Ang Mga Desentralisadong Protokol ay Mga Malambot na Target para sa mga Hacker ng North Korean

Ang mga grupo ng pag-hack ng North Korea ay nagta-target ng Crypto sa loob ng maraming taon. Ang 2022 $625 million Ronin bridge exploit ay isang maagang wake-up call—ngunit ang banta ay nagbago lamang.

Noong 2025 lamang, ang mga umaatake na nauugnay sa North Korean ay na-link sa isang hanay ng mga kampanyang idinisenyo upang siphon ang halaga at ikompromiso ang mga pangunahing manlalaro sa Web3: Nagawa nila naka-target ng $1.5 bilyon halaga ng mga asset sa Bybit sa pamamagitan ng mga kampanya sa pag-aani ng kredensyal, na milyun-milyon na ang na-launder. Sila ay naglunsad ng mga pag-atake ng malware sa mga gumagamit ng MetaMask at Trust Wallet, sinubukang makalusot pagpapalitan sa pamamagitan ng pekeng mga aplikante sa trabaho, at mag-set up ng mga kumpanya ng shell sa loob ng US para i-target ang mga developer ng Crypto.

At habang ang mga headline ay madalas na tumutuon sa malakihang pagnanakaw, ang katotohanan ay mas simple—at mas nakakapahamak. Ang pinakamahina na layer ng Web3 ay hindi mga matalinong kontrata, ngunit mga tao.

Hindi na kailangang humanap ng mga zero-day sa Solidity ang mga umaatake sa bansang estado. Tina-target nila ang mga kahinaan sa pagpapatakbo ng mga desentralisadong koponan: mahinang pamamahala sa pangunahing, hindi umiiral na mga proseso sa onboarding, hindi na-veto Contributors na nagtutulak ng code mula sa mga personal na laptop, at pamamahala ng treasury na isinasagawa sa pamamagitan ng mga botohan sa Discord. Para sa lahat ng usapan ng aming industriya tungkol sa katatagan at paglaban sa censorship, maraming protocol ang nananatiling malambot na target para sa mga seryosong kalaban.

Sa Oak Security, kung saan nagsagawa kami ng mahigit 600 pag-audit sa mga pangunahing ecosystem, palagi naming nakikita ang agwat na ito: ang mga team ay namumuhunan nang malaki sa mga smart contract audit ngunit binabalewala ang basic operational security (OPSEC). Ang resulta ay predictable. Ang hindi sapat na mga proseso ng seguridad ay humahantong sa mga nakompromisong account ng contributor, pagkuha ng pamamahala, at mga mapipigilan na pagkalugi.

The Smart Contract Illusion: Secure Code, Insecure Teams

Para sa lahat ng pera at talento na ibinuhos sa matalinong seguridad sa kontrata, karamihan sa mga proyekto ng DeFi ay nabigo pa rin ang mga pangunahing kaalaman sa seguridad sa pagpapatakbo. Ang palagay ay tila kung ang code ay pumasa sa isang pag-audit, ang protocol ay ligtas. Ang paniniwalang iyon ay hindi lamang walang muwang—ito ay mapanganib.

Ang katotohanan ay ang mga pagsasamantala ng matalinong kontrata ay hindi na ang ginustong paraan ng pag-atake. Mas madali—at kadalasang mas epektibo—na sundan ang mga taong nagpapatakbo ng system. Maraming DeFi team ang walang dedikadong security lead, na pinipiling pamahalaan ang napakalaking treasury nang walang sinumang pormal na mananagot para sa OPSEC. Iyon lamang ang dapat maging dahilan ng pag-aalala.

Higit sa lahat, ang mga pagkabigo sa OPSEC ay T limitado sa mga pag-atake mula sa mga grupong itinataguyod ng estado. Noong Mayo 2025, ibinunyag ng Coinbase na ang isang ahente ng suporta sa ibang bansa—nasuhulan ng mga cybercriminal—ilegal na nag-access sa data ng customer, na nag-trigger ng $180–$400 milyon na remediation at ransom limbo. Mga malisyosong artista gumawa ng katulad na mga pagtatangka sa Binance at Kraken. Ang mga insidenteng ito ay T hinimok ng mga error sa coding—nagmula ang mga ito mula sa insider bribery at frontline Human failures.

