Криптофирмы никогда не должны беззаботно доверять своим инженерам загружать код без предварительной внешней проверки, говорит Дж. П. Ричардсон, генеральный директор самоконтролируемой криптоплатформы Exodus.
Он утверждает, что это необходимо для того, чтобы помешать злоумышленникам, которые становятся все более изощренными в обмане криптофирм, получать работу, чтобы загружать вредоносный код в программное обеспечение фирмы.
На Token2049 в Сингапуре Ричардсон подчеркнул важность наличия команды второго уровня для проверки кода всех инженеров перед внесением любых обновлений или улучшений в программное обеспечение криптофирмы. Это делается для того, чтобы предотвратить загрузку вредоносного кода злоумышленниками.
Ричардсон подчеркивает, что данные клиентов должны быть приоритетом
«Я думаю, что все сводится к построению системы, чтобы, если это произойдет, ваши клиенты все еще были в безопасности», — сказал генеральный директор Exodus.
«Для этого требуется операционная устойчивость в бизнесе, поэтому, опять же, клиенты не подвергаются риску», — добавил он.
Он объяснил, что Exodus проверяет код всех, включая свой внутренний персонал.
«Наша команда безопасности проверяет весь код, чтобы убедиться, что он все еще безопасен, а не «о, мы просто верим, что этот инженер действительно хороший инженер. Нам не нужно проверять этот код», — сказал Ричардсон.
Комментарии Ричардсона прозвучали после того, как он подчеркнул рост числа северокорейских хакеров, обманным путем получающих работу в криптофирмах, подделывая свои личности.
«Они либо обращаются в компании, либо пытаются заставить инженеров криптофирм загружать поддельные резюме, поддельные вредоносные программы для проникновения в эти системы», — сказал Ричардсон.
Ричардсон говорит, что весь код должен быть проверен перед финализацией
16 августа блокчейн-следователь ZachXBT заявил, что он обнаружил доказательства сложной сети северокорейских разработчиков, которые зарабатывают до 500 000 долларов в месяц, работая на «устоявшихся» криптопроектах.
«Недавно ко мне обратилась команда за помощью. Из их казны было украдено 1,3 млн долларов после того, как был запущен вредоносный код», — сказал ZachXBT.
Он объяснил, что «без ведома» фирмы они наняли нескольких ИТ-специалистов из КНДР в качестве разработчиков, которые использовали поддельные удостоверения личности».
Между тем, 3 сентября сообщалось, что ФБР заявило, что северокорейские злоумышленники-киберпреступники ориентируются на сотрудников приложений децентрализованных финансов и криптофирм, чтобы украсть средства с помощью «сложных и тщательно продуманных» кампаний социальной инженерии.
В частности, федеральное агентство предупредило, что мошенники исследовали фирмы, связанные с биржевыми фондами, привязанными к криптовалюте, или ETF.