Uma nova campanha de malware está a visar programadores de cripto ainda antes da fase de implementação, extraindo tokens do GitHub, chaves SSH, credenciais cloud, wallets e variáveis de ambiente, de modo a que os atacantes possam comprometer um protocolo antes de o respetivo código chegar a produção. A campanha, reportada por Gino Matos, reformula o perfil típico de um hack em DeFi: em vez de explorar um contrato já em produção, o atacante assume o controlo do programador, do repositório e de toda a pipeline de build.
Por que razão importa
A maior parte do orçamento de segurança em DeFi vai para auditorias, programas de bug bounty e monitorização on-chain, tudo pressupondo que o bytecode implementado é a fronteira de confiança. Um ataque à cadeia de abastecimento derruba esse pressuposto. Se o portátil de um programador for comprometido, um atacante pode enviar um único commit malicioso, substituir um script de deploy ou assinar uma transação com uma chave roubada, e o relatório de auditoria deixa de descrever o código que efetivamente corre em produção.
A consequência económica é idêntica à de um exploit clássico: pools esvaziados, governação congelada e um imposto de liquidez sobre cada utilizador que confiou no protocolo. A diferença é que nenhuma ferramenta de monitorização on-chain o teria detetado, e a auditoria foi feita sobre código que nunca foi o código que correu.
Impacto no mercado
A campanha transforma um número de yield num custo oculto. Cada ponto base de APY que um protocolo DeFi publicita está, implicitamente, precificado contra o pressuposto de que o código subjacente é o que foi auditado e o que está em execução. Quando a fronteira de confiança se desloca para o programador, esse pressuposto cai, e o prémio que os investidores exigem para assumir o risco deveria subir, mesmo que nenhum protocolo individual tenha ainda sido esvaziado.
Perguntas frequentes
-
O que é que a campanha de malware roubou, na prática?
Tokens do GitHub, chaves SSH, credenciais cloud, wallets de cripto e variáveis de ambiente de programadores de cripto, dando aos atacantes controlo antes de qualquer código de protocolo ser implementado.
-
Em que é que isto difere de um exploit normal em DeFi?
Um exploit normal visa bytecode implementado, que auditorias e monitores conseguem ver. Esta campanha compromete o programador e a pipeline de build, pelo que o código que corre em produção nunca foi o código que foi auditado.
-
As ferramentas de monitorização on-chain conseguem apanhar um ataque à cadeia de abastecimento?
Não. As ferramentas on-chain veem as transações finais; se um commit malicioso entra via uma conta de programador legítima e por um caminho de assinatura normal, o rasto on-chain parece apenas mais uma ação administrativa.
-
O que é que isto significa para as yields em DeFi?
APYs elevados estão, implicitamente, precificados contra o pressuposto de que o código auditado é o que está em execução. Uma ameaça credível à cadeia de abastecimento faz esse pressuposto cair, e o prémio de risco que utilizadores e LPs devem exigir terá de subir em conformidade.
-
Como é que os utilizadores se podem proteger contra este tipo de ataque?
Privilegiar protocolos com equipas públicas, firmas de auditoria reputadas, implementações verificáveis e código amplamente testado, e tratar yields anormalmente elevados como motivo para examinar a equipa e o processo de deploy, e não apenas os contratos.
CoinDesk
Crypto News
WuBlockchain
TheBlock
CoinTelegraph