Bybit、Ethena Labsとの提携によりUSDeステーブルコインを導入
BybitはEthena Labsと戦略的提携を結び、EthenaのUSDe安定コインをBybitプラットフォームに導入した。分散型通貨ソリューションであるUSDeは、従来の銀行システムとは独立して動作します。USDeは、包括的な担保の裏付けのために、デルタヘッジステークされたイーサ(ETH)を活用しています。
Joyログイン/ 登録
Coinbase、GitHubによるサイバー攻撃の初期攻撃を阻止、攻撃者はより広範な標的に焦点を移す
従う
CoinbaseがGitHubアクション・サプライチェーン攻撃の主要ターゲットに
サイバーセキュリティの専門家は次のように指摘する。コインベース GitHubアクションのサプライチェーン攻撃の主な標的として。
最初の報告によると、攻撃者はまずCoinbaseのオープンソースプロジェクトであるAgentKitの侵害を試みた。
失敗した後、彼らは範囲を広げ、GitHub Actionsを悪用して複数のリポジトリに侵入した。
アナリストによると、攻撃者は暗号資産を盗むためにCoinbaseのエコシステムに侵入することを狙ったが、取引所の迅速な検出と対応によって阻止されたという。
サイバーセキュリティ企業Wizによると この攻撃にリンクされたGitHubのIDを分析したところ、犯人は暗号コミュニティの活動的なメンバーで、ヨーロッパかアフリカで活動している可能性が高い。
Coinbaseはこの件について公式には言及していないが、専門家によれば、同取引所は侵害が緩和されたことを確認したという。
さらに調査を進めると、悪意のある行為者が「tj-actions/changed-files」ワークフローにコードを注入していることが判明した、 影響を受けたリポジトリから機密データを抽出しようとしている。
コインベースはどのようにして攻撃者を撃退したか
米国最大の暗号取引所であるコインベースは、オープンソースのインフラを狙ったサプライチェーン攻撃の阻止に成功した。
サイバーセキュリティ企業のUnit 42によると、攻撃者はCoinbaseが管理するブロックチェーンベースのオープンソースツールキットであるAgentKitを標的にしていた。AIエージェント。
GitHub上のAgentKitとOnchainKitのリポジトリをフォークすることで、攻撃者は継続的インテグレーションパイプラインを悪用するように設計された悪意のあるコードを注入しました。
侵入の試みは2025年3月14日に初めて検知された。
攻撃者はGitHubの "write-all "パーミッションを活用し、プロジェクトの自動ワークフローに有害なコードを挿入した。
Unit42は、ペイロードが機密情報を収集することを確認したが、リモートコード実行やリバースシェル攻撃などの高度なエクスプロイトは含まれていなかった。
コインベースは迅速に対応し、セキュリティの専門家と協力して脅威を隔離し、緩和策を実施した。
この迅速な介入により、より深い侵入を防ぎ、取引所のインフラをさらなるリスクから守ることができた。
悪意ある行為者はより広いターゲットに焦点を移す
Coinbaseが標的型攻撃の阻止に成功した後、脅威者はより広範なサプライチェーンへの攻撃に焦点を移し、今度はGitHub Actionsを標的とした。
Endor Labsは、218のGitHubリポジトリを確認した。 が漏洩し、機密情報が暴露された。
しかし、流出したデータは主にAmazon Web Services、npm、Dockerhub、GitHubのアクセストークンなどのプラットフォームの認証情報で構成されていた。
幸いなことに、公開されたGitHubトークンの多くはワークフローが完了した時点で失効したため、影響は当初懸念されたほど深刻ではなかった。
Endor Labsの研究者ヘンリック・プレートは言う:
"何万ものリポジトリがGitHub Actionに依存していることを考えると、サプライチェーン攻撃の最初の規模は恐ろしく聞こえる。"
セキュリティ専門家は現在、攻撃の動機を調査している。
暗号資産を盗み出すことが主な目的だったのではという見方もあるがコインベース 事件の迅速な解決によって、攻撃者はピボットを余儀なくされたようだ。
