Zerion 披露了一起安全事故,由于团队成员遭受 AI 驱动的社会工程学攻击,导致公司内部热钱包约 10 万美元资金被窃。事件未影响用户资金、移动应用或后端架构,团队已采取锁定基础设施、更换凭证和扫描设备等补救措施,并计划在 48 小时内恢复 Web 应用。
上周,Zerion 的一名团队成员的设备遭到入侵。这导致公司内部用于测试和内部用途的 hot wallets 中约 10 万美元的资金被盗。没有用户资金、Zerion 应用程序或基础设施受到影响。我们主动下线了 Zerion web app,并将在接下来的 48 小时内恢复。以下是该事件及其应对措施的详细说明。
事件概览
上周,一名团队成员成为了一场由 AI 驱动的社交工程攻击的目标,该攻击与一个 DPRK 威胁行为者有关,类似于 SEAL 调查中的情况。
这使得攻击者能够访问该团队成员的一些已登录会话和 credentials,以及用于测试和内部用途的公司 hot wallets 的 private keys。
范围和影响
总经济损失约为存放在数个 hot wallets 中的 10 万美元公司资金。得益于内部安全政策和 Zerion 团队的迅速行动,攻击者未能实质性地滥用被盗的 credentials。
关于影响的关键点:
- 没有用户资金损失: Zerion Wallet 是完全 self-custodial 的,没有任何团队成员可以访问任何用户的 private keys 或 seed phrases。
- 应用程序不受影响: 没有 Zerion 移动端应用程序或浏览器应用程序受到影响,因为构建版本是隔离的。
- 基础设施安全: 后端基础设施未受影响。外部 Zerion API 和内部服务都是完全隔离的。
- 通信安全: 没有任何 Zerion 社交媒体账户或其他通信渠道被入侵。
采取的行动
一旦发现事件,我们立即采取了行动:
- 加固部署基础设施: 我们立即锁定了基础设施,以防止攻击者向我们的域名部署恶意版本。
- Web app 维护: 我们主动将 Zerion web app 转入维护模式,以避免任何恶意部署。
- Credential 轮换: 每个 private key 和可能泄露的 credential 都已进行了轮换。多重签名账户(Multi-signature accounts)已重新配置。
- 设备访问审查: 每位团队成员都运行了一个脚本,扫描其设备是否存在类似的恶意软件。对所有关键接入点进行了 credential 轮换评估。
- 安全合作伙伴关系: 我们与 @blockaid_、@zeroshadow_io 和 @ChainPatrol 合作,识别、标记并追踪攻击者的钱包和账户。
- 执法部门报告: 我们追踪了被盗资金到特定地址,并向相关执法部门进行了报告。
未来的安全措施
此次事件展示了 AI 如何演变网络威胁。我们正在采取以下步骤来进一步加强 Zerion 的安全:
- 加强身份验证: 我们正在加强关于 credential 使用和身份验证的内部政策。
- Web app 恢复: web app 将在未来 48 小时内恢复。
- 团队安全培训: 我们正在加快设备管理政策和专注于 AI 驱动的社交工程的员工安全培训。
- 安全合规性: 我们正在推进正式的安全认证,并实施更严格的访问控制。
安全建议
这不是一次偶然的攻击。该行为者老练且资源充足,并对攻击进行了周密的计划。
我们鼓励加密行业中的每一个人仔细验证所有链接,以怀疑的态度对待意外的权限提示,并在会议场景中对 AI 生成的视频保持警惕。
如果你发现任何异常或收到可疑通信,请立即通过 Zerion 帮助中心联系我们。
