
کنسنسس: مشاور مرتبط با کره شمالی یک ماه به سیستمها دسترسی…
این شرکت در حین یک تحقیق، انتشار محصولات را متوقف کرد و اعلام کرد که هیچ دزدی، هیچ کد مخربی و هیچ تأثیری بر کاربران پیدا نکرده است.
کنسنسس فاش کرد که به طور ناخواسته با یک مشاور توسعهدهنده نرمافزار که با نام مستعار "تایلر ناپ" شناخته میشود، همکاری کرده است. این فرد بعداً به کره شمالی مرتبط شد و به مدت حدود یک ماه به برخی از سیستمهای شرکت دسترسی داشت. این شرکت اعلام کرد که دسترسی را به سرعت قطع کرده، انتشار محصولات را در حین تحقیق متوقف کرده و هیچ سوءاستفادهای از داراییها یا دادهها و هیچ کد مخربی شناسایی نکرده است.
نکات کلیدی
- یک مشاور توسعهدهنده که با نام مستعار "تایلر ناپ" شناخته میشود و بعداً به کره شمالی مرتبط شد، به مدت حدود یک ماه به برخی از سیستمهای کنسنسس دسترسی داشت.
- این پیمانکار از طریق یک "ارائهدهنده خدمات معتبر شخص ثالث" معرفی شد و به عنوان مشاور کار کرد نه به عنوان کارمند.
- کنسنسس دسترسی را قطع کرد، انتشار محصولات را به طور موقت متوقف کرد و اعلام کرد که تحقیقاتش هیچ دزدی، هیچ کد مخربی و هیچ تأثیری بر ایمنی کاربران پیدا نکرده است.
- این شرکت قصد دارد نحوه برونسپاری کارهای مهندسی و توسعه را دوباره ارزیابی کند.
کنسنسس میگوید مشاور مرتبط با DPRK به مدت یک ماه به سیستمها دسترسی داشت.
کنسنسس اعلام کرد که به طور ناخواسته یک مشاور توسعهدهنده نرمافزار را که تحت نام مستعار "تایلر ناپ" فعالیت میکرد، استخدام کرده است. این فرد بعداً مشخص شد که با جمهوری دموکراتیک خلق کره (DPRK) مرتبط است که به طور معمول به کره شمالی اشاره دارد. این مشاور به مدت تقریباً یک ماه به برخی از سیستمهای کنسنسس دسترسی داشت و تاریخهای دقیق مشخص نشده است.
این افشاگری مهم است زیرا حادثه را به عنوان یک شکست در کنترل دسترسی و تأمین منابع به جای یک نفوذ تأیید شده چارچوببندی میکند. حتی زمانی که دزدی شناسایی نمیشود، یک ماه دسترسی داخلی زمان کافی برای یک بازیگر انگیزهدار برای نقشهبرداری از سیستمها، شناسایی مرزهای امتیاز و جستجوی نقاط ورود آینده است.
چگونه پیمانکار تأمین شد و چرا انتشارها متوقف شدند
مشاور عمومی کنسنسس، مت کُرووا، این همکاری را به عنوان کار توسعه برونسپاری شده توصیف کرد نه استخدام مستقیم. کُرووا گفت: “'کنپ' از طریق یک رابطه موجود با یک ارائهدهنده خدمات معتبر شخص ثالث به ما معرفی شد و به عنوان مشاور با کنسنسس همکاری کرد. او هرگز به عنوان یک کارمند کنسنسس استخدام نشد.”
آن مسیر تأمین، هستهی مواجهه با زنجیره تأمین است. یک معرفی از سوی شخص ثالث میتواند زمانهای دقت را فشرده کرده و اعطای دسترسیهایی را که در یک فرآیند استخدام مستقیم با دقت بیشتری مورد بررسی قرار میگیرند، عادی کند. برای معاملهگران، سیگنال کلیدی تنها این نیست که بازیگر چه کسی بود، بلکه این است که دسترسی چگونه به دست آمده است.
