปลดปล่อยเกือบ 8,700 ETH เข้า DAI เงินสกุลมั่นคงที่ออกโดย MakerDAO ซึ่งแนะว่าพวกเขาพยายามรักษาเสถียรภาพของสินทรัพย์และอาจเตรียมมันสำหรับการออกทางผ่านสะพานที่เป็นที่รู้จักน้อยกว่า หรือช่องทางนอกการติดต่อ
นักวิเคราะห์ความปลอดภัยเสนอว่าอาจมีการใช้ข้อมูลทางเทคโนโลยีที่อนุรักษ์ไว้ เช่น Tornado Cash clones, Railgun หรือเครื่องผสมของบุคคลที่สาม แม้ว่าแต่ละบริการเหล่านี้ต่างก็ตกเป็นเป้าโจมตีตามกฎหมายหรือถูกปิดกั้นด้วยมาตรการคว่ำบาตรหรือข้อจำกัดทางกฎหมาย แม้กระนั้น ธรรมชาติของการเงินกระจายศูนย์ให้โอกาสสำคัญสำหรับผู้โจมตีในการย้ายเงินข้ามเชนและโทเคนในวิธีที่ท้าทายวิธีการฟอเรนซิกแบบดั้งเดิม
ผลกระทบและการตอบสนองจากวงการ: จุดเปลี่ยน?
แม้ว่าการแลกเปลี่ยนระดับกลางจะใช้เวลาปีในการสร้างภาพลักษณ์เป็นผู้คุ้มครองสินทรัพย์คริปโตที่ปลอดภัย การละเมิดข้อมูลภายในของ Coinbase อาจก่อให้เกิดการทบทวนสมมติฐานการรักษาความปลอดภัยใหม่ - โดยเฉพาะอย่างยิ่งเกี่ยวกับความเสี่ยงจากภายใน ผู้ใช้ภายในสามารถกระทำด้วยความชอบธรรมที่นักแสดงภายนอกไม่สามารถทำได้อย่างง่ายดาย ทำให้เกิดการละเมิดข้ามชั้นแม้ในระบบที่มีการป้องกันขั้นสูงและการยืนยันหลายส่วนประกอบ
ในการตอบสนอง ผู้นำวงการรับเรียกร้องให้มี:
- การใช้กระบวนการอัตโนมัติและการควบคุมการเข้าถึงเพื่อลดการเข้าถึงของมนุษย์ต่อระบบที่ไวต่อความเสี่ยง
- สถาปัตยกรรมนิรันดร์ที่ไม่มีพนักงานหรือผู้รับจ้างคนใดสามารถเข้าถึงข้อมูลสำคัญโดยไม่ต้องผ่านการอนุมัติหลายฝ่าย
- การจำลองและการฝึกฝนภัยคุกคามภายในที่บังคับใช้เพื่อเลียนแบบสถานการณ์ฟิชชิ่งหรือสินบน
- การนำระบบตรวจจับที่อิงกับความผิดปกติอย่างกว้างขวางขึ้นที่ตรวจสอบแบบแผนของพฤติกรรม ไม่ใช่เพียงการใช้ข้อมูลประจำตัว
หากขั้นตอนเหล่านี้ถูกนำไปใช้ได้อย่างถูกต้อง มันอาจช่วยสร้างความทนทานไม่เพียงแต่ต่อนักแสดงที่เป็นภัยร้าย แต่ยังต่อต้านภัยคุกคามที่ประสานงานจากภายนอกที่ใช้การประนีประนอมภายในเป็นเวคเตอร์
ความเห็นสุดท้าย
การละเมิด Coinbase นี้ แม้จะไม่ใช่กรณีที่ใหญ่ที่สุดในประวัติศาสตร์คริปโต อาจเปลี่ยนเป็นหนึ่งในเหตุการณ์ที่มีผลสำคัญที่สุดต่อผลกระทบในระดับสถาบันและการเคลื่อนไหวทางกฎบัตร มาในช่วงเวลาที่เป็นเวลาที่สมาชิกสภานิติบัญญัติศาลอเมริกาและนักกฎหมายจากทั่วโลกกำลังถกเถียงถึงวิธีการสร้างโครงสร้างการตรวจสอบแลกเปลี่ยนคริปโต แต่เหตุการณ์นี้ยังเพิ่มเติมจากการโต้แย้งที่แพลตฟอร์มคริปโตที่รวมศูนย์จำเป็นต้องมีมาตรการความปลอดภัยในการดำเนินงานที่สูงขึ้นอย่างมาก
มันยังทำหน้าที่เป็นการเตือนที่เด่นชัด: ขณะที่ DeFi มักจะถูกวิจารณ์ให้เห็นว่ามีการรักษาความปลอดภัยที่มักเป็นการละเมิดภายในโค้ด CeFi ยังคงมีความเปราะบางอย่างลึกซึ้งต่อข้อผิดพลาดของมนุษย์และการประนีประนอมของมนุษย์
สำหรับ Coinbase ถนนข้างหน้ามีทั้งการสร้างความไว้วางใจใหม่ในกลุ่มผู้ใช้ของพวกเขาและการแสดงให้กับผู้ควบคุมดูแลเห็นว่าพวกเขาสามารถทำงานภายใต้การตรวจสอบที่เข้มงวดขึ้น
สำหรับอุตสาหกรรมที่กว้างขึ้น การละเมิดนี้เป็นการปลุกระดม: ความปลอดภัยต้องมีการพัฒนาเกินกว่ากำแพงไฟและการเข้ารหัส ไปสู่รูปแบบที่สมมติว่าการประนีประนอมภายในไม่ใช่เพียงแค่ความเป็นไปได้ - แต่ไม่มีการหลีกเลี่ยง