هک جدید ارز دیجیتال کره شمالی، ضعف‌های امنیتی وب3 را فاش می‌کند: حرفه‌ای

جان فیلیپ فریچ از Oak Security می‌گوید Web3 باید از نادیده گرفتن اصول ابتدایی بهداشت امنیت عملیات (OPSEC) دست بردارد، به ویژه با افزایش تهدیدات دولتی.

با توجه به اینکه کمپین "ClickFake" کره شمالی توجهات را به حملات سایبری علیه شرکت‌های ارز دیجیتال جلب کرده است، کارشناسان امنیتی می‌گویند بزرگترین آسیب‌پذیری Web3 افراد هستند، نه قراردادهای هوشمند.

فریچ، مدیر اجرایی Oak Security، در یادداشتی به crypto.news استدلال کرد که بیشتر پروژه‌های بلاک‌چین حتی از ابتدایی‌ترین استانداردهای امنیت عملیاتی آنگونه که باید، پیروی نمی‌کنند.

فریچ که تحلیل‌گر سابق بانک مرکزی اروپا و اکنون مشاور و حسابرس پروتکل‌هاست، می‌گوید ریسک واقعی در نحوه مدیریت تیم‌ها از نظر دستگاه‌ها، دسترسی‌ها و مجوزهای تولید است.

فریچ در یادداشتی گفت: "کمپین ClickFake نشان می‌دهد که چگونه به راحتی تیم‌ها می‌توانند به خطر بیفتند. پروژه‌های Web3 باید فرض کنند که اکثر کارمندان شما در برابر تهدیدات سایبری خارج از محیط کار خود آسیب‌پذیر هستند."

کمپین کره شمالی

برای پس‌زمینه، گروه لاذاروس کره شمالی یک کمپین سایبری به نام "ClickFake Interview" را برای هدف قرار دادن حرفه‌ای‌های ارز دیجیتال راه‌اندازی کرده است. این گروه به عنوان استخدام‌کننده در لینکدین و X عمل کرده و قربانیان را به مصاحبه‌های جعلی کشانده تا بدافزار پخش کند.

بدافزار "ClickFix" به مهاجمان دسترسی از راه دور برای سرقت داده‌های حساس مانند مدارک کیف‌پول ارز دیجیتال داد. محققان گفتند لاذاروس از مدارک واقعی و گفت‌وگوهای کامل مصاحبه برای افزایش اعتبار استفاده کرده است.

بیشتر DAOs و تیم‌های تازه‌تاسیس هنوز به دستگاه‌های شخصی — که اغلب برای توسعه و چت در دیسکورد استفاده می‌شوند — متکی هستند، که آن‌ها را در معرض حملات سایبری دولتی قرار می‌دهد. بر خلاف شرکت‌های سنتی، بسیاری از DAOs راهی برای اعمال استانداردهای امنیتی ندارند.

فریچ گفت: "هیچ راهی برای اجرای بهداشت امنیتی وجود ندارد. تیم‌های زیادی، به ویژه تیم‌های کوچک‌تر، این موضوع را نادیده می‌گیرند و امیدوارند که هر چیزی خوب پیش برود."

فریچ می‌گوید حتی فرض اینکه یک دستگاه تمیز است ممکن است نادرست باشد. برای پروژه‌های با ارزش بالا، به این معناست که توسعه‌دهندگان هرگز نباید توانایی داشته باشند که به تنهایی تغییراتی را به محیط تولید اعمال کنند.

فریچ گفت: "دستگاه‌های صادر شده توسط شرکت با دسترسی محدود شروع خوبی هستند. اما شما همچنین به سیستم‌های ایمنی نیاز دارید—هیچ کاربری نباید چنین کنترلی داشته باشد."

درس از مالی سنتی؟ هر ریسکی تا زمان اثبات بالعکس واقعی فرض می‌شود.

فریچ گفت: "در TradFi، شما فقط برای بررسی صندوق ورودی خود به یک کارت کلید نیاز دارید. این استاندارد دلیلی دارد. Web3 باید به این استاندارد برسد."