Certora высказалась о том, как Coinbase могла бы избежать майской утечки данных
Ведущая компания по безопасности блокчейна предлагает перейти на архитектуру нулевого доверия
- Опубликовано: Aug 22, 2025 at 16:55
- Отредактировано: Aug 22, 2025 at 17:39
Утечка данных Coinbase’в мае 2025 года стала ярким напоминанием о том, что самые страшные эксплойты криптовалют не всегда происходят в коде непонятного приложения DeFi.
В отличие от холодных расчетливых взломов логики программирования, социальная инженерия использует наши человеческие уязвимости.
В отличие от холодных, расчетливых взломов логики программирования, социальная инженерия эксплуатирует наши самые человеческие уязвимые места, а злоумышленники играют на нашем страхе и растерянности, чтобы украсть миллионы долларов.
Certora, ведущая компания по безопасности блокчейна, утверждает, что централизованные биржи должны делать больше для защиты своих пользователей. В последующем отчете Certora рассказывает о важности безопасных практик OpSec и предлагает, как Coinbase могла бы&rsquo ; предотвратить майскую утечку данных.
Майская утечка данных Coinbase поставила под угрозу 69 тысяч пользователей
.В мае 2025 года преступники подкупили группу оффшорных подрядчиков Coinbase’и получили очень чувствительные данные клиентов, такие как паспорта, банковские идентификаторы и замаскированные номера социального страхования.
В мае 2025 года преступники подкупили группу оффшорных подрядчиков Coinbase’и получили очень чувствительные данные клиентов.
Первоначально компания Coinbase сообщила, что утечка затронула менее 1% ее пользователей, совершающих ежемесячные транзакции. По данным Генеральной прокуратуры штата Мэн, нормативные отчетные документы подтверждают, что в результате инцидента 69 641 человек подверглись риску атак с использованием социальной инженерии.
Примечательно, что, согласно отчетам, утечка конфиденциальных данных произошла еще в декабре 2024 года. Невозможно определить масштабы ущерба, который мог быть нанесен до того, как 11 мая 2025 года было обнаружено нарушение. С тех пор Coinbase возместила ущерб пострадавшим клиентам, которые стали жертвами преступников и потеряли средства.
Даже если вы считаете себя криптоветераном, вы все равно не застрахованы от ущерба, который может нанести утечка данных. Соучредитель Solana Labs Радж Гокал, вероятно, не был обманут мошенничеством с помощью социальной инженерии, но ему определенно не понравилось, что его личная информация попала в Интернет.
Что Coinbase должна была сделать
.Certora, ведущая компания по безопасности блокчейна, считает, что социальная инженерия - один из самых простых векторов атаки, доступных злоумышленникам. Неискушенные в криптовалютах люди - это "лакомый кусочек" для опытных мошенников. Зачем пытаться найти бреши в закаленных в боях, проверенных протоколах, если можно убедить человека, что вы ’сотрудник Coinbase” и “помочь” ему защитить свой счет?
.Хотя инвесторы несут ответственность за самообразование до определенного уровня, Certora утверждает, что биржам необходимо повысить уровень своей игры и “учитывать тот факт, что уязвимые инсайдеры, будь то злонамеренные или нет, подвержены компрометации”
.Кертора поддерживает набирающее силу движение OpSec под названием Zero Trust Architecture, или ZTA. Проще говоря, ZTA требует, чтобы команды перестали доверять “сети компании” как безопасному пузырю. Удаленная работа, облачные приложения и мошеннический фишинг делают этот периметр безопасности пористым и небезопасным.
Биржи должны осознать, что их сотрудники уязвимы к ошибкам OpSec, и заблокировать каждый конфиденциальный ресурс с помощью собственных правил доступа и проверок. Каждый запрос проверяется и получает лишь абсолютный минимум необходимых данных. Таким образом, одна скомпрометированная учетная запись не сможет ’разгуляться&rsquo ; и нанести более значительный ущерб.
Возвращаясь к примеру с Coinbase, Certora высказывает обоснованное мнение о полномочиях доступа и видимости конфиденциальных данных, предоставляемых зарубежным подрядчикам. Нет причин, по которым агент службы поддержки должен иметь доступ к паспорту пользователя, не говоря уже о его замаскированных номерах социального страхования и полной истории счета.
Как защититься от атак социальной инженерии
.Хотя в данном случае Coinbase, очевидно, допустила оплошность, людям все же рекомендуется ознакомиться с правилами безопасности. Даже если инвесторов пугает перспектива самостоятельного хранения, тем, кто хранит активы на централизованных биржах, все равно полезно знать несколько золотых, нерушимых правил:
.
-
Не доверяйте входящим контактам - Ни одна биржа никогда не свяжется с вами и не попросит ваш пароль, коды 2FA или начальную фразу. Предположите, что любой, кто запрашивает эту информацию, имеет злые намерения.
-
Используйте выделенные криптоаккаунты - Используйте уникальную электронную почту и контактный номер для всей криптоактивности. Это уменьшает площадь поверхности для векторов атак, и хакеры не смогут&rsquo ; легко собрать воедино достаточно данных для spear-phish или выдачи себя за вас.
-
Установите лимиты на снятие средств - если ваш счет будет взломан, это поможет предотвратить кражу хакерами ваших средств одним махом. Даже несколько часов могут стать разницей между потерей всего и своевременной блокировкой счета.
Большой рост криптовалют и их внедрение в 2025 году приносят огромную пользу отрасли. К сожалению, приток миллионов новых пользователей и инвесторов является заманчивой перспективой для злоумышленников. Биржам необходимо повысить свой уровень защиты пользователей, иначе индустрия никогда не сможет преодолеть репутационный ущерб, нанесенный утечками информации, подобными недавней ошибке Coinbase’.
Читать подробнее о SolanaFloor
Проп AMM доминируют в Solana DeFi
HumidiFi стал крупнейшим DEX по объему торгов
HumidiFi стал крупнейшим DEX по объему торгов в Solana&rsquo ;.
Основные принципы криптобезопасности
