
Consensys: DPRK से जुड़े सलाहकार को एक महीने का सिस्टम…
कंपनी ने एक जांच के दौरान उत्पाद रिलीज़ को रोक दिया और कहा कि उसने कोई चोरी, कोई दुर्भावनापूर्ण कोड, और कोई उपयोगकर्ता प्रभाव नहीं पाया।
कंसेंसिस ने खुलासा किया कि उसने अनजाने में एक सॉफ़्टवेयर डेवलपर सलाहकार को “टायलर नप्प” उपनाम से नियुक्त किया, जिसे बाद में उत्तर कोरिया से जोड़ा गया, जिसने लगभग एक महीने तक कुछ कंपनी सिस्टमों तक पहुंच प्राप्त की। कंपनी ने कहा कि उसने जल्दी से पहुंच समाप्त कर दी, जांच के दौरान उत्पाद रिलीज़ को रोक दिया, और कोई संपत्ति या डेटा का दुरुपयोग नहीं पाया और न ही कोई दुर्भावनापूर्ण कोड तैनात किया।
मुख्य निष्कर्ष
- एक डेवलपर सलाहकार, जिसे “टायलर नप्प” उपनाम से जाना जाता है, जिसे बाद में उत्तर कोरिया से जोड़ा गया, ने लगभग एक महीने तक कुछ कंसेंसिस सिस्टमों तक पहुंच प्राप्त की।
- ठेकेदार एक “प्रतिष्ठित तीसरे पक्ष सेवा प्रदाता” के माध्यम से एक परिचय के जरिए आया और एक कर्मचारी के बजाय एक सलाहकार के रूप में काम किया।
- कंसेंसिस ने पहुंच समाप्त कर दी, अस्थायी रूप से उत्पाद रिलीज़ को निलंबित कर दिया, और कहा कि उसकी जांच में कोई चोरी, कोई दुर्भावनापूर्ण कोड, और उपयोगकर्ता सुरक्षा पर कोई प्रभाव नहीं पाया गया।
- कंपनी योजना बना रही है कि वह इंजीनियरिंग और विकास कार्य को कैसे आउटसोर्स करती है, इसका पुनर्मूल्यांकन करे।
कंसेंसिस का कहना है कि DPRK से जुड़े सलाहकार को सिस्टम तक एक महीने की पहुंच मिली थी।
कंसेंसिस ने कहा कि उसने अनजाने में एक सॉफ़्टवेयर डेवलपर सलाहकार को “टायलर नप्प” उपनाम से लाया, जिसे बाद में लोकतांत्रिक जनतांत्रिक गणराज्य कोरिया (DPRK) से जोड़ा गया, जिसे सामान्यतः उत्तर कोरिया कहा जाता है। सलाहकार को लगभग एक महीने तक कुछ कंसेंसिस सिस्टमों तक पहुंच प्राप्त थी, लेकिन सटीक तिथियाँ निर्दिष्ट नहीं की गईं।
यह खुलासा महत्वपूर्ण है क्योंकि यह घटना को एक पहुंच-नियंत्रण और स्रोत विफलता के रूप में ढालता है न कि एक पुष्टि की गई समझौता के रूप में। यहां तक कि जब कोई चोरी का पता नहीं चलता है, एक महीने की आंतरिक पहुंच एक प्रेरित अभिनेता के लिए सिस्टम को मानचित्रित करने, विशेषाधिकार सीमाओं की पहचान करने और भविष्य के प्रवेश बिंदुओं की जांच करने के लिए पर्याप्त समय है।
ठेकेदार को कैसे स्रोत किया गया और क्यों रिलीज़ को रोका गया
कंसेंसिस के सामान्य सलाहकार मैट कॉर्वा ने इस संलग्नता को सीधे नियुक्ति के बजाय आउटसोर्स विकास कार्य के रूप में वर्णित किया। “'क्नैप' को हमें एक प्रतिष्ठित तीसरे पक्ष की सेवा प्रदाता के साथ मौजूदा संबंध के माध्यम से पेश किया गया और उन्होंने कंसेंसिस के साथ एक सलाहकार के रूप में सहयोग किया,” कॉर्वा ने कहा। “उन्हें कभी भी कंसेंसिस के कर्मचारी के रूप में नियुक्त नहीं किया गया।”
वह स्रोतिंग पथ मुख्य आपूर्ति श्रृंखला जोखिम है। एक तृतीय-पक्ष परिचय सावधानीपूर्वक समयसीमाओं को संकुचित कर सकता है और ऐसे पहुंच अनुदान को सामान्य कर सकता है जो सीधे भर्ती प्रक्रिया में अधिक जांच का सामना करेंगे। व्यापारियों के लिए, मुख्य संकेत यह नहीं है कि अभिनेता कौन था, बल्कि यह है कि पहुंच कैसे प्राप्त की गई।
