“Ян Філіп Фрітче, що працює, Web3 повинен перестати ігнорувати основну гігієну OPSEC, тим більше, що як спонсоровані державою загрози. Коли кампанія “ClickFake” Північної Кореї привертає нову увагу до кібератаків на криптовалютах, експерти з безпеки кажуть, що найбільша вразливість Web3 не є розумними контрактами – це люди. Ян Філіп Фрітче, керуючий директор Oak Security, сперечався в”, – Напишіть: www.crypto.news
Ян Філіп Фрітче, що працює, Web3 повинен перестати ігнорувати основну гігієну OPSEC, тим більше, що як спонсоровані державою загрози.
Коли кампанія “ClickFake” Північної Кореї привертає нову увагу до кібератаків на криптовалютах, експерти з безпеки кажуть, що найбільша вразливість Web3 не є розумними контрактами – це люди.
Ян Філіп Фрітче, керуючий директор Oak Security, стверджував у примітці до Crypto.News, що більшість проектів Blockchain не мають навіть основних стандартів операційної безпеки.
Фрітче, колишній аналітик Європейського центрального банку, який зараз консультує та перевірить протоколи, каже, що реальний ризик полягає в тому, як команди керують пристроями, дозволами та доступом до виробництва.
“Кампанія ClickFake показує, наскільки легко можуть бути порушені команди”, – сказав Фрітше в примітці. “Проекти Web3 повинні припустити, що більшість ваших працівників піддаються кіберзагробам поза їх робочим середовищем”.
Кампанія Північної Кореї
Для передумови, Група Lazarus Північної Кореї використовує кібер -кампанію під назвою «Інтерв’ю ClickFake», орієнтована на фахівців з криптовалют. Група представляла себе рекрутерами на LinkedIn та X, заманюючи жертв у підроблені інтерв’ю для розповсюдження шкідливих програм.
Зловмисне програмне забезпечення під назвою “ClickFix” надав зловмисникам віддалений доступ до крадіжок даних, таких як Crypto Wallet Bledentals. Дослідники заявили, що Лазар використовував реалістичні документи та повні розмови про співбесіду для підвищення довіри.
Більшість DAO та команди на ранній стадії все ще покладаються на особисті пристрої-часто використовуються як для розвитку, так і для розбратів, які розбратують,-що залишає їх підданими нападникам на національному рівні. На відміну від традиційних підприємств, багато ДАО не мають можливості забезпечити стандарти безпеки.
“Немає способу застосувати гігієну безпеки”, – сказав Фрітше. “Занадто багато команд, особливо менших, ігнорують це і сподіваються на найкраще”.
Фрітше каже, що навіть припущення, що пристрій чистий може бути недоліком. Для високоцінних проектів це означає, що розробники ніколи не повинні мати можливість підштовхувати зміни до виробництва в односторонньому порядку.
“Пристрої, видані компанією, з обмеженими пільгами-це хороший початок”,-сказав Фрітше. “Але вам також потрібні невдачі-жоден користувач не повинен мати такого роду контролю”.
Урок із традиційних фінансів? Кожен ризик вважається реальним, поки не доведено інше.
“У Tradfi вам потрібна ключова карта, щоб перевірити свою поштову скриньку”, – сказав Фрітше. “Цей стандарт існує з причини. Web3 повинен наздогнати”.