Changpeng Zhao Nagbabala: Palitan na ng Crypto Devs ang API Keys Dahil sa GitHub Hack

  • GitHub, Nadale: Hacked na VS Code Extension Nag-leak ng 3,800 Internal Repo
  • CZ ng Binance Pinayuhan ang mga Dev: Palitan na ang API Keys na Nakasave sa Code
  • Sabi ng GitHub, wala pang epekto sa mga project at account ng customers sa ngayon.

Sabi ng GitHub, nanakaw ng hacker ang code mula sa halos 3,800 ng internal repositories nila matapos malagyan ng infected na plugin ang computer ng isa nilang empleyado. Dahil dito, marami sa crypto industry ang ninerbyos para sa safety ng mga API key na nakasave sa code.

Pinayuhan ni Binance founder Changpeng Zhao (CZ) ang mga developers na i-double check ang bawat project nila, hanapin lahat ng nakatagong keys, at palitan agad ang mga ito. Babala pa niya, kahit yung mga private repository, dapat i-assume na exposed na rin ngayon.

Ano ang Inamin ng Kumpanya

Sabi ng GitHub, nagsimula ang breach nung nag-install ang empleyado nila ng malicious na version ng isang VS Code extension—isang maliit na add-on na ginagamit pang-edit ng code ng milyon-milyong developers worldwide.

Agad nilang in-isolate yung apektadong computer, tinanggal nila yung infected extension, at nagpalit sila ng mga critical na password overnight. Unang pinalitan yung mga password na pinaka-high risk.

Sa ngayon, lumalabas sa investigation na code lang mula sa mismong internal repositories ng GitHub ang nakuha ng hacker. Walang nakikitang epekto sa customer projects, organizations, o mga account.

Sinabi ng GitHub na tumutugma ang sabi ng attacker na mga 3,800 repositories ang nanakaw sa kung ano rin ang natuklasan ng team nila. Maglalabas sila ng mas kumpletong report pag tapos na ang imbestigasyon.

Bakit Naka-Alert ang mga Crypto Developer

Sa crypto, kapag na-expose ang API key mo, puwedeng mawala agad ang laman ng trading account mo ilang minuto lang. Marami ring key ang nagbibigay-access sa wallets, custody tools, o exchange bots. Kaya mabilis nag-warning si CZ sa mga followers niya.

CZ, Source: X

Dati na ring tinamaan ang sector. Noong mas maaga ngayong taon, nagka-breach sa infrastructure provider na Vercel kaya napilitan ang mga team na mag-rotate ng mga key. Yung 3Commas leak naman noong 2022, dinagdagan nito ang exposure sa nasa 100,000 user key.

Nagkaroon din ng hiwalay na supply chain attack sa Bitwarden password manager at nanakaw ang wallet seed at developer token. Tinago pa ng hacker yung nakaw na data mismo sa loob ng GitHub repositories.

Kadalasang nilalagay ng mga developer yung mga private key nila sa code, build script, o mga tagong config file, dahil akala nila hindi mababasa ng iba sa labas ng kumpanya. Pero kitang-kita dito sa nangyari sa GitHub na puwede ring mabutas at mapasok ang mga internal system, tulad ng public na system.

Sinabi ng GitHub na tuloy-tuloy pa rin ang pag-review nila sa mga log file. Kung may makitang code o sikreto na konektado sa crypto infrastructure ang ilan sa mga nanakaw na repositories, lilinaw pa ito sa mga susunod na araw.


Upang mabasa ang pinakabagong pagsusuri sa merkado ng cryptocurrency mula sa BeInCrypto, i-click dito.

Disclaimer

Ang opinion article na ito ay nagpapahayag ng opinyon ng may-akda at maaaring hindi kumakatawan sa mga pananaw ng BeInCrypto. Nananatiling committed ang BeInCrypto sa transparent na pag-uulat at pagpapanatili ng pinakamataas na pamantayan ng journalism. Pinapayuhan ang mga mambabasa na i-verify ang impormasyon sa kanilang sariling kakayahan at kumonsulta sa isang propesyonal bago gumawa ng anumang desisyon base sa nilalamang ito. Paalala rin na ang aming Terms and Conditions, Privacy Policy, at Disclaimers ay na-update na.