Что такое Chain Attack в крипто и как от неё защититься

Атака на цепочку поставок в криптодомене — это кибератака, при которой злоумышленники нацеливаются на сторонние компоненты, сервисы или программное обеспечение, от которых зависит проект, вместо того, чтобы атаковать сам проект. Эти компоненты могут включать в себя библиотеки, интерфейсы прикладных программ (API) или инструменты, используемые в децентрализованных приложениях (DApps), биржах или блокчейн-системах.

Компрометируя эти внешние зависимости, злоумышленники могут внедрить вредоносный код или получить несанкционированный доступ к критически важным системам. Например, они могут изменить широко используемую библиотеку с открытым исходным кодом на платформах DeFi, чтобы украсть закрытые ключи или перенаправить средства после ее внедрения.

Зависимость криптоэкосистемы от программного обеспечения с открытым исходным кодом и сторонних интеграций делает ее весьма уязвимой для таких атак. Эти атаки в крипто используют слабые точки входа, такие как скомпрометированный Node Package Manager (NPM) или зависимости GitHub, где злоумышленники внедряют вредоносный код в широко используемые библиотеки.

Аппаратные кошельки или SDK также могут быть повреждены во время производства или обновления, что подвергает риску закрытые ключи. Кроме того, злоумышленники могут взломать сторонних хранителей или оракулов, манипулируя потоками данных или доступом к кошелькам, чтобы украсть средства или нарушить работу смарт-контрактов на платформах децентрализованных финансов (DeFi).

Знаете ли вы? Некоторые злоумышленники размещают чистый код на GitHub, но публикуют вредоносные версии в PyPI или npm. Разработчики, доверяющие репозиторию GitHub, могут даже не подозревать, что устанавливаемый ими код отличается и представляет опасность.

Как работают атаки на цепочку поставок в крипто

Атаки на цепочку поставок в криптовалюте — это сложные кибератаки, которые используют уязвимости во внешних зависимостях проекта.

Вот как обычно происходят эти атаки:

• Нацеливание на компонент: Злоумышленники выявляют широко используемый сторонний компонент, такой как библиотека с открытым исходным кодом, зависимость смарт-контракта или программное обеспечение кошелька, от которого зависит множество криптопроектов.
• Компрометация компонента: Они повреждают компонент, внедряя вредоносный код или изменяя его функциональность. Это может включать в себя взлом репозитория GitHub, распространение поддельного программного пакета или изменение аппаратного кошелька.
• Непреднамеренное внедрение: Разработчики или платформы крипто интегрируют скомпрометированный компонент в свои системы, не осознавая, что он был изменен. Поскольку многие проекты полагаются на автоматизированные процессы и доверенные источники, атака распространяется незамеченной.
• Эксплуатация в действии: Как только компонент активен в работающем приложении, он может выполнять вредоносные действия, такие как кража закрытых ключей, перенаправление средств или манипулирование данными, когда пользователи взаимодействуют с приложением или протоколом.
• Широкое воздействие: Атака может затронуть множество пользователей и платформ, если скомпрометированный компонент широко используется, усиливая свое воздействие до момента обнаружения.
• Обнаружение и реагирование: Нарушение часто обнаруживается только после значительного ущерба, например, кражи средств. Прямое реагирование на злоумышленников и восстановление украденной крипто становится сложным из-за анонимности и необратимости транзакций в блокчейне.

Знаете ли вы? Многие злоумышленники, проводящие атаки на цепочку поставок, используют Telegram-ботов для получения украденных данных, таких как seed-фразы или API-ключи. Это незаметно, быстро и трудно отследить, поэтому Telegram часто упоминается в отчетах о взломах в крипто.

Злонамеренные атаки на цепочку поставок, нацеленные на криптопроекты

В 2024 году злоумышленники все чаще использовали репозитории программного обеспечения с открытым исходным кодом (OSS) для запуска атак на цепочку поставок, направленных на криптоданные и активы. Их целью было обмануть разработчиков, заставив их загрузить вредоносные пакеты.

Согласно отчету Reversing Labs “Software Supply Chain Security Report за 2025 год”, платформы OSS, используемые для атак, включали npm и PyPI. Вот соответствующие детали:

• Целевые репозитории: Злоумышленники загрузили вредоносный код на две широко используемые платформы OSS: npm и Python Package Index (PyPI).
• Количество кампаний: ReversingLabs (RL) сообщила об общем количестве 23 кампаний, связанных с крипто.
• Фокус на npm: Из запущенных кампаний 14 были проведены на npm, что сделало его наиболее целевым.
• Случаи в PyPI: Оставшиеся девять кампаний были проведены на PyPI.

