ポケモンカードは証券か?
暗号の規制が不透明な中、ポケモンカードのようなコレクターズアイテムが有価証券に分類されたことで、論争が巻き起こっている。議会が暗号関連法案に取り組む中、こんな疑問が浮上した:なぜポケモンカードは証券とみなされないのか?
Joyログイン/ 登録
Coinbase、GitHubによるサイバー攻撃の初期攻撃を阻止、攻撃者はより広範な標的に焦点を移す
従う
CoinbaseがGitHubアクション・サプライチェーン攻撃の主要ターゲットに
サイバーセキュリティの専門家は次のように指摘する。コインベース GitHubアクションのサプライチェーン攻撃の主な標的として。
最初の報告によると、攻撃者はまずCoinbaseのオープンソースプロジェクトであるAgentKitの侵害を試みた。
失敗した後、彼らは範囲を広げ、GitHub Actionsを悪用して複数のリポジトリに侵入した。
アナリストによると、攻撃者は暗号資産を盗むためにCoinbaseのエコシステムに侵入することを狙ったが、取引所の迅速な検出と対応によって阻止されたという。
サイバーセキュリティ企業Wizによると この攻撃にリンクされたGitHubのIDを分析したところ、犯人は暗号コミュニティの活動的なメンバーで、ヨーロッパかアフリカで活動している可能性が高い。
Coinbaseはこの件について公式には言及していないが、専門家によれば、同取引所は侵害が緩和されたことを確認したという。
さらに調査を進めると、悪意のある行為者が「tj-actions/changed-files」ワークフローにコードを注入していることが判明した、 影響を受けたリポジトリから機密データを抽出しようとしている。
コインベースはどのようにして攻撃者を撃退したか
米国最大の暗号取引所であるコインベースは、オープンソースのインフラを狙ったサプライチェーン攻撃の阻止に成功した。
サイバーセキュリティ企業のUnit 42によると、攻撃者はCoinbaseが管理するブロックチェーンベースのオープンソースツールキットであるAgentKitを標的にしていた。AIエージェント。
GitHub上のAgentKitとOnchainKitのリポジトリをフォークすることで、攻撃者は継続的インテグレーションパイプラインを悪用するように設計された悪意のあるコードを注入しました。
侵入の試みは2025年3月14日に初めて検知された。
攻撃者はGitHubの "write-all "パーミッションを活用し、プロジェクトの自動ワークフローに有害なコードを挿入した。
Unit42は、ペイロードが機密情報を収集することを確認したが、リモートコード実行やリバースシェル攻撃などの高度なエクスプロイトは含まれていなかった。
コインベースは迅速に対応し、セキュリティの専門家と協力して脅威を隔離し、緩和策を実施した。
この迅速な介入により、より深い侵入を防ぎ、取引所のインフラをさらなるリスクから守ることができた。
悪意ある行為者はより広いターゲットに焦点を移す
Coinbaseが標的型攻撃の阻止に成功した後、脅威者はより広範なサプライチェーンへの攻撃に焦点を移し、今度はGitHub Actionsを標的とした。
Endor Labsは、218のGitHubリポジトリを確認した。 が漏洩し、機密情報が暴露された。
しかし、流出したデータは主にAmazon Web Services、npm、Dockerhub、GitHubのアクセストークンなどのプラットフォームの認証情報で構成されていた。
幸いなことに、公開されたGitHubトークンの多くはワークフローが完了した時点で失効したため、影響は当初懸念されたほど深刻ではなかった。
Endor Labsの研究者ヘンリック・プレートは言う:
"何万ものリポジトリがGitHub Actionに依存していることを考えると、サプライチェーン攻撃の最初の規模は恐ろしく聞こえる。"
セキュリティ専門家は現在、攻撃の動機を調査している。
暗号資産を盗み出すことが主な目的だったのではという見方もあるがコインベース 事件の迅速な解決によって、攻撃者はピボットを余儀なくされたようだ。