कंसेंसिस ने यह भी कहा कि उसने जांच के दौरान उत्पाद रिलीज़ को अस्थायी रूप से निलंबित कर दिया। यह ठहराव एक ठोस परिचालन-जोखिम डेटा बिंदु है। यहां तक कि जब एक घटना "कोई प्रभाव" के साथ समाप्त होती है, तो रिलीज़ फ्रीज़ पैच, रोडमैप आइटम और एकीकरणों में देरी कर सकते हैं जिन्हें डाउनस्ट्रीम टीमें और प्रतिकृतियां निहित रूप से मूल्य में शामिल करती हैं।
कंसेंसिस का कहना है कि जांच में क्या पाया गया - और क्या विवरण नहीं दिया गया
कोर्वा ने कहा कि कंसेंसिस ने खतरे का पता “बहुत जल्दी” लगाया, पहुंच समाप्त की, और एक “व्यापक जांच” शुरू की। उन्होंने कहा कि जांच ने “यह पुष्टि की कि कोई गलत तरीके से उपयोग नहीं हुआ था।”संपत्तियाँया डेटा, कोई दुर्भावनापूर्ण कोड तैनात नहीं किया गया, और उपयोगकर्ता की सुरक्षा और सुरक्षा पर कोई प्रभाव नहीं पड़ा।
वे निष्कर्ष तत्काल पूंछ जोखिम को कम करते हैं, लेकिन यह बयान महत्वपूर्ण विवरणों को खुला छोड़ता है। Consensys ने यह निर्दिष्ट नहीं किया कि कौन से आंतरिक सिस्टमों तक पहुंच प्राप्त की गई, कौन सी अनुमतियाँ दी गईं, और उत्तर कोरिया ने कैसे...लिंकस्थापित किया गया था, क्या बाहरी फोरेंसिक्स का उपयोग किया गया था, या क्या कानून प्रवर्तन शामिल था।
एथेरियम टूलिंग और सप्लाई-चेन सुरक्षा के लिए परिचालन-जोखिम संकेत
कंसेंसिस एथेरियम टूलिंग स्टैक में है, इसलिए परिचालन व्यवधान और सप्लाई-चेन घटनाएँ एकल कंपनी से परे फैल सकती हैं। फर्म ने इस घटना को एक व्यापक पैटर्न के हिस्से के रूप में फ्रेम किया जिसमें उत्तर कोरियाई हैकिंग समूह डिजिटल एसेट कंपनियों को लक्षित करते हैं, डेवलपर्स को नकली रोजगार प्रस्ताव भेजकर और कोडबेस और आंतरिक प्रणालियों तक पहुँच प्राप्त करने के लिए नौकरियों के लिए आवेदन करके।
कोर्वा ने कहा कि कंसेंसिस अपने इंजीनियरिंग और विकास कार्य को आउटसोर्स करने के लिए अपनी प्रथाओं का पुनर्मूल्यांकन करेगा। व्यापारियों को किसी भी फॉलो-ऑन नीति परिवर्तनों को एक स्थिति परिवर्तन संकेत के रूप में मानना चाहिए, विशेष रूप से यदि वे कड़े ठेकेदार जांच, संकीर्ण अनुमतियों, या अधिक आक्रामक रिलीज गेटिंग को शामिल करते हैं।
अगले मोड़ के बिंदु यह हैं कि क्या कंसेंसिस पहुँच और अनुमतियों के दायरे का खुलासा करता है, क्या यह रिलीज निलंबन से प्रभावित उत्पादों और अवधि का विवरण देता है, और क्या यह स्पष्ट करता है कि DPRK लिंक कैसे निर्धारित किया गया था और क्या अन्य विक्रेता उसी तीसरे पक्ष के चैनल के माध्यम से उजागर हुए थे।
'कोई प्रभाव' व्यापारियों के जोखिम मॉडल के लिए क्यों महत्वपूर्ण है
मैं 'कोई प्रभाव' को एक मुफ्त पास के रूप में नहीं मानता। जो सीमा महत्वपूर्ण है वह यह है कि क्या कंपनी उस महीने की पहुँच के दौरान जो कुछ भी पहुँच योग्य था उसे विश्वसनीय रूप से सीमित कर सकती है, क्योंकि सप्लाई-चेन घटनाएँ मार्गों के बारे में होती हैं, न कि सुर्खियों के।
यदि पहुंच का दायरा संकीर्ण रहता है और रिलीज़ का ठहराव संक्षिप्त साबित होता है, तो यह एक मौलिक बदलाव की तुलना में एक भावना उत्प्रेरक की तरह अधिक दिखता है। यदि Consensys ठोस आउटसोर्सिंग और पहुंच-नियंत्रण परिवर्तनों के साथ आगे बढ़ता है, तो सेटअप संरचनात्मक दिखने लगता है बजाय कि कथा-प्रेरित, क्योंकि यह बदलता है कि समान जोखिम कितनी तेजी से Ethereum के उपकरण परत के माध्यम से फैल सकते हैं।