Уровень изощренности атак может быть разным. Кампании могут варьироваться от базовых, хорошо известных методов до более продвинутых, скрытных подходов. Типосквоттинг — распространенная техника, используемая в атаках на цепочку поставок, когда вредоносные пакеты тесно имитируют законные.

Примеры атак на цепочку поставок в крипто

В этом разделе рассматриваются четыре реальных примера атак на цепочку поставок в крипто, раскрывающих методы злоумышленников и важные уроки для повышения безопасности:

Атака Bitcoinlib

В апреле 2025 года хакеры атаковали Python-библиотеку Bitcoinlib, загрузив вредоносные пакеты “bitcoinlibdbfix” и “bitcoinlib-dev” в PyPI, выдавая их за законные обновления. Эти пакеты содержали вредоносное ПО, которое заменяло командную утилиту “clw” версией, крадущей закрытые ключи и адреса кошельков.

После установки вредоносное ПО отправляло конфиденциальные данные злоумышленникам, позволяя им опустошать кошельки жертв. Исследователи безопасности обнаружили угрозу с помощью машинного обучения, предотвратив дальнейший ущерб.

Атака на Codecov

В 2021 году компания Codecov, поставщик услуг покрытия кода, подверглась взлому, который позволил злоумышленникам получить доступ к секретам, хранящимся в CI/CD-системах клиентов.

Атака на SolarWinds

В 2020 году компания SolarWinds, поставщик программного обеспечения для управления ИТ, подверглась масштабной атаке на цепочку поставок, которая затронула тысячи организаций.

Атака на Node.js

В 2021 году злоумышленники атаковали популярный пакет Node.js, внедряя вредоносный код в установочный файл.

![Average vulnerabilities detected in high-traffic npm and PyPi

packages](https://s3.cointelegraph.com/storage/uploads/view/4469eb2a7dc80cf0cad23b52c12f7e82.jpg)

Как предотвратить атаки на цепочку поставок в крипто

Атаки на цепочку поставок в криптовалюте часто нацелены на доверенные компоненты, такие как библиотеки, API и инструменты инфраструктуры, тонкими способами. Из-за их косвенного характера предотвращение этих атак требует проактивных мер на протяжении всего процесса разработки и эксплуатации проекта.

Ниже приведены основные методы защиты от таких рисков:

• Управление кодом и зависимостями: Разработчики крипто должны использовать зависимости только из доверенных, проверенных источников. Блокировка версий пакетов и проверка целостности файлов с помощью контрольных сумм могут предотвратить несанкционированные изменения. Регулярный пересмотр зависимостей, особенно тех, которые получают доступ к конфиденциальным функциям, имеет важное значение. Удаление неиспользуемых или устаревших пакетов значительно снижает риски.
• Безопасность инфраструктуры: Обеспечьте безопасность конвейеров CI/CD со строгим контролем доступа и многофакторной аутентификацией. CI/CD означает непрерывную интеграцию и непрерывную доставку (или непрерывную поставку). Это набор практик разработки программного обеспечения, которые помогают командам чаще и надежнее поставлять изменения кода. Используйте подпись кода, чтобы подтвердить подлинность сборки программного обеспечения. Отслеживайте настройки DNS, учетные записи регистраторов и хостинговые сервисы, чтобы своевременно обнаружить вмешательство. Используйте изолированные среды сборки, чтобы отделить внешний код от критически важных систем.
• Управление рисками, связанными с поставщиками и третьими сторонами: Оцените практику безопасности всех внешних партнеров, таких как хранители, оракулы и поставщики услуг. Сотрудничайте только с поставщиками, которые обеспечивают прозрачность, раскрывают уязвимости и имеют сертификаты безопасности. Будьте готовы к запасным планам в случае компрометации поставщика.
• Бдительность сообщества и управления: Создайте сообщество разработчиков, заботящихся о безопасности, поощряя рецензирование коллегами и программы вознаграждений за обнаружение уязвимостей. Продвигайте вклад в проекты с открытым исходным кодом, но поддерживайте прозрачное управление. Обучите всех заинтересованных сторон новым методам атак и процедурам реагирования.