Coinbase, il più grande exchange di criptovalute negli Stati Uniti, è riuscito a sfuggire a un attacco alla catena di fornitura che avrebbe potuto compromettere la sua infrastruttura open source.
Il 23 marzo, Yu Jian, fondatore della società di sicurezza blockchain SlowMist, ha segnalato l'incidente in un post su X, facendo riferimento a un rapporto dell'Unità 42, la divisione di intelligence sulle minacce di Palo Alto Networks.
Come Coinbase ha fermato un grave attacco informatico
Secondo l'Unità 42, l'aggressore ha preso di mira "agentkit", un toolkit open source gestito da Coinbase che supporta agenti IA basati su blockchain.
L'autore della minaccia ha creato un fork dei repository agentkit e onchainkit su GitHub, inserendo codice dannoso destinato a sfruttare la pipeline di integrazione continua. L'attività sospetta è stata rilevata per la prima volta il 14 marzo 2025.
"Il carico utile era focalizzato sullo sfruttamento del flusso CI/CD pubblico di uno dei loro progetti open source – agentkit, probabilmente con lo scopo di sfruttarlo per ulteriori compromessi", ha riferito l'Unità 42.
L' aggressore ha sfruttato le autorizzazioni "write-all" di GitHub , che hanno consentito l'inserimento di codice dannoso nel flusso di lavoro automatizzato del progetto. Questo metodo avrebbe potuto consentire l’accesso a dati sensibili e creare un percorso per compromessi più ampi.
Tuttavia, l'Unità 42 ha riferito che il carico utile raccoglieva informazioni sensibili. Non conteneva strumenti dannosi avanzati come l'esecuzione di codice remoto o exploit della shell inversa.
Nel frattempo, Coinbase ha risposto rapidamente, collaborando con esperti di sicurezza per isolare la minaccia e applicare le necessarie mitigazioni. Questa azione rapida ha aiutato l’azienda a evitare infiltrazioni più profonde e a prevenire potenziali danni alla sua infrastruttura.
La posta in gioco era alta considerando la posizione di Coinbase come il più grande scambio di criptovalute negli Stati Uniti e un custode chiave per gli ETF spot su Bitcoin.
Una violazione di questa natura avrebbe potuto causare gravi disagi nel settore delle criptovalute, soprattutto dopo il recente incidente di sicurezza da 1,4 miliardi di dollari di Bybit.
Nonostante il tentativo fallito, l’aggressore ha da allora spostato l’attenzione su una campagna più ampia che ora attira l’attenzione globale.
Alla luce di ciò, il fondatore di SlowMist ha consigliato agli sviluppatori che utilizzano GitHub Actions, in particolare quelli che lavorano con tj-actions o reviewdog , di controllare i loro sistemi e confermare che nessun segreto sia stato scoperto.
"Se la tua azienda utilizza reviewdog o tj-action, fai un approfondito autoesame", ha affermato Yu Jian su X.
Questo incidente evidenzia la crescente importanza di proteggere gli strumenti open source man mano che l’ecosistema crittografico si espande. I dati di DeFillama mostrano che quest'anno l' industria delle criptovalute ha registrato exploit per oltre 1,5 miliardi di dollari.
Il post Coinbase evita un grave attacco alla catena di fornitura sul suo toolkit AI Blockchain è apparso per la prima volta su BeInCrypto .