هک جدید ارز دیجیتال کره شمالی، ضعفهای امنیتی وب3 را فاش میکند: حرفهای

جان فیلیپ فریچ از Oak Security میگوید Web3 باید از نادیده گرفتن اصول ابتدایی بهداشت امنیت عملیات (OPSEC) دست بردارد، به ویژه با افزایش تهدیدات دولتی.
با توجه به اینکه کمپین "ClickFake" کره شمالی توجهات را به حملات سایبری علیه شرکتهای ارز دیجیتال جلب کرده است، کارشناسان امنیتی میگویند بزرگترین آسیبپذیری Web3 افراد هستند، نه قراردادهای هوشمند.
فریچ، مدیر اجرایی Oak Security، در یادداشتی به crypto.news استدلال کرد که بیشتر پروژههای بلاکچین حتی از ابتداییترین استانداردهای امنیت عملیاتی آنگونه که باید، پیروی نمیکنند.
فریچ که تحلیلگر سابق بانک مرکزی اروپا و اکنون مشاور و حسابرس پروتکلهاست، میگوید ریسک واقعی در نحوه مدیریت تیمها از نظر دستگاهها، دسترسیها و مجوزهای تولید است.
فریچ در یادداشتی گفت: "کمپین ClickFake نشان میدهد که چگونه به راحتی تیمها میتوانند به خطر بیفتند. پروژههای Web3 باید فرض کنند که اکثر کارمندان شما در برابر تهدیدات سایبری خارج از محیط کار خود آسیبپذیر هستند."
کمپین کره شمالی
برای پسزمینه، گروه لاذاروس کره شمالی یک کمپین سایبری به نام "ClickFake Interview" را برای هدف قرار دادن حرفهایهای ارز دیجیتال راهاندازی کرده است. این گروه به عنوان استخدامکننده در لینکدین و X عمل کرده و قربانیان را به مصاحبههای جعلی کشانده تا بدافزار پخش کند.
بدافزار "ClickFix" به مهاجمان دسترسی از راه دور برای سرقت دادههای حساس مانند مدارک کیفپول ارز دیجیتال داد. محققان گفتند لاذاروس از مدارک واقعی و گفتوگوهای کامل مصاحبه برای افزایش اعتبار استفاده کرده است.
بیشتر DAOs و تیمهای تازهتاسیس هنوز به دستگاههای شخصی — که اغلب برای توسعه و چت در دیسکورد استفاده میشوند — متکی هستند، که آنها را در معرض حملات سایبری دولتی قرار میدهد. بر خلاف شرکتهای سنتی، بسیاری از DAOs راهی برای اعمال استانداردهای امنیتی ندارند.
فریچ گفت: "هیچ راهی برای اجرای بهداشت امنیتی وجود ندارد. تیمهای زیادی، به ویژه تیمهای کوچکتر، این موضوع را نادیده میگیرند و امیدوارند که هر چیزی خوب پیش برود."
فریچ میگوید حتی فرض اینکه یک دستگاه تمیز است ممکن است نادرست باشد. برای پروژههای با ارزش بالا، به این معناست که توسعهدهندگان هرگز نباید توانایی داشته باشند که به تنهایی تغییراتی را به محیط تولید اعمال کنند.
فریچ گفت: "دستگاههای صادر شده توسط شرکت با دسترسی محدود شروع خوبی هستند. اما شما همچنین به سیستمهای ایمنی نیاز دارید—هیچ کاربری نباید چنین کنترلی داشته باشد."
درس از مالی سنتی؟ هر ریسکی تا زمان اثبات بالعکس واقعی فرض میشود.
فریچ گفت: "در TradFi، شما فقط برای بررسی صندوق ورودی خود به یک کارت کلید نیاز دارید. این استاندارد دلیلی دارد. Web3 باید به این استاندارد برسد."