Збій Coinbase: $400 млн втрачених через гhack і проблеми з конфіденційністю користувачів

«Сигнал тривоги»: Як збій Coinbase на суму $400 млн виявляє темну сторону криптовалют

Організована атака на криптовалютну біржу Coinbase (COIN), яка сталася минулого тижня, залишила більше запитань, ніж відповідей.

Деякі вважають, що реакція Coinbase на кризу була «досить гарним прикладом» поведінки в кризовій ситуації, однак цей інцидент викликав потенційно величезну проблему з конфіденційністю, яка нагадує витік даних Ledger у 2021 році. Тоді злочинці змогли отримати імена та адреси власників криптовалюти. Coinbase вже визнала, що її клієнти можуть втратити близько півмільярда доларів унаслідок цього порушення.

Кіберзлочинці отримали доступ до даних користувачів Coinbase, підкуповуючи та переконуючи співробітників підтримки обмінника поділитися цими даними. Однак, за словами багатьох експертів, це було цілком запобіжно.

«Системиз захисту повинні робити крадіжку даних технічно неможливою, але Coinbase явно не приділяло пріоритетної уваги цим заходам, залишаючи двері широко відкритими», — сказав Енді Чжоу, співзасновник компанії з безпеки блокчейн BlockSec.

Дозволяючи цим злочинцям отримувати доступ до персональних даних, незалежно від того, чи це через злом, чи через соціальну інженерію, є великою проблемою для біржі, яка щодня обробляє обсяги у мільярди доларів. Цей інцидент створив безліч проблем, включаючи конфіденційність користувачів та довіру. Як могла Coinbase, публічно торгова компанія, дозволити нападникам вкрасти особисту інформацію та гроші через відкриті двері? Чи можна було цього уникнути?

Генеральний директор Hackett Communications Хізер Дейл висловила думку, що реакція Coinbase є «майстер-класом у комунікації», але метод компанії для вирішення цієї проблеми був простим: витратити якомога більше грошей.

Біржа запропонувала винагороду в 20 мільйонів доларів за будь-яку інформацію, яка призведе до арешту або переслідування винних. Вона також зобов`язалася добровільно відшкодувати постраждалим користувачам від 180 до 400 мільйонів доларів. Що ж сталося?

Перед тим як аналізувати наслідки порушення, важливо зрозуміти, як саме це сталося в публічно торгівельній компанії, що витрачає мільйони доларів на місяць на безпеку.

В лютому, дослідник у сфері даних ZachXBT повідомив про зростання крадіжок, пов`язаних із користувачами Coinbase. Він зазначив, що це «результат агресивних ризикових моделей та невдачі Coinbase зупинити втрати своїх користувачів у 300 мільйонів доларів на рік через шахрайські схеми соціальної інженерії.»

Страх перед кіберзлочинцями, які крадуть сотні мільйонів доларів, став реальністю минулого тижня, коли Coinbase опублікувала повідомлення в блозі, в якому йшлося про те, що були вкрадені залишки на рахунках, зображення державних документів, номери телефонів, адреси та замасковані деталі банківських рахунків.

На відміну від інших зломів і витоків, які передбачають експлуатацію недоліків у системах, ці злочинці потрапили всередину, спілкуючи безпосередньо з співробітниками Coinbase та купуючи доступ до інформації через зрадників всередині компанії. Coinbase стверджує, що звільнила всіх відповідальних працівників на місці, хоча і не розкрила метод, яким користувалася для їх знаходження.

Однак ця проблема не обмежується лише криптовалютами. У 2022 році цифровий банк Revolut підтвердив крадіжку 50,000 комплектів даних клієнтів, тоді як через рік платформа торгівлі Robinhood зіткнулася з витоком до 5 мільйонів електронних адрес. Остання отримала штраф у 45 мільйонів доларів від SEC після того, як стало відомо, що частина клієнтів втратила свої рахунки через дії нападників.

Британська служба BBC повідомила в жовтні, що один з користувачів Revolut втратив 165,000 фунтів стерлінгів (220,000 доларів) після витоку даних, а система виявлення шахрайства цього нео-банку запобігла шахрайським транзакціям на суму 475 мільйонів фунтів стерлінгів у 2023 році.

Конкуренти Coinbase, Binance та Kraken, заявили, що їм вдалося відбити аналогічні атаки соціальної інженерії в останні тижні.

Генеральний директор Coinbase Брайан Армстронг також опублікував відео в X минулого тижня, стверджуючи, що отримав «ноту викупу» на 20 мільйонів доларів у біткоїнах в обмін на те, що нападники не опублікують деяку інформацію, яку вони заявили, що отримали про клієнтів Coinbase.

ZachXBT додав у четвер, що нападники почали приховувати вкрадені кошти, обмінюючи BTC на ETH на Thorchain, майданчику, який часто використовують інфамозні хакери з Північної Кореї, група Lazarus.

