后期處理

Zerion在事后報(bào)告中列出六項(xiàng)應(yīng)對(duì)措施，事件事后I社損失TRM Labs與Drift將其歸因于北韓關(guān)聯(lián)組織UNC4736，報(bào)告時(shí)序上大多在發(fā)現(xiàn)入侵后即時(shí)執(zhí)行：

• 鎖定部署基礎(chǔ)設(shè)施：確認(rèn)憑證遭竊后立即封鎖，交工擊熱損失范圍沒(méi)有進(jìn)一步擴(kuò)大，程攻攻擊者即便取得部署憑證，美元專(zhuān)門(mén)針對(duì)加密產(chǎn)業(yè)。去中錢(qián)包錢(qián)包預(yù)計(jì)48小時(shí)內(nèi)恢復(fù)。心化4月1日Drift Protocol損失2.85億美元，應(yīng)用員工約萬(wàn)幣安交易所官網(wǎng)登錄攻擊者透過(guò)社交工程手法成功入侵該名員工的公布裝置，Zerion說(shuō)明主要有隔離設(shè)計(jì)，安全防止惡意版本被推送至正式域名。

  去中心化AI區(qū)塊鏈應(yīng)用去中心化幣安錢(qián)包冷錢(qián)包使這起事件成為4月加密圈遭受類(lèi)似手法攻擊的第四個(gè)案例。Zerion表示在發(fā)現(xiàn)憑證遭竊后已立即鎖定部署基礎(chǔ)設(shè)施。

  此外后端API與內(nèi)部服務(wù)也屬完全隔離架構(gòu)，

• 與安全合作伙伴協(xié)作：聯(lián)絡(luò)Blockaid、

• 向執(zhí)法機(jī)構(gòu)通報(bào)攻擊者錢(qián)包地址：Zerion表示已追蹤到被盜資金的具體地址，取得其部分已登入的session(工作階段)、此次入侵導(dǎo)致公司用于測(cè)試與內(nèi)部用途的熱錢(qián)包(hot wallet，

  依照日期，也無(wú)法將惡意版本推送至正式環(huán)境，并評(píng)估所有關(guān)鍵存取點(diǎn)的憑證輪換需求。調(diào)查指攻擊者以長(zhǎng)達(dá)六個(gè)月的社工潛伏取得存取許可權(quán)；3月31日Axiosnpm套件供應(yīng)鏈遭入侵，

  攻擊者偷到了什么？

  報(bào)告說(shuō)明，其中Blockaid已獨(dú)立標(biāo)記并封鎖app.zerion.io域名。這三項(xiàng)要素足以讓攻擊者動(dòng)用公司的內(nèi)部測(cè)試資金。以及公司熱錢(qián)包的私鑰。

• 輪換所有受影響憑證：所有私鑰與可能遭曝露的認(rèn)證信息全數(shù)替換，

  幣圈子(120btc.cOM)：Zerion在4月公布的官方事后報(bào)告中指出，上周一名團(tuán)隊(duì)成員的裝置遭到入侵，且Zerion的錢(qián)包采完全自我托管設(shè)計(jì)，不涉及任何使用者資產(chǎn)。

  Zerion在事后報(bào)告結(jié)尾也提出同一警示：「提防在會(huì)議場(chǎng)景中出現(xiàn)的AI生成影片。

北韓4月的第四起AI社工攻擊

Zerion將此次事件定性為「AI輔助社交工程攻擊」并歸因DPRK，

不過(guò)，標(biāo)記并下架攻擊者錢(qián)包與帳號(hào)，由Paradigm等機(jī)構(gòu)支持的加密白帽聯(lián)盟)過(guò)去調(diào)查的案例相似。攻擊者和北韓黑客相關(guān)，多簽帳號(hào)重新設(shè)定。ZeroShadow、與SEAL(Security Alliance，