حمله کره شمالی به رمزنگاری؛ آسیب‌پذیری‌های Web3 به‌طور جدی نمایان شد

به گزارش زوم ارز، جان فیلیپ فریچه، امنیت‌دان، اظهار می‌دهد که تکنولوژی Web3 باید با اهمیت موضوع امنیت اپسک (OPSEC) را در حالت اولیه در نظر بگیرد، به ویژه با افزایش تهدید‌های دولتی.

همانطور که کمپین “کلیک” کره شمالی توجه جدیدی به حملات سایبری علیه شرکت‌های رمزنگاری جلب می‌کند، کارشناسان امنیتی بیان می‌کنند که بزرگترین آسیب‌پذیری Web3 نه قراردادهای هوشمند هستند؛ بلکه خود مردم می‌باشند.

جان فیلیپ فریتچه، مدیر عامل شرکت امنیتی Oak Security، در یک گفتگو با crypto.news مدعی شد که بسیاری از پروژه‌های مبتنی بر blockchain حتی به ابتدایی‌ترین استانداردهای امنیتی عملیاتی رسیدگی نکرده‌اند.

فریتچه، یک تحلیلگر سابق در بانک مرکزی اروپا است که اکنون به توصیه پروتکل‌های مشاوره و حسابرسی مشغول است. او بیان می‌کند که واقعیت خطر در روند مدیریت تیم‌ها، مجوزها و دسترسی به اطلاعات محرمانه وجود دارد.

“Campaign Clickfake نشان می دهد که تیم‌ها به راحتی ممکن است به خطر بیفتند.” “پروژه‌های Web3 باید در نظر بگیرند که اکثر کارکنان شما در معرض تهدیدهای سایبری خارج از محیط کار خود قرار دارند.”

شما همچنین ممکن است دوست داشته باشید: کره جنوبی به مدت ۲ میلیون دلار کلاهبرداری رمزنگاری شده وعده می دهد ۵۰ ٪ بازده

حمله به کره شمالی

گروه لازاروس کره شمالی از یک حمله سایبری به نام “مصاحبه ClickFake” برای هدف‌گذاری متخصصان رمزنگاری استفاده می‌کند. این گروه به عنوان استخدام‌کننده در LinkedIn و X شناخته شده و از این راه قربانیان را به مصاحبه‌های جعلی جلب کرده و سپس آن‌ها را برای انتقال بدافزار فریب می‌دهد.

یک نوع بدافزار به نام “ClickFix” توسط مهاجمان به منظور دسترسی از راه دور به اطلاعات حساس مانند اعتبار کیف پول رمزارزی مورد استفاده قرار گرفت. محققان تایید کرده اند که گروه بدافزاری لازاروس از اسناد و مکالمات واقع گرایانه برای اعتبارسنجی و تقویت عملیات خود استفاده کرده اند.

اکثر تیم‌های DAO ها و اوایل مرحله هنوز به دستگاه‌های شخصی وابسته هستند، که به طور عمده برای ارتباط و بحث‌ و گفتگو مورد استفاده قرار می‌گیرند و این باعث آسیب‌پذیری آنها در برابر حملات سایبری ملی می‌شود. بر خلاف شرکت‌های سنتی، بسیاری از DAO ها راه حل‌های مطابق با استانداردهای امنیتی را پیاده‌سازی نکرده‌اند، و این امر خطرات امنیتی جدی را به همراه دارد.

فریت گفت: “هیچ راهی برای اجرای بهداشت امنیتی وجود ندارد.” “خیلی از تیم ها ، به ویژه گروه های کوچکتر ، این را نادیده می گیرند و به بهترین ها امیدوار هستند.”

فریتچ بیان می‌کند که حتی اگر یک دستگاه تمیز است، هنوز ممکن است نقص‌هایی داشته باشد. برای پروژه‌های با ارزش بالا، این معنا دارد که توسعه‌دهندگان هرگز نباید به فشار بر تولید بپردازند.

“شروع با امتیازات محدود برای دستگاه‌های صادرشده می‌تواند خوب باشد. اما برای موفقیت نیاز به تنوع دارید و هیچ کاربری نباید به انفرادی این نوع کنترل را داشته باشد.”

ما باید درسی ارزشمند از اصول مالی سنتی بگیریم، که آن این است که هر گونه ریسک باید تا زمانی که در غیر این صورت اثبات نشود، واقعی در نظر گرفته شود.

“در Tradfi ، تنها نیاز به یک کارت کلید برای دسترسی به حساب خود دارید.” “دلیل وجود این استاندارد این است که Web3 باید در اختیار گرفته شود.”

منبع خبر