Дві з найбільших криптовалютних бірж у світі, Binance і Kraken, за повідомленнями, відбили скоординовані атаки соціальної інженерії, спрямовані на компрометацію внутрішніх систем через підкуп людей - вектор атаки, який нещодавно зумів пробити систему Coinbase.
Невдалі спроби підкреслюють зростаючу складність кіберзлочинців, які атакують централізовані криптовалютні платформи, та вразливість безпекових структур, що залежать від людей.
За даними джерел, процитованих Bloomberg, нападники підходили до співробітників підтримки клієнтів як на Binance, так і на Kraken, пропонуючи хабарі в обмін на доступ до систем та чутливих даних клієнтів. Комунікація відбувалася через Telegram, де загрозливі актори надавали інструкції та обіцянки щодо виплат в обмін на доступ до внутрішніх панелей.
На відміну від інциденту на Coinbase, який призвів до серйозного витоку даних та потенційного зобов'язання до 400 мільйонів доларів, атаки на Binance і Kraken були перехоплені до того, як були піддані будь-які дані користувача. Ці інциденти підкреслюють не тільки ефективність технічних та політичних заходів безпеки, але й зростаючий ризик експлуатації з боку інсайдерів у криптосекторі.
Шаблон атак відображає інцидент із Coinbase
Остання хвиля кібернападів, зосереджених на інсайдерах, схоже, відображає тактики, використані в недавньому витоку даних на Coinbase. У тому випадку зловмисники змогли підкупити закордонних агентів підтримки клієнтів - які були або підрядниками, або працівниками нижчого рівня - і використали внутрішні дозволи для доступу до даних ідентичності клієнтів, включаючи видані урядом посвідчення та адреси.
Цей витік привів до вимоги викупу в розмірі 20 мільйонів доларів і, за повідомленнями, вплинув на сотні тисяч користувачів, деякі з яких потім стали мішенями фішингових кампаній та схем викрадення особистості. Coinbase з того часу звільнив залучених співробітників та зв'язався з правоохоронними органами США, але наслідки продовжують розгортатися.
Telegram: Кооординаційний центр для пропозицій підкупу
Нападники використовували облікові записи в Telegram для безпосереднього контакту з співробітниками біржі. Ці облікові записи надавали точні інструкції, як отримати та вивісити дані клієнтів, обійти моніторинг та прийняти оплату в криптовалюті.
Експерти з безпеки зазначають, що Telegram все частіше стає основною платформою для координації підкупу, брокерства даних та діяльності у сфері викупного програмного забезпечення у криптосвіті. Його функції анонімності, велика база користувачів та відсутність модерації роблять його ідеальним для кримінальної координації, особливо коли ціллю є доступ інсайдерів.
Binance і Kraken хвалять автоматизовані захисти та обмеження доступу
На Binance внутрішні системи моніторингу - деякі з яких працюють на основі машинного навчання - за повідомленнями, відзначили підозрілі шаблони комунікацій, включаючи ключові слова, пов’язані з підкупом, та спроби зовнішніх контактів через Telegram. Фільтри на основі ШІ змогли перехопити та ізолювати ризиковані взаємодії до ескалації.
Крім того, політика Binance з обмеження доступу до даних клієнтів, якщо це не було ініційовано користувачем, допомогла зменшити поверхню для експлуатації. За інформацією інсайдерів компанії, цільові агенти підтримки не мали дозволів, необхідних для самостійного отримання чутливих даних, що нейтралізувало стратегію нападників.
Kraken аналогічним чином використали політики контролю доступу та внутрішнього моніторингу для запобігання спробі витоку. Хоча деталі залишаються обмеженими, джерела повідомляють, що обидві біржі зробили проактивні кроки у четвертому кварталі 2024 року, щоб посилити контроль доступу до даних після галузевих попереджень щодо зростаючого ризику інсайдерських загроз.
Невдача Coinbase підкреслює вразливості індустрії
Витік даних Coinbase, виявлений на початку цього місяця, кидає тінь на практики безпеки централізованих бірж. Платформа зараз стикається з потенційними витратами на відшкодування та компенсацію до 400 мільйонів доларів, а також зростаючим регуляторним контролем за її обробкою персональних даних.
Як повідомляється, Coinbase отримувала попередження ще у грудні 2024 року від конкуруючих платформ про скоординовану кампанію, націлену на служби підтримки. На січень внутрішні системи реєстрували незвичайну активність у підтримці. Проте атака не була зупинена, поки не було завдано значної шкоди.
Ця затримка викликала занепокоєння щодо внутрішніх комунікаційних розривів і ефективності нагляду за безпекою Coinbase, особливо на тлі її зростаючої інституційної ролі - вона обслуговує як зберігача для більшості схвалених у США спотових ETF на Bitcoin і Ethereum.
