분산 프로토콜은 북한 해커의 부드러운 목표입니다

Oak Security는 주요 암호화 시스템에서 600 개 이상의 감사를 수행했습니다. Jan Philipp Fritsche 박사는 팀은 현명한 계약 감사에 크게 투자하지만 기본 운영 보안을 무시한다고 말합니다.

2025 년 6 월 20 일, 오후 4시 업데이트 2025 년 6 월 20 일, 오후 3시 49 분 출판

북한 해킹 그룹은 수년간 암호화를 목표로 삼아 왔습니다. 2022 $ 6 억 6 천 5 백만 달러의 Ronin Bridge Exproit은 초기 모닝콜 이었지만 위협은 진화했습니다.

2025 년에만 북한 계열 공격자는 Web3의 주요 플레이어를 가치 있고 타협하도록 설계된 일련의 캠페인과 연결되어 있습니다. 15 억 달러를 대상으로했습니다 자격 증명 수확 캠페인을 통해 Bybit의 자산의 가치는 수백만 명이 이미 세탁을 받았습니다. 그들은 맬웨어 공격이 시작되었습니다 메타 마스크 및 신뢰 지갑 사용자에서 침투를 시도했습니다 교환 가짜 구직자그리고 암호화 개발자를 대상으로 미국 내부의 Shell Company를 설정.

그리고 헤드 라인은 종종 대규모 도난에 중점을 두지 만 현실은 더 단순하고 더 끔찍합니다. Web3의 가장 약한 계층은 현명한 계약이 아니라 인간입니다.

국가 국가 공격자는 더 이상 견고성에서 제로 일을 찾을 필요가 없습니다. 그들은 분산 팀의 운영 취약성을 목표로합니다. 열악한 키 관리, 존재하지 않는 온 보딩 프로세스, 개인 노트북에서 코드를 추진하지 않은 기여자 및 Discord 여론 조사를 통해 수행 된 재무부 거버넌스. 탄력성과 검열 저항에 대한 우리의 모든 업계의 이야기에서, 많은 프로토콜은 심각한 대적의 부드러운 목표로 남아 있습니다.

주요 생태계에서 600 개가 넘는 감사를 실시한 Oak Security에서는이 격차를 지속적으로보고 있습니다. 팀은 스마트 계약 감사에 크게 투자하지만 기본 운영 보안 (OPSEC)을 무시합니다. 결과는 예측 가능합니다. 부적절한 보안 프로세스는 기여자 계정, 거버넌스 캡처 및 예방 가능한 손실로 이어집니다.

스마트 계약 환상 : 보안 코드, 불안한 팀

현명한 계약 보안에 쏟아지는 모든 돈과 인재에 대해 대부분의 결함 프로젝트는 여전히 운영 보안의 기초에 실패합니다. 코드가 감사를 통과하면 프로토콜이 안전하다고 가정합니다. 그 믿음은 순진한 것이 아니라 위험합니다.

현실은 스마트 계약 익스플로잇이 더 이상 선호되는 공격 방법이 아니라는 것입니다. 시스템을 운영하는 사람들을 따라 가기가 더 쉽고 종종 더 효과적입니다. 많은 Defi 팀에는 전용 보안 리드가 없으므로 OPSEC에 대해 공식적으로 책임을지지 않고 거대한 재무를 관리하기로 결정합니다. 그것만으로도 우려의 원인이되어야합니다.

결정적으로, OPSEC 실패는 국가가 후원하는 그룹의 공격에만 국한되지 않습니다. 2025 년 5 월, Coinbase는 Cybercriminals에 의해 해외 지원 에이전트가 고객 데이터에 접근하여 $ 180- $ 4 억의 치료 및 랜섬 림보를 유발한다고 밝혔다. 악의적 인 배우 비슷한 시도를했습니다 Binance와 Kraken에서. 이러한 사건은 코딩 오류로 인해 발생하지 않았습니다. 그들은 내부자 뇌물 수수와 최전선 인간의 실패로 인해 발생했습니다.

