Coinbase, den största kryptobörsen i USA, har framgångsrikt undvikit en leveranskedjeattack som kunde ha äventyrat dess öppen källkod-infrastruktur.
Den 23 mars flaggade Yu Jian, grundare av blockkedjesäkerhetsföretaget SlowMist, incidenten i ett inlägg på X och hänvisade till en rapport från Unit 42, hotintelligensavdelningen på Palo Alto Networks.
Hur Coinbase stoppade en stor cyberattack
Enligt Unit 42 riktade sig angriparen mot ‘agentkit’, ett verktyg med öppen källkod som hanteras av Coinbase och stöder blockkedjebaserade AI-agenter.
Hotaktören kopierade agentkit och onchainkit arkiv på GitHub och infogade skadlig kod för att utnyttja den kontinuerliga integrationsprocessen. Den misstänkta aktiviteten upptäcktes först den 14 mars 2025.
“Den skadliga koden fokuserade på att utnyttja det offentliga CI/CD-flödet i ett av deras projekt med öppen källkod – agentkit, troligen för att använda det för ytterligare kompromisser,” rapporterade Unit 42 .
Angriparen utnyttjade GitHubs “skriv-allt”-behörigheter, vilket tillät injektion av skadlig kod i projektets automatiserade arbetsflöde. Denna metod kunde ha gett tillgång till känslig data och skapat en väg för bredare kompromisser.
Unit 42 rapporterade dock att den skadliga koden samlade in känslig information. Den innehöll inte avancerade skadliga verktyg som fjärrkodexekvering eller omvända skalutnyttjanden.
Samtidigt svarade Coinbase snabbt och samarbetade med säkerhetsexperter för att isolera hotet och tillämpa nödvändiga åtgärder. Denna snabba åtgärd hjälpte företaget att undvika djupare infiltration och förhindrade potentiell skada på dess infrastruktur.
Insatserna var höga med tanke på Coinbases ställning som den största kryptobörsen i USA och en viktig förvaltare för spot Bitcoin ETF:er.
Ett intrång av denna typ kunde ha orsakat stora störningar i kryptobranschen, särskilt efter Bybits senaste säkerhetsincident på 1,4 miljarder USD.
Trots det misslyckade försöket har angriparen sedan dess skiftat fokus till en större kampanj som nu drar global uppmärksamhet.
Med tanke på detta rådde SlowMists grundare utvecklare som använder GitHub Actions – särskilt de som arbetar med tj-actions eller reviewdog – att granska sina system och bekräfta att inga hemligheter har avslöjats.
“Om ditt företag använder reviewdog eller tj-actions, gör en grundlig självgranskning,” uttalade Yu Jian på X.
Denna incident belyser den växande vikten av att säkra verktyg med öppen källkod när kryptoekosystemet expanderar. Data från DeFillama visar att kryptobranschen har registrerat utnyttjanden på mer än 1,5 miljarder USD i år.
Disclaimer
All information på vår webbplats publiceras i god tro och endast för allmän information. Varje åtgärd som läsaren vidtar baserat på informationen på vår webbplats sker strikt på egen risk.