کانسنسس همچنین اعلام کرد که بهطور موقت انتشار محصولات را در طول تحقیقات متوقف کرده است. این توقف یک نقطه داده ملموس در زمینه ریسک عملیاتی است. حتی زمانی که یک حادثه با "بدون تأثیر" حل میشود، توقف انتشار میتواند به تأخیر در وصلهها، موارد نقشه راه و یکپارچهسازیهایی که تیمها و طرفهای مقابل بهطور ضمنی در نظر میگیرند، منجر شود.
آنچه کنسنسیس میگوید که تحقیقات پیدا کرده است — و آنچه که جزئیات آن را ارائه نکرده است
کوروا گفت که کنسنسس تهدید را "بسیار سریع" شناسایی کرد، دسترسی را قطع کرد و یک "تحقیق جامع" راهاندازی کرد. او گفت که تحقیق "تأیید کرد که هیچ سوءاستفادهای صورت نگرفته است."داراییهایا داده، هیچ کد مخربی مستقر نشده و هیچ تأثیری بر ایمنی و امنیت کاربر ندارد.”
این نتایج ریسکهای فوری را کاهش میدهند، اما این بیانیه جزئیات کلیدی را مبهم باقی میگذارد. Consensys مشخص نکرد که کدام سیستمهای داخلی دسترسی پیدا کردند، چه مجوزهایی اعطا شد، چگونه کره شمالیلینکتأسیس شد، آیا از کارشناسیهای خارجی استفاده شده است یا آیا نیروی انتظامی درگیر بوده است.
سیگنالهای ریسک عملیاتی برای ابزارها و امنیت زنجیره تأمین اتریوم
کنسنسیس در اتریوم زیرساخت ابزارها قرار دارد، بنابراین اختلالات عملیاتی و حوادث زنجیره تأمین میتوانند فراتر از یک شرکت منتقل شوند. این شرکت حادثه را به عنوان بخشی از یک الگوی گستردهتر که گروههای هکری کره شمالی شرکتهای دارایی دیجیتال را با ارسال پیشنهادات شغلی جعلی به توسعهدهندگان و درخواست برای مشاغل به منظور دسترسی به کدها و سیستمهای داخلی هدف قرار میدهد، چارچوببندی کرد.
کوروا گفت که کنسنسیس شیوههای خود را برای برونسپاری کارهای مهندسی و توسعه دوباره ارزیابی خواهد کرد. معاملهگران باید هر گونه تغییرات سیاستی پس از این حادثه را به عنوان سیگنال تغییر موضع در نظر بگیرند، به ویژه اگر شامل بررسی دقیقتر پیمانکاران، مجوزهای محدودتر یا گیتینگ انتشار تهاجمیتر باشد.
نقاط عطف بعدی این است که آیا کنسنسیس دامنه دسترسی و مجوزها را افشا میکند، آیا مدت زمان و محصولات تحت تأثیر از تعلیق انتشار را مشخص میکند و آیا روشن میکند که چگونه ارتباط با DPRK تعیین شده و آیا سایر فروشندگان از طریق همان کانال شخص ثالث در معرض خطر قرار گرفتهاند.
چرا ‘عدم تأثیر’ هنوز برای مدلهای ریسک معاملهگران اهمیت دارد
من ‘عدم تأثیر’ را به عنوان یک مجوز رایگان در نظر نمیگیرم. آستانهای که اهمیت دارد این است که آیا شرکت میتواند به طور معتبر آنچه را که در طول آن ماه دسترسی ممکن بود، محدود کند، زیرا حوادث زنجیره تأمین درباره مسیرها هستند، نه تیترها.
این بیشتر شبیه یک کاتالیزور احساسی به نظر میرسد تا یک تغییر بنیادی اگر دامنه دسترسی محدود باقی بماند و توقف انتشار کوتاهمدت ثابت شود. اگر Consensys با برونسپاری و تغییرات کنترل دسترسی مشخص پیش برود، این ساختار بیشتر به نظر میرسد تا اینکه تحت تأثیر روایت باشد، زیرا این تغییر میدهد که چگونه خطرات مشابه میتوانند به سرعت از طریق لایه ابزارهای اتریوم گسترش یابند.