З Coinbase, що здійснює опікунство над 8 з 11 спотових ETF на Bitcoin та 8 з 9 спотових ETF на Ethereum, критики стверджують, що компанія є єдиною точкою відмови в інфраструктурі криптосвіту США - занепокоєння, яке зараз посилюється її недавнім витоком даних.
Тренд у галузі: Зростають загрози інсайдерів
Події в Coinbase, Binance і Kraken відображають загальніший тренд у кібербезпеці: зростання загроз інсайдерів як основного вектора для компрометації даних. Коли біржі швидко масштабуються і передають частини своєї підтримки та операцій на аутсорсинг, вони стають більш вразливими до атак, які не залежать від проламу фаєрволу, а від підкупу людей.
Це не є унікальним для криптовалют. У традиційних фінансах та Великій технології загрози інсайдерів вже давно викликають занепокоєння. Але децентралізована етика криптосвіту часто створює невідповідності між очікуваннями щодо безпеки та операційною реальністю.
Біржі обіцяють опіку, анонімність та безпеку - але часто залежать від людських команд з доступом до систем у режимі реального часу, що вводить вроджений ризик. Виток Coinbase був особливо шкідливим через те, що він включав дані KYC, такі як адреси та видавані урядом посвідчення, які неможливо змінити чи перевипустити, як паролі чи особисті ключі.
Правові та регуляторні наслідки
Хоча Binance і Kraken уникнули найгіршого сценарію, регулятори, швидше за все, розглядатимуть ці інциденти як подальші докази недостатнього операційного контролю в рамках надання послуг підтримки клієнтів у криптопросторі. Раніше агенції США закликали до більш строгих правил конфіденційності даних, управління ідентичністю та захисту клієнтів в усьому секторі.
Поки SEC, CFTC та FinCEN обговорюють обсяг правозастосування у обробці даних, пов’язаних з криптовалютою, ці загрози інсайдерів можуть стати точкою розмежування. Легіслятивні пропозиції, такі як законопроєкт FIT21 та інші закони про структуру ринку криптовалют, що розглядаються в Конгресі, можуть включати більш строгі вимоги до внутрішньої безпеки та відповідальності для бірж.
Враховуючи масштаб активів, що утримуються, та обсяг даних KYC, зібраних на централізованих платформах, регулятори дедалі більше занепокоєні тим, що трапляється, коли "довіра" до біржі стає найслабшим елементом ланцюга.
Захист від інсайдерської соціальної інженерії
Експерти зазначають, що найбільш ефективні методи захисту від соціальної інженерії — це не тільки технічні рішення, а й процедурні та культурні підходи. Платформи повинні інвестувати у навчання обізнаності співробітників, покращити перевірку підрядників, зменшити привілейований доступ та запровадити більш агресивні системи оповіщення щодо ненормальної поведінки у сфері підтримки.
Деякі кращі практики, що виникають з останніх інцидентів, включають:
- Архітектуру нульового довіри до доступу: вважати, що внутрішні актори можуть бути скомпрометовані, і обмежити доступ до "мінімальних привілеїв".
- Моніторинг у режимі реального часу на основі ШІ: відзначати мову, що вказує на підкуп, контакт поза платформою або запити даних, що суперечать поведінці користувача.
- Внутрішні канали для інформаторів: заохочувати співробітників служби підтримки повідомляти про підозрілу взаємодію.
- Ланцюжки аудиту на блокчейні: використовувати смарт-контракти та автоматизовані журнали для запитів даних, забезпечуючи відповідальність.
- Поширення розвідданих між платформами: координуватися з іншими біржами щодо трендів атак та спроб розміщення.
Ці типи заходів могли б допомогти Coinbase стримати свій витік раніше - або повністю запобігти йому.
Заключні думки
Невдалі спроби підкупу на Binance і Kraken - і успішний витік на Coinbase - ілюструють тривожний парадокс у криптосекторі. Навіть коли блокчейни просувають децентралізацію і безпеку через код, платформи, що підтримують повсякденне використання, залишаються вразливими до дуже людських загроз.
Поки централізовані біржі залишаються воротами до криптовалюти для більшості користувачів – і продовжують зберігати чутливі дані користувачів – маніпуляції з участю інсайдерів залишатимуться улюбленим способом атаки хакерів. Теперішнє завдання галузі полягає в тому, щоб еволюціонувати свої моделі безпеки, щоб відобразити цю реальність, у той час як регулятори зважують, як застосувати більш строгі захисти по всій дошці.
З репутаційною шкодою, фінансовою відповідальністю та регуляторним контролем на кону, ставки на правильне вирішення цього питання ніколи не були вищими.