Mieli strzec twoich milionów. Wystarczył jeden ruch „z wewnątrz”, by otworzyć cyfrowy sejf. Szokujące kulisy kradzieży
To miał być spokojny, poświąteczny tydzień. Inwestorzy zerkali na wykresy, popijając kawę. Nikt nie spodziewał się, że w tym samym czasie, w samym sercu zaufanej aplikacji, rozgrywa się dramat, który zachwieje wiarą w bezpieczeństwo kryptowalut. Nie zaatakowali hakerzy z Korei Północnej. Nie było skomplikowanego wirusa. Wróg, jak wskazują najnowsze doniesienia, czaił się znacznie bliżej.
Cios w plecy, którego nikt się nie spodziewał
Wyobraź sobie, że instalujesz zamek w drzwiach od najlepszego ślusarza w mieście. Masz certyfikaty, gwarancję i poczucie pełnego bezpieczeństwa. A teraz wyobraź sobie, że pewnej nocy ten sam ślusarz lub ktoś, kto ukradł mu klucze wchodzi do twojego domu jak do siebie i wynosi wszystko, co cenne. Bez wyważania drzwi. Bez hałasu.
Dokładnie taki scenariusz rozegrał się w ostatnich dniach na oczach tysięcy użytkowników Trust Wallet. Z ich kont w błyskawicznym tempie wyparowało łącznie ponad 7 milionów dolarów. Ofiary łączyło jedno: korzystali z oficjalnego rozszerzenia przeglądarkowego portfela.
Przez pierwsze godziny panował chaos. Czy to luka w kodzie? Czy Google przepuściło wirusa do swojego sklepu? Prawda okazała się jednak o wiele bardziej przerażająca niż typowy atak hakerski.
„Najprawdopodobniej to robota od środka”
Gdy opadł pierwszy kurz, oczy wszystkich zwróciły się na deweloperów. Jak to możliwe, że złośliwa wersja aplikacji (oznaczona numerem 2.68) trafiła do oficjalnego sklepu Chrome Web Store, posiadając poprawne podpisy cyfrowe? To tak, jakby fałszywy banknot został wydrukowany w państwowej mennicy.
Spekulacje uciął dopiero głos z samej góry. Changpeng Zhao (CZ), szef giełdy Binance (właściciela Trust Wallet), wstrząsnął dzisiaj społecznością internetową.
Zapytany o przyczyny ataku i o to, czy mógł za nim stać ktoś z zespołu lub osoba, która przejęła klucze deweloperskie, odpowiedział krótko i brutalnie szczerze: „Najprawdopodobniej”.
Złodziej miał klucze do królestwa
Eksperci ds. cyberbezpieczeństwa nie mają złudzeń. Scenariusz, w którym haker łamie zabezpieczenia Google i podszywa się pod dewelopera, jest niemal niemożliwy. Scenariusz, w którym nieuczciwy pracownik wynosi klucze API, lub niefrasobliwy programista traci je na rzecz hakera jest niestety plagą dzisiejszych firm technologicznych.
Wszystko wskazuje na to, że mieliśmy do czynienia z tzw. Insider Threat (zagrożeniem wewnętrznym). Ktoś użył oryginalnych uprawnień, by zamienić bezpieczny sejf w pułapkę, która wysyłała pieniądze użytkowników wprost na konta złodziei.
Lekcja, która kosztowała miliony
Binance zapowiedziało już, że pokryje straty użytkowników. Ale niesmak i strach pozostaną na długo. Ta sytuacja obnaża bolesną prawdę o współczesnym bezpieczeństwie IT, która dotyczy nie tylko świata krypto, ale każdej firmy – także Twojej.
„Możesz wydać miliony na firewalle, systemy antywirusowe i szkolenia antyphishingowe. Ale jeśli nie kontrolujesz tego, co robią Twoi administratorzy i jak chronione są klucze do publikacji oprogramowania, Twoja twierdza jest zbudowana na piasku.”