Kryptoměnový projekt Drift přišel o 270 milionů dolarů po útoku, který neproběhl klasickým způsobem přes chybu v kódu. Útočníci místo toho několik měsíců budovali důvěru a pronikli přímo do fungování projektu.
Podle informací šlo o dlouhodobou operaci trvající zhruba půl roku. Útočníci používali falešné identity, setkávali se s členy týmu osobně v různých zemích a postupně si získávali jejich důvěru. Nakonec se stali součástí systému, který později zneužili.
Bezpečnostní experti mluví o změně přístupu. „Musíme přestat těmto útokům říkat hacky a začít je nazývat tím, čím jsou: zpravodajské operace,“ uvedl Alexander Urbelis z ENS Labs. Dodal, že podobné chování připomíná práci agentů, ne běžných hackerů.
Slabinou už nejsou jen technologie
Kryptoměnové projekty se dlouhodobě soustředily hlavně na bezpečnost kódu. Audit, kontrola a testování měly zabránit chybám ve smart kontraktech. Nový případ ale ukazuje, že problém může být jinde.
„Severní Korea už nehledá zranitelné kontrakty. Hledá zranitelné lidi,“ varoval Urbelis. Právě lidský faktor se podle něj stává hlavním cílem podobných operací.
Podobné taktiky se objevovaly už dříve, kdy se lidé napojení na Severní Koreu snažili získat práci v kryptofirmách pod falešnou identitou. Nově se ale útoky posouvají dál a zahrnují dlouhodobé budování vztahů a osobní kontakty.
Projekty mění přístup k bezpečnosti
Odborníci upozorňují, že i dokonale zabezpečený systém může selhat, pokud se podaří kompromitovat člověka s přístupem. „Tyto operace jsou pečlivě plánované, trvají měsíce a stojí na lidském prvku. A právě ten je pro mnoho organizací Achillovou patou,“ uvedl David Schwed ze SVRN.
Projekty proto začínají řešit nejen technologii, ale i fungování týmů. Zvyšují kontrolu přístupů, zavádějí více podpisů pro citlivé operace a školí zaměstnance v oblasti bezpečnosti.
Zástupci některých platforem zároveň upozorňují, že stoprocentní ochrana neexistuje. „Riziko podobných útoků nelze úplně odstranit,“ uvedl David Gogel z dYdX Labs.
Zodpovědnost se částečně přesouvá i na uživatele. Ti by měli víc rozumět tomu, jak projekty fungují a kdo má přístup k jejich prostředkům. Bezpečnost v kryptu tak už není jen otázkou kódu, ale celého systému i lidí, kteří ho spravují.
