内部威胁：内部行为者如何成为加密货币的最薄弱环节 - Brave New Coin

本周披露，2024年4月，智能合约审计公司Fuzzland的一名前员工利用内部访问权限黑客攻击了Bedrock的UniBTC协议，窃取了200万美元。

一份报告显示，攻击者非常顽强，并使用了多种不同的方法。在公司工作期间，内鬼在工程工作站中插入了后门，这一行为在数周内未被发现。他们还使用了社会工程学和供应链攻击。该事件让人想起最近在Coinbase发生的另一桩“内部工作”，帮助台员工向犯罪团伙出售高度机密的客户数据。这进一步强调了一个令人不安的事实：即使是经过良好审计的系统也可能从内部被破坏。

内部人士正逐渐成为加密基础设施的潜在生存威胁。这些是拥有特权访问系统的开发人员、员工甚至第三方承包商，他们可以利用这种访问进行恶意获利。

你的开发者是最薄弱的环节吗？

内部攻击通常会逃避传统的安全措施。它们的入侵方法依赖于被授予进入特权。开发人员和审计人员可以访问生产环境、提交权限，并实时了解系统漏洞。

他们的进入方式依赖于获得进入城堡的钥匙，而不是通过暴力破解或零日漏洞，而是通过作为受信任的团队成员确保合法访问。一旦进入，这些内部人员可以在内部系统中横向移动，植入后门，窃取敏感密钥，或操纵智能合约的部署，所有这些都在正常开发活动的掩护下进行。这使得他们比外部攻击者更难被发现，并显著增加了长期未被发现的妥协的潜力。

在许多方面，对团队成员的信任已成为一种安全负担。在一个可能永远不会亲自见面的伪匿名行业中，验证意图和身份的挑战尤其复杂。

朝鲜网络军与Web3团队的渗透

最令人担忧的趋势子集是国家支持的远程工作的武器化。根据美国政府报告和网络安全公司DTEX的说法，北朝鲜已经通过伪装成自由开发者和IT工作人员，将卧底代理渗透到Web3组织中。这些特工使用虚假身份、令人信服的GitHub贡献和专业的LinkedIn个人资料来确保在加密初创企业和DAO中获得合同。

一旦进入，他们要么直接窃取敏感凭证，要么在代码库中插入后门。这些攻击极难被发现，尤其是在全球分布的团队中，面对面验证很少。

联邦调查局、财政部和司法部已联合发布公告，敦促加密项目对远程工作人员进行更严格的审查。截至2024年底，超过10亿美元的加密盗窃案件已与朝鲜国家支持的行为者相关联。

加密货币的匿名文化是否构成安全风险？

安全不仅仅关乎代码，还关乎人。加密货币的基本价值之一是能够以假名运作；这个行业是围绕对个人隐私的尊重而建立的。然而，这一特性使得传统的人力资源和安全实践难以应用。虽然假名制赋予了举报者、开源贡献者和压迫地区的社区权力，但它也为滥用打开了大门。

去中心化的价值观与建立安全系统所需的信任模型是否兼容？一种潜在的解决方案是混合方法，其中伪名贡献者在沙盒角色中运作，而核心基础设施仅限于经过验证的团队成员。

结论

Bedrock漏洞以及与之相关的国家链接的趋势表明，行业不再能够仅仅依赖外部审计和漏洞赏金。在一个建立在透明和代码基础上的行业中，人类信任可能是最直接的攻击面。

为了让Web3安全地扩展，它必须面对一个不舒服的真相：最危险的威胁可能不是外部的，而是在内部的墙壁之内。