Утечка данных на $400 миллионов из Coinbase: тревожный сигнал для криптовалютной безопасности

«Основной сигнал тревоги»: Как утечка данных на $400 миллионов из Coinbase выявила темную сторону криптовалюты

Организованная атака на криптовалютную биржу Coinbase (COIN) на прошлой неделе оставила больше вопросов, чем ответов.

Хотя некоторые восприняли реакцию Coinbase как «действительно хороший пример» управления кризисом, утечка данных теперь привела к потенциальной серьезной проблеме с конфиденциальностью, которая напоминает утечку данных Ledger в 2021 году — что привело к серии реальных краж, так как преступники получили доступ к именам и адресам держателей криптовалют. Coinbase уже подтвердила, что ее клиенты могли потерять близко полумиллиарда долларов из-за этой утечки.

Киберпреступники получили доступ к данным пользователей Coinbase, подкупив и убедив сотрудников службы поддержки биржи поделиться этой информацией, однако, по мнению многочисленных экспертов, общавшихся с CoinDesk, это было совершенно предотвратимо.

«Система резервного контроля сделала бы кражу данных технически невозможной, но Coinbase явно не приоритизировала эти меры, оставив дверь широко открытой», — сказал Эдди Чжоу, соучредитель компании по кибербезопасности BlockSec, в интервью CoinDesk.

Позволяя преступникам получить доступ к личным данным, будь то через взлом или, в данном случае, социальную инженерию, является серьезным упущением со стороны биржи, которая обрабатывает миллиарды долларов объемов ежедневно. Утечка создала множество проблем, включая конфиденциальность и доверие пользователей. Как могла Coinbase, публично торгуемая компания, позволить злоумышленникам украсть личную информацию и деньги через «дверь входа»? И можно ли было это предотвратить?

Генеральный директор Hackett Communications Хизер Дейл охвалила реакцию Coinbase как «мастер-класс по коммуникации», но метод компании по преодолению проблем был простым: бросить как можно больше денег на решение вопроса.

Биржа предложила вознаграждение в размере $20 миллионов тому, кто предоставит информацию, которая приведет к аресту или судебному преследованию. Она также обязалась добровольно возместить затронутым пользователям сумму от $180 миллионов до $400 миллионов. Что произошло?

Перед анализом последствий утечки важно понять, как именно произошла утечка в публично торгуемой компании, которая тратит миллионы долларов в месяц на инфраструктуру безопасности.

В феврале блокчейн-аналитик ZachXBT сообщил о росте краж, связанных с пользователями Coinbase. Он заявил, что это «результат агрессивных моделей риска и неудачи Coinbase остановить своих пользователей, теряющих $300 миллионов в год из-за мошенничеств с социальной инженерией».

Страх киберпреступников, которые украдут сотни миллионов долларов, стал реальностью на прошлой неделе, когда Coinbase опубликовала блог, в котором раскрылось, что были украдены балансы аккаунтов, изображения удостоверений личности, номера телефонов, адреса и маскированные данные банковских счетов.

В отличие от других взломов и утечек, когда злоумышленники используют уязвимости системы, эти преступники действовали через «дверь входа» — напрямую общаясь с сотрудниками Coinbase и приобретая доступ к информации через нечистых на руку сотрудников. Coinbase заявила, что уволила всех ответственных сотрудников на месте, хотя не раскрыло метод, которым воспользовалась для их выявления в блоге.

Однако проблема не ограничивается криптовалютами. В 2022 году цифровой банк Revolut подтвердил, что было украдено 50,000 наборов данных клиентов, в то время как год спустя торговая платформа Robinhood допустила утечку до 5 миллионов адресов электронной почты. Последняя была оштрафована на $45 миллионов Комиссией по ценным бумагам и биржам (SEC) после того, как стало известно, что часть клиентов потеряла свои счета из-за нападений.

BBC сообщила в октябре, что один пользователь Revolut потерял £165,000 ($220,000) после утечки данных, и что система обнаружения мошенничества полностью заблокировала £475 миллионов в мошеннических транзакциях в 2023 году.

Конкуренты Coinbase, Binance и Kraken, заявили, что им удалось предотвратить аналогичные атаки социальной инженерии в последние недели.

Генеральный директор Coinbase Брайан Армстронг также опубликовал видео на X на прошлой неделе, заявив, что он получил «ноту с выкупом» на $20 миллионов в биткойнах в обмен на то, чтобы эти злоумышленники не раскрыли некоторые данные, которые они утверждали, что получили о клиентах Coinbase.

ZachXBT добавил в четверг, что злоумышленники начали скрывать украденные средства, меняя BTC на ETH на Thorchain, площадке, часто используемой известной хакерской группой Лазарь из Северной Кореи.