Coinbaseへの集中的な攻撃を続けるのではなく、彼らはこの大規模なサプライチェーン攻撃を通じて、幅広いプロジェクトを危険にさらすために努力を拡大した。
暗号プロジェクトを狙うセキュリティの脅威が続く
Coinbaseへの攻撃の失敗は、暗号プロジェクトを標的とした持続的な脅威を強調している。
SlowMistの創設者であるYu Jian氏は、コインベースが2025年2月に15億ドルのハッキングを受けたことを引き合いに出し、もしコインベースがハッキングに成功していれば、次の大きなセキュリティ・インシデントになっていた可能性があると指摘した。
ジアンはまた、tj-actionsやreviewdogのようなツールを使っている企業には、秘密の安全性を確保するために徹底的な監査を行うようアドバイスした。
今回のようなサプライチェーン攻撃は、過去に大きな損失をもたらした。
2024年、Lottie Player npmパッケージのアップデートを狙ったエクスプロイトにより、ユーザーは10BTC(725,000ドル相当)を失った。
同様に、Web3の分野でもセキュリティの脆弱性に悩まされ続けている。悪質業者 管理者権限を獲得し、ロジック契約を変更した。
このことは、暗号エコシステムにおける継続的なリスクを浮き彫りにしている。
1
有益なレポートを通じて仮想通貨業界の幅広い理解を得て、志を同じくする他の著者や読者との詳細な議論に参加してください。拡大している Coinlive コミュニティにぜひご参加ください。https://t.me/CoinliveSG
コメントを追加する
ログインあなたの素晴らしいコメントを残すために…
0 コメント
最も早い
コメントをさらに読み込む
ライブアップデート
話題のニュース
- Joy
ワールドコイン、ビルダーを支援する新しい "Wave0 "イニシアティブを開始
支払いはWLDトークンで行われる。
AlexBinanceはAEURステーブルコインの高騰の影響を受けたユーザーに補償する予定です。
バイナンスの広報担当者は、AEURには強い需要があり、その結果、そのステーブルコインの性質を知らないユーザーも含めて、AEURを受け入れたため、価格が乖離したと説明した。
BrianCoinliveインタビュー:Dogecoinの新しいレイヤー2、DogeLayer
ほとんどの人がすでに完璧だと思っているものを、どうやって改善するのか?DogeLayerの共同設立者であるWindは、その答えを持っていると言う。
Hui XinBinanceがAEUR価格高騰に対応、影響を受けたユーザーへの補償を発表
暗号通貨取引所バイナンスは、最近のAnchored Coins EUR (AEUR)ステーブルコインの価格高騰によって影響を受けたユーザーを補償する措置を講じた。
Aaron北朝鮮のハッカー、テレグラムの偽プロフィールを使って暗号コミュニティを標的にする
北朝鮮の支援を受けたLazarus Groupは、暗号通貨コミュニティ内でのフィッシング活動を強化している。この変化は主にTelegramのユーザーをターゲットにしており、疑うことを知らない被害者をおびき寄せるために洗練された戦術を採用している。
Joyサードウェブ、Web3の潜在的なセキュリティギャップを特定
11月21日に発見されたこれらの脆弱性は、サードウェブ独自の事前構築済みスマートコントラクトの一部を含む、Web3エコシステムの多数のスマートコントラクトにリスクをもたらす。
BrianブラジルのCVM、言語標準化のため暗号用語集を発表
この用語集はABCriptoが共同で編集・発行したもので、暗号通貨、デジタル資産、トークン化、その他の関連分野に関連する用語を網羅した200以上の項目で構成されている。
Alexエルサルバドル大統領のビットコイン請求、トラッキングエラーで疑問視される
エルサルバドルのナイブ・ブケレ大統領は最近、同国のビットコイン投資は「黒字」であるとXで主張したが、彼が言及した追跡ツールの矛盾が明るみに出たため、精査に直面している。
Aaron米裁判所、CZの有罪答弁を受け入れ、UAEへの渡航を禁じる
CZは、彼の自首が逃亡の危険性がないことの証明になるはずだと主張している。
Alex