Coinbase, de grootste crypto exchange in de VS, heeft met succes een supply chain-aanval vermeden die zijn open-source infrastructuur had kunnen compromitteren.
Op 23 maart meldde Yu Jian, oprichter van blockchain-beveiligingsbedrijf SlowMist, het incident in een bericht op X, verwijzend naar een rapport van Unit 42, de dreigingsintelligentie-afdeling van Palo Alto Networks.
Hoe Coinbase een grote cyberaanval stopte
Volgens Unit 42 richtte de aanvaller zich op ‘agentkit’, een open-source toolkit beheerd door Coinbase die blockchain-gebaseerde AI-agenten ondersteunt.
De dreigingsactor forkte de agentkit en onchainkit repositories op GitHub en voegde kwaadaardige code in die bedoeld was om de continue integratiepijplijn te exploiteren. De verdachte activiteit werd voor het eerst gedetecteerd op 14 maart 2025.
“De payload was gericht op het exploiteren van de publieke CI/CD-stroom van een van hun open-sourceprojecten – agentkit, waarschijnlijk met het doel om het te gebruiken voor verdere compromissen,” rapporteerde Unit 42.
De aanvaller maakte misbruik van GitHub’s “write-all” permissies, wat de injectie van schadelijke code in de geautomatiseerde workflow van het project mogelijk maakte. Deze methode had toegang tot gevoelige gegevens kunnen verschaffen en een pad voor bredere compromissen kunnen creëren.
Echter, Unit 42 meldde dat de payload gevoelige informatie verzamelde. Het bevatte geen geavanceerde kwaadaardige tools zoals remote code execution of reverse shell exploits.
Ondertussen reageerde Coinbase snel door samen te werken met beveiligingsexperts om de dreiging te isoleren en de nodige maatregelen te nemen. Deze snelle actie hielp het bedrijf om diepere infiltratie te voorkomen en mogelijke schade aan zijn infrastructuur te vermijden.
De inzet was hoog gezien Coinbase’s positie als de grootste crypto exchange in de VS en een belangrijke bewaarder voor spot Bitcoin ETF’s.
Een inbreuk van deze aard had grote verstoringen in de crypto-industrie kunnen veroorzaken, vooral na Bybit’s recente $1,4 miljard beveiligingsincident.
Ondanks de mislukte poging heeft de aanvaller sindsdien de focus verlegd naar een grotere campagne die nu wereldwijde aandacht trekt.
In het licht hiervan adviseerde de oprichter van SlowMist ontwikkelaars die GitHub Actions gebruiken – vooral degenen die werken met tj-actions of reviewdog – om hun systemen te controleren en te bevestigen dat er geen geheimen zijn blootgesteld.
“Als uw bedrijf reviewdog of tj-actions gebruikt, doe dan een grondig zelfonderzoek,” verklaarde Yu Jian op X.
Dit incident benadrukt het groeiende belang van het beveiligen van open-source tools naarmate het crypto-ecosysteem uitbreidt. Gegevens van DeFillama tonen aan dat de crypto-industrie dit jaar exploits van meer dan $1,5 miljard heeft geregistreerd.
OKX
YouHodler
eToro
eToro
eToro
eToro
Wirex
BYDFi
Disclaimer
Alle informatie op onze website wordt te goeder trouw en uitsluitend voor algemene informatiedoeleinden gepubliceerd. Elke actie die de lezer onderneemt op basis van de informatie op onze website is strikt op eigen risico.