취약점은 체계적입니다. 업계 전반에 걸쳐 기고자들은 일반적으로 불화 또는 전보를 통해 온보드로, 신원 확인, 구조화 된 프로비저닝 및 확실하게 안전한 장치가 없습니다. 코드 변경은 종종 검출되지 않은 랩톱에서 밀려나 고 종말점 보안 또는 키 관리가 거의 없어야합니다. 민감한 거버넌스 토론은 감사 트레일, 암호화 또는 적절한 액세스 제어없이 Google 문서 및 개념과 같은 보안되지 않은 도구에서 전개됩니다. 그리고 무언가가 불가피하게 잘못되면, 대부분의 팀은 응답 계획, 지정된 사령관 및 구조화 된 커뮤니케이션 프로토콜 (혼돈)이 없습니다.

이것은 탈 중앙화가 아닙니다. 운영 적 과실입니다. 기본 OPSEC 감사가 실패 할 5 억 달러를 관리하는 DAO가 있습니다. 거버넌스 포럼, Discord Polls 및 Weekend Multisigs로 보호 된 재무부가 있습니다. 보안이 키 관리에서 기고자 온 보딩에 이르기까지 보안이 전체 스택 책임으로 취급 될 때까지 Web3는 가장 부드러운 레이어를 통해 가치를 계속 누출 할 것입니다.

Defi가 Tradfi 보안 문화에서 배울 수있는 것

Tradfi 기관은 북한 해커와 그 이후의 공격의 대상이되며, 결과적으로 은행과 지불 회사는 매년 수백만 명을 잃습니다. 그러나 사이버 공격에 직면하여 전통적인 금융 기관이 붕괴되거나 운영을 일시 중지하는 것은 드 rare니다. 이러한 조직은 공격이 불가피하다는 가정에 따라 운영됩니다. 그들은 공격의 가능성을 줄이고 악용이 발생할 때의 손상을 최소화하는 계층화 된 방어를 설계합니다.

은행에서 직원은 개인 노트북의 거래 시스템에 액세스하지 않습니다. 장치는 강화되고 지속적으로 모니터링됩니다. 액세스 통제 및 직무 분리는 단일 직원이 일방적으로 자금을 이동하거나 생산 코드를 배치 할 수 없도록합니다. 온 보딩 및 오프 보딩 프로세스는 구성됩니다. 자격 증명은 신중하게 발행되고 취소됩니다. 그리고 무언가 잘못되면, 사고 대응이 조정되고, 실천되고, 문서화됩니다.

Web3은 비슷한 성숙도를 채택해야하지만 분산 된 팀의 현실에 적합했습니다.

이는 첫날부터 OPSEC 플레이 북을 시행하고, 피싱, 인프라 타협 및 거버넌스 캡처를 테스트하는 레드 팀 시뮬레이션을 실행하는 것으로 시작하여 스마트 계약 감사뿐만 아니라 개별 하드웨어 지갑이나 재무부 관리로 뒷받침되는 다중 서명 지갑을 사용합니다. 팀은 기고자를 조사하고 생산 시스템이나 재무부 컨트롤에 액세스 할 수있는 사람에 대한 배경 점검을 수행해야합니다.

일부 프로젝트는 여기에서 주도하기 시작하여 주요 관리를위한 구조화 된 보안 프로그램 및 엔터프라이즈 등급 도구에 투자했습니다. 다른 사람들은 SECOP (Advanced Security Operations) 툴링 및 전용 보안 컨설턴트를 활용합니다. 그러나 이러한 관행은 표준이 아니라 예외로 남아 있습니다.

탈 중앙화는 과실에 대한 변명이 아닙니다

이제 많은 Web3 팀이 운영 보안에 대한 실제 이유에 직면 할 때입니다. 분산 된 전 세계적으로 분산 된 조직에서 구현하기가 어렵습니다. 예산은 빡빡하고, 기고자들은 일시적이며, 사이버 보안 원칙에 대한 문화적 저항은 종종 “중앙 집중화”로 오해를 받는다.

그러나 탈 중앙화는 과실에 대한 변명이 아닙니다. 국가 국가 적들은이 생태계를 이해합니다. 그들은 이미 문 안에 있습니다. 그리고 글로벌 경제는 점점 온쇄 인프라에 의존하고 있습니다. Web3 플랫폼은 급히 훈련 된 사이버 보안 관행을 고용하고 준수해야하며, 해커와 사기꾼을 훼손하려는 해커와 사기꾼을위한 영구 자금 지원이 될 위험이 있습니다.

코드만으로도 우리를 방어하지 않습니다. 문화는 할 것이다.