Coinbase успішно відбила кібератаку на ланцюг постачання і захистила свою інфраструктуру з відкритим кодом

Coinbase, найбільша криптобіржа в США, успішно уникнула атаки на ланцюг постачання, яка могла б скомпрометувати її інфраструктуру з відкритим кодом.

23 березня Юй Цзян, засновник компанії з безпеки blockchain SlowMist, відзначив інцидент у пості на платформі X, посилаючись на звіт Unit 42, підрозділу з виявлення загроз Palo Alto Networks.

Як Coinbase зупинила значну кібератаку

Згідно з інформацією Unit 42, зловмисник націлився на «agentkit», набір інструментів з відкритим кодом, яким управляє Coinbase і який підтримує блокчейн-агентів на основі штучного інтелекту.

Загрозливий актор форкнув репозиторії agentkit та onchainkit на GitHub, вставляючи шкідливий код, призначений для експлуатації процесу безперервної інтеграції. Підозрілі дії вперше були виявлені 14 березня 2025 року.

«Шкідливий код був спрямований на експлуатацію публічного потоку CI/CD одного з їхніх проектів з відкритим кодом – agentkit, імовірно, з метою використання його для подальших компрометацій», – повідомила компанія Unit 42.

Зловмисник скористався «права на запис всіх» на GitHub, що дозволило впровадження шкідливого коду в автоматизований процес роботи проекту. Цей метод міг би дозволити доступ до чутливих даних та створити шлях для ширших компрометацій.

Шкідливий коміт, націлений на Coinbase

Однак, як повідомила Unit 42, шкідливий код зібрав чутливу інформацію. Він не містив розширених шкідливих інструментів, таких як віддалене виконання коду чи експлойти зворотного підключення.

При цьому Coinbase швидко відреагувала, співпрацюючи з експертами з безпеки, щоб ізолювати загрозу та застосувати необхідні заходи зменшення ризиків. Ця швидка дія допомогла компанії уникнути глибшої інфільтрації та запобігти можливій шкоді її інфраструктурі.

Ставки були високими, враховуючи становище Coinbase як найбільшої криптобіржі у США та ключового зберігача для спотових ETF на біткойн.

Порушення такого роду могло призвести до значних збоїв у криптоіндустрії, особливо після нещодавнього інциденту з безпекою Bybit на суму 1,4 мільярда доларів.

Незважаючи на невдалу спробу, зловмисник з того часу переорієнтувався на більшу кампанію, яка зараз привертає глобальну увагу.

У світлі цього, засновник SlowMist порадив розробникам, які використовують GitHub Actions, особливо тим, хто працює з tj-actions або reviewdog, провести аудит своїх систем і підтвердити, що жодні секрети не були розкриті.

«Якщо ваша компанія використовує reviewdog або tj-actions, проведіть ретельний самоаудит», – зазначив Юй Цзян на платформі X.

Цей інцидент підкреслює зростаючу важливість захисту інструментів з відкритим кодом у міру розширення криптоекосистеми. Дані від DeFillama свідчать, що криптоіндустрія цього року зазнала експлуатацій на більше ніж 1,5 мільярда доларів.