Coinbase предотвратила серьезную атаку на свою инфраструктуру благодаря быстрой реакции и сотрудничеству с экспертами по безопасности

Coinbase, крупнейшая криптобиржа в США, успешно избежала атаки на свою инфраструктуру, которая могла бы нарушить ее работу. Это произошло 23 марта, когда Ю Цзян, основатель компании по безопасности блокчейнов SlowMist, сообщил об инциденте в посте на X, ссылаясь на отчет от Unit 42, подразделения по угрозам компании Palo Alto Networks.

Согласно информации от Unit 42, злоумышленник нацелился на `agentkit`, открытый набор инструментов, управляемый Coinbase, который поддерживает блокчейн-агентов на базе ИИ. Атакующий создал ответвление репозиториев agentkit и onchainkit на GitHub, вставив вредоносный код, предназначенный для эксплуатации непрерывного интеграционного конвейера. Подозрительная активность была впервые обнаружена 14 марта 2025 года.

“Загрузка была сосредоточена на эксплуатации публичного CI/CD потока одного из их открытых проектов – agentkit, вероятно, с целью его дальнейшей компрометации,” - сообщила Unit 42.

Злоумышленник воспользовался разрешениями “write-all” на GitHub, что позволило внедрить вредоносный код в автоматизированный рабочий процесс проекта. Этот метод мог бы обеспечить доступ к конфиденциальным данным и создать путь для более широких компрометаций.

Тем не менее, Unit 42 сообщила, что полезная нагрузка собрала конфиденциальную информацию. Она не содержала передовых вредоносных инструментов, таких как удаленное выполнение кода или эксплойты обратного шелла.

В то же время Coinbase быстро отреагировала, сотрудничая с экспертами по безопасности для изоляции угрозы и применения необходимых мер. Эта быстрая реакция помогла компании избежать более глубокого вторжения и предотвратить потенциальный ущерб своей инфраструктуре.

Ставки были высоки, учитывая статус Coinbase как крупнейшей криптобиржи в США и ключевого хранителя для спотовых ETF на биткойн.

Нарушение такого рода могло бы вызвать серьезные сбои в криптоиндустрии, особенно после недавнего инцидента с безопасностью на Bybit на сумму 1.4 миллиарда долларов.

Несмотря на неудавшуюся попытку, злоумышленник с тех пор переключил внимание на более крупную кампанию, которая теперь привлекает глобальное внимание.

В связи с этим основатель SlowMist советует разработчикам, использующим GitHub Actions - особенно тем, кто работает с tj-actions или reviewdog, - провести аудит своих систем и подтвердить, что никаких секретов не было раскрыто.

“Если ваша компания использует reviewdog или tj-actions, проведите тщательную самопроверку,” - заявил Ю Цзян на X.

Этот инцидент подчеркивает растущую важность обеспечения безопасности открытых инструментов по мере расширения криптоэкосистемы. Данные от DeFillama показывают, что инциденты в криптоиндустрии уже составили более 1.5 миллиарда долларов в этом году.