A trusting trust attack is a special case of a software supply-chain attack. The project in this report, named diverse double-compiling for cryptocurrency (DDC4CC), demonstrates and explains a defense for cryptocurrency software against trusting trust attacks. DDC4CC includes a case study that implements a trusting trust attack and the defense applied to a hypothetical theft of cryptocurrency on the Bitcoin blockchain. The motivation for such an attack is easy to understand: An adversary can acquire significant monetary funds by manipulating economic or decentralized financial systems. For a supply-chain attack in general, the outcome is potentially even more severe. An adversary can control entire organizations and even the systems belonging to the organization’s customers if the supply chain is compromised. Attacks are possible when targets are inherently vulnerable due to trust in their suppliers and trust in the supply chain, i.e., the hardware constructors and the software authors, the upstream development team, and the dependencies in the supply chain.

Detta projekt, som heter DDC4CC, beskriver och demonstrerar möjligheten för cyberattack och försvar, tillämpat på programvara för kryptovaluta. En sådan attack kan fullborda en hypotetisk stöld av kryptovaluta på Bitcoin-blockkedjan. Motivet för en sådan attack är lätt att förstå: En korrumperad person eller organisation kan kontrollera hela organisationer och till och med organisationens kunder om leverantörskedjan äventyras. En motståndare kan skaffa betydande monetära medel genom att manipulera ekonomiska eller decentraliserade finansiella system. Attacker är möjliga när mål till sin natur är sårbara på grund av förtroende för deras skapare och förtroende för deras leveranskedja, det vill säga hårdvarukonstruktörerna och mjukvaruingenjörerna, och beroenden i leveranskedjan.