Индустрия блокчейна на протяжении более десяти лет позиционировала себя как фундамент цифрового доверия — децентрализованного, прозрачного и неизменного. Но та же неизменность может превратиться в оружие, если её используют злоумышленники.
Недавно Mandiant Threat Defense и Google Threat Intelligence раскрыли кампанию группы угроз UNC5142, которая использует смарт-контракты BNB Smart Chain для размещения и распространения вредоносного ПО. Этот новый вектор атаки, получивший название «EtherHiding», демонстрирует значительный сдвиг в способах эксплуатации децентрализованных инфраструктур злоумышленниками.
Как работает атака
Кампания проходит несколько этапов:
- Первичное проникновение: злоумышленники атакуют уязвимые сайты WordPress.
- Доставка полезной нагрузки: внедренные скрипты подключаются к вредоносным смарт-контрактам BNB Smart Chain.
- Исполнение: эти контракты доставляют вредоносное ПО (обычно кражу информации) напрямую с блокчейна на системы жертв.
Так как полезная нагрузка хранится on-chain, она неизменна — нельзя просто «выключить» смарт-контракт так, как удаляют вредоносный домен или сервер. После развертывания он остается навсегда.
Почему это работает
1. Низкая стоимость входа
Развертывание смарт-контракта на BNB Smart Chain может стоить меньше 0,25 $, что делает масштабирование распространения тривиальным для злоумышленников.
2. Децентрализация как щит
Децентрализованные сети обеспечивают устойчивость и сопротивляемость цензуре — те же свойства, которые делают практически невозможным удаление вредоносного кода.
3. Межцепочная переносимость
Концепция не ограничивается BNB. Та же техника может быть легко перенесена на Ethereum, Polygon или Solana, где смарт-контракты и dApp также доступны.
Последствия для индустрии
Это больше, чем просто еще одна кампания — это proof of concept, показывающее, как публичные блокчейны могут служить платформами доставки вредоносного ПО.
Это заставляет нас задавать критические вопросы:
- Как мы можем мониторить и реагировать на вредоносную активность внутри децентрализованных сетей?
- Должны ли блокчейн-эксплореры и провайдеры RPC начинать сканирование на предмет подозрительных контрактов?
- Как биржи, кошельки и dApp могут убедиться, что их фронтенды и API не взаимодействуют с вредоносными контрактами без их ведома?
Традиционный стек безопасности — файрволы, черные списки доменов, репутация IP — здесь не применим. Данные on-chain существуют вечно, и как только вредоносное ПО закодировано в смарт-контракте, оно становится частью самого реестра.
Дальнейшие шаги
Криптоэкосистема должна начать рассматривать блокчейны как часть поверхности атаки.
Это означает:
- Интеграцию on-chain threat intelligence в SOC-пайплайны.
- Создание эвристик для выявления аномального поведения контрактов.
- Координацию с крупными операторами цепочек и провайдерами RPC для пометки вредоносных развертываний.
На нашей бирже мы уже расширяем внутренние инструменты мониторинга, чтобы включить обнаружение аномалий on-chain — сканирование вредоносных payload и взаимодействий, связанных с нашей экосистемой.
Граница между «смарт-контрактом» и «хостом вредоносного ПО» быстро стирается.
Заключительные мысли
Технология блокчейна была построена на концепции trustless infrastructure, но без доверия не значит безвредная.
По мере того как граница между кибербезопасностью и децентрализованными системами исчезает, индустрия должна развиваться быстрее, чем угрожающие акторы.
Будущее безопасности блокчейна — это не только защита активов, но и обеспечение безопасности самих цепочек.
