Високопрофільний витік всередині Coinbase переріс у масштабне розслідування, яке залучило Міністерство юстиції США, коли аналітики зараз відстежують крипто прачення злодія.
Злам , про який Coinbase повідомив на початку цього місяця, але що стався ще в грудні, передбачав підкупленого агента служби підтримки клієнтів, який передав конфіденційні дані про майже 97 000 користувачів - інформацію, що включала посвідчення, видані державою, та потенційно пов'язані електронні адреси.
Хакер, чия особа залишається невідомою, з тих пір обміняв приблизно $42.5 мільйона вкрадених Bitcoin на Ethereum через Thorchain, децентралізований протокол ліквідності між ланцюгами. Невдовзі після конвертації 8,698 ETH - які коштували понад $22 мільйони, було зміщено на DAI, стейблкоїн, прив'язаний до долара США. Ця дія посилила спекуляції щодо того, що хакер може намагатися приховати кошти перед їх зняттям через інші децентралізовані протоколи або міксери.
Злам викликав хвилі шоку як у криптоіндустрії, так і в регуляторних колах. Справа не лише підкреслює хиткість систем внутрішньої безпеки на великих централізованих платформах, але також відновлює постійні побоювання щодо того, наскільки легко експлуатувати людські слабкості - навіть у компаніях, які стверджують, що дотримуються стандартів інституційного рівня.
Хакер знущається зі слідчих, виводячи кошти
Хакер залишив знущальне повідомлення в блокчейні, спрямоване на ZachXBT, відомого незалежного слідчого у ланцюзі, який допомагав відстежувати кошти у численних зламуваннях криптовалют.
Фраза "L bozo" - сленг на позначення "лузера" та принизливий термін для людини, яку вважають нерозумною, була прикріплена до однієї з транзакцій, сигналізуючи про зневагу до тих, хто намагається їх відстежити або викрити.
Це зухвалий жест не лише випадок цифрової насмішки - це відображає глибшу впевненість у тому, що децентралізовані інструменти та інфраструктура анонімності все ще надають кримінальним зловмисникам ефективні шляхи уникнення.
Анатомія зламу: Випадок використання інсайдера
Coinbase підтвердили, що хакер підкупив підтримку зі штату за кордоном, отримавши несанкціонований доступ до внутрішніх систем і записів клієнтів. Хакер начебто маніпулював співробітником, щоб той копіював та передавав документи, що посвідчують особу, можливо, через фішинг чи прямі грошові стимули. В результаті 69,461 користувач був офіційно підтверджений як такий, що зазнав компрометації особистих даних, хоча загальна кількість може бути ближчою до 97 тисяч.
Розслідування Мін'юсту, тиск щодо дотримання вимог та внутрішні наслідки
Міністерство юстиції США відкрило офіційне розслідування інциденту, додаючи федеральний контроль до того, що Coinbase охарактеризував як рідкісний, але серйозний внутрішній компроміс. Тим часом батчі звільнили усіх співробітників, залучених до зламу, і почали перебудову своєї внутрішньої системи безпеки, особливо зосереджуючись на:
- Строгіших процедурах перевірки і відбору персоналу служби підтримки, особливо за кордоном
- Моніторингу активності агентів у режимі реального часу, включаючи журнали доступу до даних і поведінкові аномалії
- Поліпшенні сегментації чутливих даних користувачів, щоб зменшити вплив від будь-якого виїзження на певну точку доступу.
Coinbase оцінює, що прямі та непрямі витрати, пов'язані зі злому, можуть перевищити $400 мільйонів. Ці витрати не тільки охоплюють можливі сплати за колективні позови та юридичні гонорари, але і втрату довіри клієнтів, оновлення системи та майбутні тяготи дотримання вимог.
Ширше попередження: Зростання соціальної інженерії в криптовалюті
Хоча експлоїт коду смарт-контрактів або вразливостей протоколу зазвичай притягує заголовки, соціальна інженерія залишається однією з найсильніших загроз для компаній з цифровими активами. Ці атаки обходять технічні захисти, націлюючись на людський фактор - переконуючи інсайдерів віддавати облікові дані або конфіденційні матеріали.
Як хакер переміщав кошти: Тактики децентралізованого прання
Після невдалої спроби вимагання викупу і публічного розголосу, хакер почав конвертацію вкрадених коштів у те, що, на думку аналітиків, було навмисною спробою заплутати походження. Хакер використав Thorchain для здійснення бездоверної заміни від BTC до ETH, яка могла бути обрана, щоб уникнути централізованих бірж і тригерів KYC.