چکیده
- گروههای هکری کره شمالی به مدت طولانی هدفشان ارزهای دیجیتال بوده و در سال ۲۰۲۵، حملات متعددی به ارزش ۱.۵ میلیارد دلار در بایبیت انجام دادهاند.
- تیمهای دیفای معمولاً امنیت عملیاتی را نادیده میگیرند و به این اشتباه هستند که امنیت قراردادهای هوشمند برای محافظت کافی است.
- مؤسسات مالی سنتی با فرهنگ امنیتی قدرتمندتری از هکرها دفاع میکنند و دیفای باید از آنها یاد بگیرد.
گروههای هکری کره شمالی سالهاست که ارزهای دیجیتال را هدف قرار دادهاند. بهرهبرداری از پلی رونین به ارزش ۶۲۵ میلیون دلار در سال ۲۰۲۲ اولین زنگ خطر بود اما تهدیدات به مرور پیچیدهتر شدهاند.
در سال ۲۰۲۵، مهاجمان وابسته به کره شمالی با کمپینهایی که برای سرقت ارزش و نفوذ به بازیگران کلیدی وب۳ طراحی شده بودند، به داراییهایی به ارزش ۱.۵ میلیارد دلار در بایبیت حمله کردند. همچنین، آنها حملات بدافزاری به کاربران متاماسک و تراست والت انجام دادند، سعی کردند از طریق متقاضیان شغلی جعلی به صرافیها نفوذ کنند و شرکتهای پوششی در ایالات متحده راهاندازی کردند تا توسعهدهندگان ارزهای دیجیتال را هدف قرار دهند.
در حالی که تیترها اغلب بر روی سرقتهای بزرگمقیاس تمرکز دارند، واقعیت مسئله سادهتر و خطرناکتر است. لایه ضعیفتر وب۳ نه قراردادهای هوشمند بلکه انسانها هستند.
توهم قرارداد هوشمند: کدهای امن، تیمهای ناامن
با اینکه پول و استعداد زیادی به امنیت قراردادهای هوشمند ریخته شده، اکثر پروژههای دیفای هنوز در اصول امنیت عملیاتی ناکام هستند. تصور این است که اگر کد توسط یک حسابرس بررسی شده باشد، پروتکل ایمن است. اما این باور نادرست و خطرناک است.
حمله به قراردادهای هوشمند دیگر روش ترجیحی نیست. مهاجمان به سراغ افرادی میروند که سیستم را اداره میکنند. بسیاری از تیمهای دیفای امنیت عملیات را به دست افراد غیرحرفهای میسپارند و این خود دلیلی برای نگرانی است.
دیفای چه میتواند از فرهنگ امنیتی ترادفای بیاموزد
مؤسسات مالی سنتی مانند بانکها و شرکتهای پرداخت مکرراً هدف حملات هستند اما به ندرت در اثر حملات سایبری فروپاشیده یا عملیاتهای خود را متوقف میکنند. این سازمانها با فرض اینکه حملات اجتنابناپذیر هستند، دفاعهای لایهدار ایجاد میکنند که احتمال حملات را کاهش میدهند و در صورت بروز حملات، خسارتها را به حداقل میرسانند. این فرهنگ امنیتی که در دیفای عمدتاً وجود ندارد، باید الگویی برای آنها باشد.
وب۳ نیاز دارد به بلوغ امنیتی مشابه دست یابد و این نیازمند تدوین و اجرای کتابهای راهنمای امنیت عملیاتی از روز اول، برگزاری شبیهسازیهای تیم قرمز و استفاده از کیفپولهای چندامضایی با پشتیبانی کیفپولهای سختافزاری یا مدیریت خزانه است. تیمها باید همکاریکنندگان را بررسی و پیشزمینههای افرادی که به سیستمهای تولید یا کنترل خزانه دسترسی دارند را بررسی کنند.
غفلت در پوشش غیرمتمرکز قابل توجیه نیست
زمان آن رسیده که دلیل واقعی عقبماندگی بسیاری از تیمهای وب۳ در امنیت عملیاتی را بپذیریم: اجرای آن در سازمانهای غیرمتمرکز، جهانی و پراکنده دشوار است. بودجهها محدود، همکاران گذرا و مقاومت فرهنگی نسبت به اصول امنیت سایبری که به اشتباه به عنوان «مرکزیسازی» تلقی میشود، همچنان قوی است.
اما غیرمتمرکز بودن بهانهای برای غفلت نیست. دشمنان دولت-ملت این اکوسیستم را درک کرده و درون دروازهها هستند. اقتصاد جهانی به طور فزاینده به زیرساختهای زنجیرهای وابسته است. پلتفرمهای وب۳ باید به سرعت به کارگیری و رعایت اصول امنیت سایبری پی ببرند وگرنه به جریان دائمی تأمین مالی برای هکرها و کلاهبرداران تبدیل خواهند شد.
تنها کد ما را محافظت نخواهد کرد، بلکه فرهنگ محافظ خواهد بود.
