Web3 Güvenliği: Uzmanlar, Zayıflığın Akıllı Sözleşmeler Değil, İnsanlar Olduğunu Söylüyor

Oak Security'den Jan Philipp Fritsche, Web3'ün özellikle devlet destekli tehditler artarken, temel OPSEC (Operasyonel Güvenlik) hijyenini göz ardı etmeyi bırakması gerektiğini vurguladı. Kuzey Kore'nin "ClickFake" kampanyası, kripto şirketlerine yönelik siber saldırılara dikkat çekerken, güvenlik uzmanları, Web3'ün en büyük zayıflığının akıllı sözleşmeler değil, insanlar olduğunu belirtiyor.

Oak Security'nin Genel Müdürü Jan Philipp Fritsche, kripto projelerinin çoğunun en temel operasyonel güvenlik standartlarından bile yoksun olduğunu belirtti. Eski bir Avrupa Merkez Bankası analisti olan ve şimdi protokoller için danışmanlık ve denetim hizmeti veren Fritsche, gerçek riskin ekiplerin cihazları, izinleri ve üretim erişimini nasıl yönettiğinde yattığını ifade etti. "ClickFake" kampanyasının, ekiplerin ne kadar kolay tehlikeye atılabileceğini gösterdiğini belirten Fritsche, Web3 projelerinin çoğu çalışanın iş ortamı dışında siber tehditlere maruz kaldığını varsayması gerektiğini söyledi.

Kuzey Kore'nin Lazarus Grubu, kripto para profesyonellerini hedef alan "ClickFake Interview" adlı bir siber kampanya kullanıyor. Grup, LinkedIn ve X'te (Twitter) işe alımcı gibi davranarak, kurbanları kötü amaçlı yazılım dağıtmak için sahte görüşmelere çekti. "ClickFix" adlı kötü amaçlı yazılım, saldırganlara kripto cüzdan kimlik bilgileri gibi hassas verileri çalmak için uzaktan erişim sağladı. Araştırmacılar, Lazarus'un güvenilirliği artırmak için gerçekçi belgeler ve tam görüşme konuşmaları kullandığını belirtti.

Çoğu DAO (Merkeziyetsiz Otonom Organizasyon) ve erken aşama ekip, hem geliştirme hem de Discord sohbeti için kullanılan kişisel cihazlara güveniyor ve bu da onları devlet destekli saldırganlara karşı savunmasız bırakıyor. Geleneksel işletmelerin aksine, birçok DAO'nun güvenlik standartlarını uygulama imkanı bulunmuyor. Fritsche, güvenlik hijyenini uygulamanın bir yolu olmadığını, özellikle küçük ekiplerin bu durumu görmezden gelerek en iyisini umduğunu ifade etti. Fritsche, yüksek değerli projeler için geliştiricilerin tek taraflı olarak üretimde değişiklik yapma yeteneğine asla sahip olmaması gerektiğini söyledi. Şirket tarafından verilen, sınırlı ayrıcalıklara sahip cihazların iyi bir başlangıç olduğunu, ancak aynı zamanda güvenlik önlemlerine ihtiyaç duyulduğunu da sözlerine ekledi. Geleneksel finanstan alınan ders ise, aksi kanıtlanana kadar her riskin gerçek olarak kabul edilmesidir. Fritsche, "TradFi'de (Geleneksel Finans), gelen kutunuzu kontrol etmek için bile bir kart okuyucuya ihtiyacınız var" dedi. "Bu standart bir nedenden dolayı var. Web3'ün yetişmesi gerekiyor."