crypto.news
crypto.news . ۱ سال پیش

حملات سایبری کره شمالی؛ ضعف بزرگ Web3 در امنیت فاش شد

حملات سایبری کره شمالی؛ ضعف بزرگ Web3 در امنیت فاش شد

هک جدید کره شمالی ضعف امنیتی Web3 را نشان می‌دهد

جان فیلیپ فریچ، از Oak Security، می‌گوید Web3 باید از نادیده گرفتن اصول اولیه امنیت عملیاتی دست بردارد، به‌ویژه با افزایش تهدیدات تحت حمایت دولت‌ها.

در حالی که کمپین «ClickFake» کره شمالی توجهات را به حملات سایبری به شرکت‌های کریپتو جلب کرده است، کارشناسان امنیتی می‌گویند بزرگ‌ترین نقطه ضعف Web3 قراردادهای هوشمند نیست، بلکه انسان‌ها هستند.

جان فیلیپ فریچ، مدیرعامل Oak Security، در یادداشتی به crypto.news بیان کرد که بیشتر پروژه‌های بلاکچین حتی از ابتدایی‌ترین استانداردهای امنیت عملیاتی بی‌بهره هستند.

فریچ، که سابقاً تحلیلگر بانک مرکزی اروپا بوده و اکنون به پروتکل‌ها مشاوره می‌دهد و آن‌ها را ممیزی می‌کند، می‌گوید خطر واقعی در نحوه مدیریت دستگاه‌ها، مجوزها و دسترسی به تولید توسط تیم‌ها نهفته است.

او گفت: «کمپین ClickFake نشان می‌دهد که چگونه تیم‌ها به‌راحتی می‌توانند به خطر بیفتند. پروژه‌های Web3 باید فرض کنند که بیشتر کارکنان آن‌ها در خارج از محیط کاری در معرض تهدیدات سایبری هستند.»

حمله ClickFake کره شمالی

گروه لازاروس کره شمالی از یک کمپین سایبری به نام «مصاحبه جعلی» برای هدف قرار دادن متخصصان ارزهای دیجیتال استفاده می‌کند. این گروه با جعل هویت استخدام‌کنندگان در لینکدین و X، قربانیان را به مصاحبه‌های جعلی کشانده تا بدافزار توزیع کنند.

این بدافزار، به نام «ClickFix»، به مهاجمان دسترسی از راه دور می‌دهد تا داده‌های حساسی مانند اطلاعات کیف پول کریپتو را سرقت کنند. محققان گفتند که لازاروس از اسناد واقعی و مکالمات کامل مصاحبه برای افزایش اعتبار استفاده کرده است.

ضعف امنیتی در DAOها و تیم‌های نوپا

بیشتر DAOها و تیم‌های نوپا همچنان به دستگاه‌های شخصی متکی هستند که اغلب برای توسعه و چت در دیسکورد استفاده می‌شوند و این آن‌ها را در معرض حملات در سطح دولت‌ها قرار می‌دهد. برخلاف شرکت‌های سنتی، بسیاری از DAOها راهی برای اعمال استانداردهای امنیتی ندارند.

فریچ گفت: «هیچ راهی برای اعمال بهداشت امنیتی وجود ندارد. بسیاری از تیم‌ها، به‌ویژه تیم‌های کوچک‌تر، این موضوع را نادیده می‌گیرند و به بهترین نتیجه امیدوارند.»

درس‌هایی از امور مالی سنتی

فریچ می‌گوید حتی فرض تمیز بودن یک دستگاه نیز ممکن است اشتباه باشد. برای پروژه‌های با ارزش بالا، این بدان معناست که توسعه‌دهندگان هرگز نباید به‌تنهایی قادر به اعمال تغییرات در تولید باشند.

او گفت: «دستگاه‌های صادر شده توسط شرکت با مجوزهای محدود شروع خوبی هستند، اما شما همچنین به سیستم‌های ایمنی نیاز دارید - هیچ کاربر واحدی نباید چنین کنترلی داشته باشد.»

درس امور مالی سنتی این است که هر ریسکی واقعی فرض می‌شود مگر اینکه خلاف آن ثابت شود. فریچ گفت: «در امور مالی سنتی، شما حتی برای بررسی صندوق ورودی ایمیل خود به کارت کلید نیاز دارید. این استاندارد به دلیلی وجود دارد و Web3 باید به آن برسد.»

نوشته شده توسط admin
193

نظرات

هنوز دیدگاهی ثبت نشده است.