«Сигнал тривоги»

Енді Чжоу, співзасновник компанії з безпеки блокчейн BlockSec, заявив CoinDesk, що Coinbase повинна була провести «жорсткі перевірки фону співробітників, які працюють з чутливими даними» та встановити «сигнали попередження про незвичну активність», наприклад, якщо хтось раптово завантажує тисячі профілів клієнтів.

Чжоу додав, що Coinbase повинна була реалізувати кілька технічних рішень, серед яких суворий доступ на основі ролей, що означає, що співробітники бачать лише необхідні дані, або інструменти конфіденційності, які дозволяють працювати без розкриття необроблених даних (наприклад, розмиття фотографій документів).

Нік Таусек, провідний архітектор автоматизації безпеки в Swimlane, сказав CoinDesk, що ця витік має бути «сигналом тривоги» для посилення виявлення внутрішніх загроз.

«Оскільки аутсорсинг масштабується, а операції розтягуються через часові пояси, виявлення внутрішніх загроз і управління доступом не можуть бути другорядними. Один внутрішній співробітник з відповідним доступом, чи в даному випадку, з неправильними інтересами, може прорватися через навіть найміцніші безпекові позиції. Як показує цей інцидент, достатньо, щоб 1% клієнтів зазнав втрат, аби це потрапило в заголовки новин на 100%.

Однак не всі звинувачують Coinbase.

Міхал Поспєшалк, генеральний директор MatterFi, сказав, що «це не проблема Coinbase, це системна вразливість, яка переслідує крипту з самого початку». Він стверджував, що природою надсилання криптовалюти без посередника є те, що всі платформи на відстані одного кроку від катастрофи.

Зломщики повинні створити ситуацію, яка може обманути користувачів на відправлення коштів в незворотній транзакції. У випадку Coinbase нападники отримали доступ до персонально ідентифікованої інформації від зрадника-співробітника.

Головна проблема, за словами Поспєшалка, полягає в тому, що користувачі не знають, чи відправляють вони кошти правильному отримувачу, додаючи, що криптовалюта працює на моделі «досить довіряти». Це не є сталим.

Що буде далі?

Coinbase заявила, що добровільно компенсує користувачам, які втратили кошти під час порушення, і продовжить співпрацювати з правоохоронними органами для затримання відповідальних. Однак для користувачів це більш темний шлях.

Біржа зазначила в своїй регуляторній декларації в середу, що на витік даних вплинули 69,461 клієнти. У документі також зазначалося, що порушення сталося в грудні 2024 року, і Coinbase виявила це лише 15 травня.

Ці деталі тепер доступні в Інтернеті і можуть навіть продаватися на чорному ринку та в сумнівних групах Telegram. Після витоку даних Ledger деталі клієнтів були опубліковані на Raidforums, зловмисній платформі обміну даними, що призвело до зростання фішинг-схем.

На жаль, Coinbase не може зробити нічого, щоб запобігти поширенню цієї витеклої інформації, залишаючи постраждалих користувачів намагатися вжити якомога більше заходів безпеки. Це включає зміну гаманців, зміну адрес депозитів на біржах та навіть зміну домашніх адрес, щоб уникнути ризику реальних крадіжок. Користувачі, чиї номери соціального страхування були опубліковані, також повинні заблокувати свої кредитні записи, щоб запобігти крадіжці особистості.

Це може бути обтяжливим, але, як ми бачили раніше цього року під час спроби викрадення співзасновника Ledger Девіда Балланда (і кількох інших осіб протягом останніх кількох тижнів), злочинці не зупиняться, поки не витягнуть максимальну кількість коштів, навіть якщо для цього доведеться вдаватися до жорстоких актів насильства.

Це також піднімає потенційне правове питання: Якщо клієнт Coinbase зазнає напад на вулиці або крадіжки через витік даних, чи буде Coinbase відповідальним? Ledger не змогла уникнути пропозицій класового позову раніше цього року, оскільки позивачі стверджували, що Ledger порушила свою політику конфіденційності та повинна була вжити заходів для запобігання витоку.

Дослідниця криптовалют Моллі Уайт також зазначила, що Coinbase змінила свою угоду з користувачами в квітні, додавши два положення, що обмежують класові позови та вимагають, щоб позови подавалися в Нью-Йорку, з оновленнями, що вступили в силу 15 травня, в той же день, коли стало відомо про витік.

Coinbase відповіла CoinDesk на заяви Уайт, заявивши, що біржа «завчасно повідомила клієнтів» про зміну угоди з користувачами та що у них вже багато років діє угода про відмову від колективних позовів.

Проте Coinbase не прокоментувала запитання щодо того, чи була витік даних запобіжний, або як вона захистить клієнтів, які можуть опинитися під загрозою реальних крадіжок у майбутньому.

Читати далі: Реакція ринку на злом Coinbase «перебільшена», стверджують аналітики, коли розслідування SEC занурює акції