Безопасность Web3 в условиях растущих угроз
Ян Филипп Фритше из Oak Security утверждает, что Web3 должен уделять внимание основам оперативной безопасности, особенно в условиях роста угроз со стороны государственных акторов. В связи с кампанией «ClickFake» из Северной Кореи, которая вновь привлекает внимание к кибератакам на криптовалютные компании, эксперты по безопасности утверждают, что главной уязвимостью Web3 являются не смарт-контракты, а люди.
Слабые места в кибербезопасности
В своем сообщении для crypto.news Фритше, управляющий директор Oak Security и бывший аналитик Европейского центрального банка, подчеркнул, что большинство блокчейн-проектов даже не соблюдают элементарные стандарты операционной безопасности.
«Реальная угроза заключается в том, как команды управляют устройствами, разрешениями и доступом к производственной среде,» — отметил он.
«Кампания ClickFake показывает, насколько легко команды могут быть скомпрометированы,» — добавил Фритше.
Фритше отметил, что проекты Web3 должны признавать, что большинство сотрудников подвержены киберугрозам вне своей профессиональной деятельности.
Киберкампания «ClickFake Interview»
Стоит отметить, что группировка Lazarus из Северной Кореи осуществляет киберкампанию под названием «ClickFake Interview», нацеленную на специалистов криптовалютной сферы. Эта группа выдает себя за рекрутеров на LinkedIn и X, заманивая жертв на фальшивые собеседования для распространения вредоносного ПО. Вредоносное ПО, названное «ClickFix», предоставляло злоумышленникам удаленный доступ для кражи конфиденциальных данных, таких как учетные записи криптокошельков.
Исследователи сообщали, что Lazarus использовал правдоподобные документы и ведение диалогов на собеседованиях для повышения доверия к своей деятельности.
Уязвимость DAO и стартапов
Многие децентрализованные автономные организации (DAO) и стартап-команды по-прежнему полагаются на личные устройства, которые часто используются как для разработки, так и для общения в Discord. Это делает их уязвимыми для нападений со стороны госактов.
Фритше заявил, что не существует способа гарантировать соблюдение стандартов безопасности.
«Слишком много команд, особенно небольших, игнорируют этот аспект и надеются на лучшее.»
Рекомендации по безопасности
Фритше также отметил, что даже предположение о том, что устройство чистое, может оказаться ошибочным. Для проектов с высокой ценностью это означает, что разработчики никогда не должны иметь возможность вносить изменения в производственную среду без надлежащей проверки.
«Устройства, выданные компанией, с ограниченными правами, — это хороший старт,» — отметил он. «Но необходимо также внедрить дополнительные меры: ни один пользователь не должен иметь полный контроль.»
Уроки из традиционных финансов
По мнению Фритше, каждый риск следует считать реальным до тех пор, пока не будет доказано обратное.
«В традиционных финансах вам нужен ключ-карта, чтобы просто открыть ваш почтовый ящик,» — напомнил Фритше. «Этот стандарт принят не случайно. Web3 необходимо догнать его.»