«Основной сигнал тревоги»

Эдди Чжоу, соучредитель компании по безопасности BlockSec, сказал CoinDesk, что Coinbase следовало бы провести «строгие проверки биографий сотрудников, работающих с конфиденциальными данными», и установить «сигналы тревоги на странную активность», такую как неожиданная загрузка тысяч профилей клиентов.

Чжоу добавил, что Coinbase следовало бы внедрить несколько технических решений. Включая строгий доступ по ролям, что означает, что сотрудники видят только необходимую информацию, или инструменты конфиденциальности, которые позволяют работать без раскрытия сырых деталей (например, затемнение фотографий удостоверений).

Ник Таусек, ведущий архитектор по автоматизации безопасности в Swimlane, заявил CoinDesk, что утечка данных должна стать «основным сигналом тревоги» для надежного обнаружения внутренних угроз.

«Поскольку аутсорсинг расширяется, а операции растягиваются по часовым поясам, обнаружение внутренних угроз и управление доступом не могут быть последней заботой. Один внутренний сотрудник с правильным доступом, или, в данном случае, с неправильными стимулами, может пробить дыру даже в самой укрепленной системе безопасности. Поскольку эта утечка показывает, достаточно 1% клиентов, подвергшихся утечке, чтобы сделать 100% заголовков».

Тем не менее, не все осуждают Coinbase.

Михал Поспешальски, генеральный директор MatterFi, сказал, что это «не проблема Coinbase, это системная уязвимость, мучающая криптовалюты с самого начала». Он утверждал, что природа перевода криптовалюты без посредника означает, что все платформы находятся в одном шаге от катастрофы.

Хакеры должны создать ситуацию, которая может обмануть пользователей и заставить их отправить средства в необратимой транзакции. В случае Coinbase злоумышленники получили доступ к личной идентифицируемой информации через нечистого на руку сотрудника.

Корневая проблема, по мнению Поспешальски, заключается в том, что пользователи не знают, отправляют ли они средства правильному получателю, добавив, что криптовалюта работает под моделью «доверяй, брат», и это неустойчива.

Что будет дальше?

Coinbase заявила, что выплатит компенсацию пользователям, потерявшим средства в результате утечки, и продолжит сотрудничать с правоохранительными органами для поимки виновных. Но для пользователей это более темный путь.

Биржа сообщила в регуляторной подаче в среду, что утечка затронула 69,461 клиентов. В подаче также отмечено, что утечка произошла в декабре 2024 года и не была обнаружена Coinbase до 15 мая.

Эти данные сейчас доступны в Интернете и могут быть даже проданы в даркнете и в сомнительных группах Telegram. После утечки данных Ledger детали клиентов были опубликованы на Raidforums, платформе обмена данными, что привело к росту попыток фишинга.

К сожалению, Coinbase ничего не может сделать, чтобы предотвратить распространение этой утекшей информации, оставляя пострадавшим пользователям пытаться установить как можно больше защитных мер. К ним относится изменение кошельков, изменение адресов депозита на биржах и даже изменение домашних адресов, чтобы избежать риска реальных краж. Пользователи, чьи номера социального страхования были утечены, также должны заблокировать свои кредиты, чтобы предотвратить кражу личности.

Это может быть неудобно, но, как видно ранее в этом году во время попытки похищения соучредителя Ledger Дэвида Балланда (и нескольких других лиц за последние несколько недель), преступники не остановятся, пока не извлекут максимальное количество средств, даже если это означает применение жестоких актов насилия.

Это также поднимает потенциальный юридический вопрос: если клиент Coinbase станет жертвой ограбления или нападения из-за утечки данных, будет ли Coinbase нести ответственность? Ledger не смог избежать предложенного иска о коллективном иске ранее в этом году, когда истцы утверждали, что Ledger нарушила свою политику конфиденциальности и должна была иметь меры для предотвращения утечки.

Исследователь криптовалюты Молли Уайт также отметила, что Coinbase изменила свое пользовательское соглашение в апреле, добавив два пункта, ограничивающих коллективные иски и требующих, чтобы иски подавались в Нью-Йорке, причем изменения вступили в силу 15 мая, в тот же день, когда была объявлена утечка.

Coinbase ответила CoinDesk на утверждения Уайт, заявив, что биржа «предварительно уведомила клиентов» об изменении пользовательского соглашения и что у нее уже много лет есть отказ от коллективных исков.

Тем не менее, Coinbase не прокомментировала вопросы, связанные с тем, была ли утечка предотвратима или как она будет защищать клиентов, которые могут быть риску реальных краж в будущем.

Читать далее: Реакция рынка на взлом Coinbase «раздут» — говорят аналитики, поскольку расследование SEC обрушивает акции.