Coinbaseへの集中的な攻撃を続けるのではなく、彼らはこの大規模なサプライチェーン攻撃を通じて、幅広いプロジェクトを危険にさらすために努力を拡大した。
暗号プロジェクトを狙うセキュリティの脅威が続く
Coinbaseへの攻撃の失敗は、暗号プロジェクトを標的とした持続的な脅威を強調している。
SlowMistの創設者であるYu Jian氏は、コインベースが2025年2月に15億ドルのハッキングを受けたことを引き合いに出し、もしコインベースがハッキングに成功していれば、次の大きなセキュリティ・インシデントになっていた可能性があると指摘した。
ジアンはまた、tj-actionsやreviewdogのようなツールを使っている企業には、秘密の安全性を確保するために徹底的な監査を行うようアドバイスした。
今回のようなサプライチェーン攻撃は、過去に大きな損失をもたらした。
2024年、Lottie Player npmパッケージのアップデートを狙ったエクスプロイトにより、ユーザーは10BTC(725,000ドル相当)を失った。
同様に、Web3の分野でもセキュリティの脆弱性に悩まされ続けている。悪質業者 管理者権限を獲得し、ロジック契約を変更した。
このことは、暗号エコシステムにおける継続的なリスクを浮き彫りにしている。
1
有益なレポートを通じて仮想通貨業界の幅広い理解を得て、志を同じくする他の著者や読者との詳細な議論に参加してください。拡大している Coinlive コミュニティにぜひご参加ください。https://t.me/CoinliveSG
コメントを追加する
ログインあなたの素晴らしいコメントを残すために…
0 コメント
最も早い
コメントをさらに読み込む
ライブアップデート
話題のニュース
- Joy
JTOポンプを見逃した?他にも見逃せないSOLANAエアドロップが4つある
ソラーナの価格が70ドルを超えて高騰している今、目の肥えたエアドロップ・ハンターには多くのチャンスが存在し続けている。
AlexPudgy Penguins、"Pudgy World "でオンラインゲームに進出
アルファ版は2024年4月までに発売される予定で、NFT保有者や玩具所有者を含むプレイヤーに、物語主導型とオープンエンド型の両方のゲームプレイオプションを提供する。
AlexIRS、暗号による脱税事件の急増を報告
以前は、主にマネーロンダリングに焦点を当てた捜査が行われていた。
Alexデジタル元アドベンチャー:中国とシンガポールのコラボレーションが観光客の消費体験を解き放つ
中国とシンガポールが画期的な提携を結び、国境を越えた観光にデジタル人民元を試験的に導入。
Hui XinM&Gインベストメンツ、暗号デリバティブ・プラットフォームGFO-Xの3000万ドルの資金調達ラウンドを主導
主にM&Gインベストメンツから提供されるこの多額の資金は、GFO-Xの今後の立ち上げをサポートし、規制されたデジタル資産分野における将来のイノベーションを促進することが期待される。
Alexイーロン・マスクが進化する暗号市場の力学に与える影響
最近のラウンドテーブル・ディスカッションでは、キャスターのロブ・ネルソンとTheStreetCryptoのピーター・チャワガが、目先の暗号通貨の値動きを左右する極めて重要なトレンドについて掘り下げた。その中には、ビットコイン上場投資信託(ETF)、イーロン・マスクの影響力、デジタル通貨の国家的採用、AIとブロックチェーン技術の急成長などが含まれている。
Joyケーキ・グループはどうなった?DeFiの巨人を清算する
12月7日付の『ストレーツ・タイムズ』紙に掲載されたこの申請書の公開は、Cakeグループ内の緊張が高まっていることを示している。
Brianカルダノ、新たな節目を迎える:開発、DApps、トークンの成長
カルダノの最新レポートでは、7,970万トランザクション、1,307プロジェクトの開発、910万ネイティブトークンの流通という力強い成長が明らかにされており、ブロックチェーンエコシステムにおける影響力の拡大を強調している。
YouQuanテザー社、制裁対象者に関連する41のウォレットを凍結
以前、同社はウクライナやイスラエルでのテロや戦争に関連する財布を凍結していた。
Alex