Що робити після першої кібератаки – щоб не сталося другої

Phemex ділиться уроками, отриманими внаслідок своєї безпрецедентної атаки.

Навіть лідери думок піддаються ризикам ведення бізнесу в Інтернеті. Phemex, гібридна біржа, яка поєднує найкращі процеси як централізованих, так і децентралізованих платформ, зазнала атаки з боку серйозного загрозного актора наприкінці січня.

Замість того, щоб уникати цього небажаного інциденту, команда Phemex вирішила бути відкритою та прозорою щодо нього – і, можливо, це найважливіший урок, який вони можуть з цього винести.

«Ми хочемо використати цей матеріал, щоб розглянути інцидент, розповісти про те, як ми його вирішили, та пояснити, що ми зробили для запобігання подібним випадкам у майбутньому», — говорить генеральний директор Phemex Федеріко Варіола.

Він наголосив, що, хоча атака була здійснена високопрофесійним загрозливим актором, велика більшість коштів користувачів ніколи не була під загрозою, а біржа відшкодувала всі втрати користувачів.

«Ми також якнайшвидше відновили основні операції та негайно оновили інфраструктуру безпеки гарячого гаманця, щоб значно мінімізувати ці ризики безпеки у майбутньому», — продовжив він.

Атака та оборона

Атакувальник має історію криптоатак і вважається надзвичайно досвідченим, тому характер кібератаки був складним і важко запобігаємим. Ці зловмисники офіційно не ідентифіковані правоохоронними органами, але, ймовірно, проживають у державі, яка підтримує такого роду дії, та, ймовірно, захищені від будь-якого переслідування або інших юридичних заходів.

Нещодавня атака на Bybit схоже, що пов’язане з тією ж групою, за даними Variola, але інциденти різняться.

«У нашому випадку було атаковано гарячий гаманець», — сказав він. «У випадку Bybit це був їхній головний холодний гаманець ETH.»

Phemex використовує окремі системи гарячих і холодних гаманців для мінімізації ризику втрат у «крайніх випадках» – термін у кібербезпеці, що означає проблему або ситуацію, яка виникає на межі норми чи очікуваного.

«Було вкрадено лише кошти з нашого гарячого гаманця, і саме для мінімізації таких втрат ми й маємо окремі гарячі та холодні гаманці», — заявив Варіола. «Те, що сталося, безумовно, є негативною подією, але це в межах прийнятного для нашої біржі рівня.»

Атака була здійснена шляхом соціальної інженерії, спрямована на співробітників Phemex через Telegram. A повний звіт про інцидент з'являється на Medium.

Оцінки ставлять загальна вартість з викрадених коштів на суму 85 мільйонів доларів, тому прозорість і надійність для користувачів були серед найвищих пріоритетів Phemex під час атаки.

«Ми одразу повідомили користувачів», — продовжує Варіола, — «і змогли запевнити їх у безпеці їхніх коштів, заохочуючи перевірити це самостійно за допомогою нашого самостверджуваного »Інструмент Доказів Резервів на Основі Дерева Меркла.”

Після того, як Phemex локалізував і оцінив збитки, наступним кроком було мінімізація шкоди. Деякі кошти вже було відновлено. Вкрадені кошти, які з’являлися на інших біржах, були негайно заморожені.

«Відновлення коштів наразі все ще триває, і ми сподіваємося відновити значну частину викрадених активів», — зазначає Вариола. Водночас «ми все ще маємо ресурси для роботи на повну потужність.»

Тим часом Phemex співпрацює з правоохоронними органами, компаніями з кібербезпеки та іншими криптовалютними платформами у процесі відновлення. Біржа змогла відновити основний функціонал для користувачів протягом 24 годин – можливо, це одне з найшвидших відновлень після злому серед усіх усталених криптовалютних бірж. Після цього Phemex впровадив суворий ручний перегляд транзакцій депозитів та виведень для посилення безпеки та забезпечення відсутності зловмисних транзакцій у безпосередньому післяінцидентному періоді.

Вивчені уроки, вжиті заходи

Негайно після порушення команда технічних фахівців Phemex розробила та впровадила нову, більш надійну інфраструктуру безпеки гарячого гаманця.

«Одним із головних уроків, який ми засвоїли та проаналізували, є те, що Phemex дуже швидко зростала під час останнього бичачого ринку, і деякі наші операційні процедури відставали від нашого зростання», — зазначає Варіола. «Ця кібератака показала, що ті заходи безпеки, які могли бути прийнятними для нашого попереднього масштабу, тепер уже не є достатніми для нашого нинішнього рівня.»

Нова структура Phemex розроблена з урахуванням архітектури "нульової довіри" та використовує передові технології Enclave. Це включає AWS Nitro для забезпечення надійного, на рівні чіпа, захисту гарячих гаманців.

Хоча це і вирішує нагальну проблему, це не дасть Phemex випередити хакерів. Тому команда вжила заходів для захисту всіх гаманців, які можуть належати будь-якому з її користувачів.

“Ми плануємо використовувати багаторівневу систему гаманців із холодними гаманцями,” — каже Варіола. “Це також стосуватиметься гарячих гаманців, які надалі триматимуть значно меншу частину наших коштів.”

Рівнева система також застосовується до гарячі гаманці, які поєднують інтернет-з’єднання, швидкість та ефективність гарячих гаманців із підвищеною безпекою та ручним контролем холодних гаманців.

Phemex також збільшує кількість працівників, які займаються безпекою інфраструктури, причому різні команди контролюють окремі елементи, а доступ до всієї системи мають менше осіб. Від початку до кінця, як обіцяє Variola, кожне завдання буде перевірено провідними у галузі сторонніми організаціями.

Це може уповільнити темпи надання послуг Phemex на крок, але команда Variola переконана, що це необхідно зробити.

«Операції нашої біржі будуть більш складними з використанням нової системи, але цього не уникнути, оскільки безпека має найвищий пріоритет», — говорить Варіола. «Ми надзвичайно впевнені у новій системі і подаємо заявку на отримання сертифікацій від сторонніх органів щодо цих стандартів безпеки.»