Den London-baserede cryptocurrency-handelsplatform Wintermute så cyberangribere tage fart med $160 millioner i denne uge, sandsynligvis på grund af en sikkerhedssårbarhed fundet i en partners kode. Hændelsen viser dybe bekymringer omkring implementering af sikkerhed for denne finanssektor, siger forskere.
Wintermutes grundlægger og administrerende direktør Evgeny Gaevoy tog til Twitter for at sige, at røveriet var rettet mod virksomhedens decentraliserede finansarm (DeFi), og at selvom hændelsen kunne forstyrre nogle operationer "i et par dage", er virksomheden ikke eksistentielt påvirket.
"Vi er solvente med dobbelt så meget i egenkapital tilbage," han tweeted. "Hvis du har en aftale om [pengestyring] med Wintermute, er dine penge sikre. Der vil være en afbrydelse i vores tjenester i dag og potentielt i de næste par dage og vil vende tilbage til det normale efter."
Han sagde også, at omkring 90 aktiver blev ramt, og appellerede til den skyldige: "Vi er (stadig) åbne for at behandle dette som en hvid hat [hændelse], så hvis du er angriberen - tag kontakt."
I mellemtiden forklarede han til Forbes at "white hat"-kommentaren betyder, at Wintermute tilbyder en "bug bounty" på 16 millioner dollars, hvis cyberangriberen returnerer de resterende 144 millioner dollars.
Fyldt med bandeord
Han fortalte også til forretningen, at tyveriet sandsynligvis spores tilbage til en fejl i en tjeneste kaldet Profanity, som giver brugerne mulighed for at tildele et håndtag til deres cryptocurrency-konti (normalt består kontonavne af lange, vrøvlagtige strenge af bogstaver og tal). Sårbarheden, afsløret i sidste uge, giver angribere mulighed for at afdække nøgler, der bruges til at kryptere og lirke åbne Ethereum-punge genereret med bandeord.
Wintermute brugte 10 bandeord-genererede konti til at foretage hurtige handler som en del af sin DeFi-forretning, ifølge Forbes. DeFi-netværk forbinder forskellige kryptovaluta-blockchains for at skabe en decentraliseret infrastruktur til låntagning, handel og andre transaktioner. Da nyheden om fejlen kom, forsøgte kryptofirmaet at tage konti offline, men på grund af "menneskelige fejl" forblev en af de 10 konti sårbar og tillod angriberne ind i systemet, sagde Gaevoy.
"Nogle af disse [DeFi] teknologier involverer også tredjeparts integrationer og forbindelser, hvor virksomheden måske ikke har mulighed for at kontrollere kildekoden, hvilket fører til yderligere risiko for virksomheden," siger Karl Steinkamp, direktør hos Coalfire, til Dark Reading. "I dette tilfælde blev en forfængelig digital aktivadresseudbyder, Profanity, udnyttet i angrebet ... En dyr og forebyggelig fejl for Wintermute."
DeFi-udvekslinger vil vokse som et mål
Det fandt analytikere med Bishop Fox tidligere på året ud af DeFi-platforme tabte 1.8 milliarder dollars til cyberangreb alene i 2021. Med i alt 65 observerede hændelser kom 90 % af tabene fra usofistikerede angreb, ifølge rapporten, som peger på svært ved at låse sektoren ned, som er afhængig af automatiserede transaktioner.
Og i sidste måned udstedte FBI en advarsel at cyberkriminelle i stigende grad udnytter sårbarheder i DeFi-platforme til at stjæle kryptovaluta, til en værdi af 1.3 milliarder dollars, der blev fanget alene mellem januar og marts 2022.
Forskere bemærker, at forbedret indførelse og prisstigning på digitale aktiver har og vil fortsætte med at tiltrække opmærksomhed fra ondsindede individer - og det samme vil den slappe sikkerhedstilstand i DeFi-området.
"Mange af disse virksomheder vokser i så hurtigt et tempo, at kundeerhvervelse er deres primære fokus," siger Mike Puterbaugh, CMO hos Pathlock. "Hvis intern sikkerhed og adgangskontrol er sekundære for at 'vokse for enhver pris', vil der være huller i applikationssikkerhed, som vil blive udnyttet."
Forhindringerne for at styrke DeFi-sikkerheden er talrige; Wintermutes chef bemærkede, at det er svært at finde passende værktøjer.
"Du skal underskrive transaktioner med det samme inden for få sekunder," fortalte Gaevoy til Forbes og tilføjede, at Wintermute var nødt til at oprette sine egne sikkerhedsprotokoller, da værktøjer mangler. Han indrømmede også, at Profanity ikke tilbød multifaktorautentificering, men virksomheden besluttede alligevel at bruge tjenesten. "I sidste ende er det den risiko, vi tog. Det var beregnet,” tilføjede han.
Steinkamp bemærker: "Afhængig af DeFi-platformens arkitektur kan der være en række udfordringer med at sikre dem. Disse kan variere fra risiko fra tredjeparter til kryptobro-fejl, menneskelige fejl og manglen på sikker softwareudvikling, for blot at nævne nogle få."
Og Puterbaugh påpeger, at selv med out-of-the-box kontroller og konfigurationer aktiveret, kan tilpasninger og integrationer skabe svagheder i den overordnede sikkerhed.
Bedste fremgangsmåder til at forbedre DeFi-sikkerhed
På trods af udfordringerne er der ikke desto mindre best-practice-tilgange, som DeFi-platforme bør implementere.
For eksempel anbefaler Puterbaugh at implementere adgangskontrol med hver ny app-implementering, sammen med løbende kontrol for adgangskonflikter eller applikationssårbarheder, som nøglen, især når man har at gøre med let bærbar digital valuta.
Også "virksomheder inden for DeFi-området skal rutinemæssigt udføre intern og ekstern test af deres platforme for løbende at sikre, at de afbøder trusler proaktivt," ifølge Steinkamp. Han tilføjer, at virksomheder også bør implementere yderligere forbedrede sikkerhedsforanstaltninger som en del af transaktionssikkerheden, herunder multifaktorautentificering og alarmudløsere ved mistænkelige og/eller ondsindede transaktioner.
Hvert lag hjælper, tilføjer han. "Hvad vil du helst prøve at få adgang til: et hus med åben dør eller et slot med voldgrav og vindebro?" han siger. "DeFi-virksomheder vil fortsætte med at være primære mål for cybertyve, indtil de implementerer tilstrækkelig sikkerhed og proceskontrol for at gøre angreb på deres platforme mindre attraktivt."
