Coinbase, sàn giao dịch tiền mã hóa lớn nhất tại Mỹ, đã thành công trong việc tránh một cuộc tấn công chuỗi cung ứng có thể đã làm tổn hại đến hạ tầng mã nguồn mở của mình.
Vào ngày 23/03, Yu Jian, người sáng lập công ty bảo mật blockchain SlowMist, đã cảnh báo về sự cố này trong một bài đăng trên X, tham chiếu đến một báo cáo từ Unit 42, bộ phận tình báo mối đe dọa của Palo Alto Networks.
SponsoredCách Coinbase ngăn chặn một cuộc tấn công mạng lớn
Theo Unit 42, kẻ tấn công đã nhắm vào ‘agentkit’, một bộ công cụ mã nguồn mở do Coinbase quản lý, hỗ trợ các tác nhân AI dựa trên blockchain.
Kẻ tấn công đã sao chép các kho lưu trữ agentkit và onchainkit trên GitHub, chèn mã độc nhằm khai thác quy trình tích hợp liên tục. Hoạt động đáng ngờ này được phát hiện lần đầu vào ngày 14/03/2025.
“Payload tập trung vào việc khai thác luồng CI/CD công khai của một trong những dự án mã nguồn mở của họ – agentkit, có lẽ nhằm mục đích sử dụng nó cho các cuộc tấn công tiếp theo,” Unit 42 báo cáo.
Kẻ tấn công đã khai thác quyền “write-all” của GitHub, cho phép chèn mã độc vào quy trình tự động của dự án. Phương pháp này có thể đã cho phép truy cập vào dữ liệu nhạy cảm và tạo ra con đường cho các cuộc tấn công rộng hơn.
Tuy nhiên, Unit 42 báo cáo rằng payload đã thu thập thông tin nhạy cảm. Nó không chứa các công cụ độc hại tiên tiến như thực thi mã từ xa hay khai thác shell ngược.
Trong khi đó, Coinbase đã phản ứng nhanh chóng, hợp tác với các chuyên gia bảo mật để cô lập mối đe dọa và áp dụng các biện pháp giảm thiểu cần thiết. Hành động nhanh chóng này đã giúp công ty tránh được sự xâm nhập sâu hơn và ngăn chặn thiệt hại tiềm tàng cho hạ tầng của mình.
Rủi ro rất lớn khi xem xét vị thế của Coinbase là sàn giao dịch tiền mã hóa lớn nhất tại Mỹ và là người giám sát chính cho các ETF Bitcoin giao ngay.
SponsoredMột vi phạm như vậy có thể gây ra sự gián đoạn lớn trong ngành công nghiệp tiền mã hóa, đặc biệt sau sự cố bảo mật 1.4 tỷ USD gần đây của Bybit.
Mặc dù nỗ lực thất bại, kẻ tấn công đã chuyển hướng sang một chiến dịch lớn hơn hiện đang thu hút sự chú ý toàn cầu.
Trước tình hình này, người sáng lập SlowMist khuyên các nhà phát triển sử dụng GitHub Actions—đặc biệt là những người làm việc với tj-actions hoặc reviewdog—nên kiểm tra hệ thống của họ và xác nhận rằng không có bí mật nào bị lộ.
“Nếu công ty của bạn sử dụng reviewdog hoặc tj-actions, hãy tự kiểm tra kỹ lưỡng,” Yu Jian phát biểu trên X.
Sự cố này nhấn mạnh tầm quan trọng ngày càng tăng của việc bảo mật các công cụ mã nguồn mở khi hệ sinh thái tiền mã hóa mở rộng. Dữ liệu từ DeFillama cho thấy ngành công nghiệp tiền mã hóa đã ghi nhận các vụ khai thác hơn 1.5 tỷ USD trong năm nay.
