Новости криптовалют

Криспто антикризис Северной Кореи раскрывает удивительные ошибки безопасности в Web3!

Эрик Балчунас

Аа, Web3 — это блестящий новый рубеж децентрализованной технологии, где каждый мечтает о финансовой свободе и носит модный цифровой кошелек. Но секундочку! Ян-Филипп Фрице из Oak Security сообщает: настоящей Ахиллесовой пятой этой цифровой утопии являются не смарт-контракты (эти изящные строки кода), а те милые люди за экранами компьютеров.

🚀 Время разогнаться до новых высот! В Ракете новости летят так стремительно, что ты уже почти в космосе!

Присоединиться в Telegram

В недавнем откровенном разговоре с crypto.news Фрицче предупредил нас о том, что большинство блокчейн-проектов, если можно так выразиться, действуют без самого базового уровня операционной безопасности (OPSEC), то есть как банк без хранилища ценностей, надеясь на то, что никто не заметит стопку наличных прямо на виду.

Фрицше, который обменял свой бейдж аналитика банка ЕС на шляпу советника, не стесняется обвинять кого угодно. Он утверждает, что реальный риск связан с тем, как команды управляют своими устройствами и разрешениями. Очевидно, кампания Северной Кореи ‘ClickFake’ служит последним напоминанием о том, что несмотря на доверие к коллегам, вы не должны доверять их устройствам. И нам всем будет плохо, если кто-то подсоединит планшет своего ребенка к корпоративной сети!

Кампания ClickFake показывает, как легко может быть скомпрометирована команда,

кибер выходки Северной Кореи

Теперь давайте обратим внимание на прославленную группу Lazarus из Северной Кореи, которая демонстрирует свои киберспособности в кампании под названием «ClickFake Interview». Представьте себе: киберпреступники в дорогих костюмах (виртуально, конечно) представляются рекрутерами в LinkedIn и X, заманивая ничего не подозревающих криптопрофессионалов на фальшивые собеседования. Это как ужасный опыт онлайн-знакомств, но с большим количеством вирусов!

Вредоносное ПО, метко названное ‘ClickFix’, предоставляет злоумышленникам удалённый доступ к конфиденциальным данным, включая критически важные учётные данные криптокошельков. Исследователи утверждают, что Lazarus освоил искусство обмана, используя реалистичные документы и полные сценарии интервью. Действительно мастерски подготовлены – если бы только они направили свои усилия на что-то менее зловещее!

Большинство DAO и новых команд все еще полагаются на старые добрые личные устройства, которые часто используются для непринужденных бесед в Discord. Это по сути приглашает государственных злоумышленников к прекрасному обеду и отдает им ключи от кладовки. Что может пойти не так?

Там нет способа обеспечить соблюдение гигиены безопасности,

Фрицше продолжает подчеркивать тревожную правду: предположение о чистоте устройства может оказаться лишь желанием. Для проектов с значительной ценностью решения не следует оставлять разработчикам, которые могут стрелять из ружья по кодовой базе. Пожалуйста, давайте не будем порождать хаос!

«Устройства, выданные компанией с ограниченными правами доступа — хороший старт, — посоветовал он. Однако вам также необходимы меры защиты: ни один пользователь не должен иметь такого уровня контроля.»}

И урок из традиционного финансирования? Каждый возможный риск рассматривается как надвигающийся монстр до тех пор, пока не будет доказан иначе. В мире традиционных финансов вы даже почту проверить не можете без ключ-карты — возможно, Web3 стоит взять на заметку или две. Ведь никто не хочет быть цифровым эквивалентом человека, который оставил дверь открытой и кричит: ‘Заходите!’

«В традиционном финансовом секторе вам нужна ключкарта даже чтобы проверить ваш почтовый ящик», – отметил Фричче. «Эта стандартная процедура существует не просто так. Web3 должен догнать нас». Поэтому давайте надеяться, что наши цифровые пионеры поумнеют прежде, чем Северная Корея отправит им благодарственную открытку со ссылкой на загрузку вредоносного ПО. 😂

Смотрите также

2025-04-04 22:30