Ang mga kahinaan ay sistematiko. Sa buong industriya, ang mga Contributors ay karaniwang naka-onboard sa pamamagitan ng Discord o Telegram, na walang mga pagsusuri sa pagkakakilanlan, walang structured na provisioning, at walang mga device na napapatunayang secure. Ang mga pagbabago sa code ay madalas na itinutulak mula sa mga hindi na-veto na laptop, na may kaunti hanggang walang seguridad sa endpoint o pangunahing pamamahala sa lugar. Ang mga sensitibong talakayan sa pamamahala ay lumalabas sa mga hindi secure na tool tulad ng Google Docs at Notion, nang walang mga audit trail, pag-encrypt, o wastong mga kontrol sa pag-access. At kapag ang isang bagay ay hindi maiiwasang magkamali, karamihan sa mga koponan ay walang plano sa pagtugon, walang itinalagang commander ng insidente, at walang structured na protocol ng komunikasyon—kaguluhan lang.

T ito desentralisasyon. Ito ay pagpapabaya sa pagpapatakbo. May mga DAO na namamahala ng $500 milyon na mabibigo sa isang pangunahing pag-audit ng OPSEC. May mga kabang-yaman na binabantayan ng mga forum ng pamamahala, Discord poll, at weekend multisigs – bukas na mga imbitasyon para sa masasamang aktor. Hanggang sa itinuturing ang seguridad bilang isang full-stack na responsibilidad—mula sa pangunahing pamamahala hanggang sa onboarding ng contributor— KEEP ng Web3 ang paglabas ng halaga sa pamamagitan ng pinakamalambot nitong mga layer.

Ano ang Maaaring Learn ng DeFi mula sa TradFi Security Culture

Ang mga institusyon ng TradFi ay madalas na tinatarget ng mga pag-atake mula sa mga hacker ng North Korean at higit pa — at bilang resulta, milyun-milyon ang nawawala sa mga bangko at kumpanya ng pagbabayad bawat taon. Ngunit RARE makita ang isang tradisyonal na institusyong pampinansyal na bumagsak, o kahit na i-pause ang mga operasyon, sa harap ng isang cyberattack. Ang mga organisasyong ito ay nagpapatakbo sa pagpapalagay na ang mga pag-atake ay hindi maiiwasan. Nagdidisenyo sila ng mga layered na panlaban na nagbabawas sa posibilidad ng mga pag-atake at pinapaliit ang pinsala kapag nangyari ang mga pagsasamantala, na hinimok ng isang kultura ng patuloy na pagbabantay na kulang pa rin sa DeFi.

Sa isang bangko, hindi ina-access ng mga empleyado ang mga trading system mula sa mga personal na laptop. Ang mga device ay pinatigas at patuloy na sinusubaybayan. Tinitiyak ng mga kontrol sa pag-access at paghihiwalay ng mga tungkulin na walang sinumang empleyado ang maaaring unilaterally na maglipat ng mga pondo o mag-deploy ng production code. Nakabalangkas ang mga proseso ng onboarding at offboarding; ang mga kredensyal ay ibinibigay at binabawi nang may pag-iingat. At kapag may nangyaring mali, ang pagtugon sa insidente ay isinasaayos, isinasabuhay, at isinudokumento — hindi improvised sa Discord.

Kailangang gamitin ng Web3 ang katulad na kapanahunan, ngunit inangkop sa mga katotohanan ng mga desentralisadong koponan.

Nagsisimula iyan sa pagpapatupad ng mga playbook ng OPSEC mula sa ONE araw, pagpapatakbo ng mga simulation ng red-team na sumusubok para sa phishing, kompromiso sa imprastraktura, at pagkuha ng pamamahala — hindi lamang sa matalinong pag-audit ng kontrata — at paggamit ng mga multi-signature na wallet na sinusuportahan ng indibidwal na mga wallet ng hardware o pamamahala ng treasury. Dapat VET ng mga koponan ang mga Contributors at magsagawa ng mga pagsusuri sa background sa sinumang may access sa mga sistema ng produksyon o kontrol ng treasury — kahit na sa mga koponan na itinuturing ang kanilang sarili na ganap na 'desentralisado.'

Nagsisimula nang manguna rito ang ilang proyekto, namumuhunan sa mga structured na programa sa seguridad at tooling sa antas ng enterprise para sa pangunahing pamamahala. Ang iba ay gumagamit ng mga advanced na Security Operations (SecOps) tooling at nakatuong mga consultant sa seguridad. Ngunit ang mga kasanayang ito ay nananatiling eksepsiyon, hindi karaniwan.

Ang Desentralisasyon ay Walang Dahilan para sa Kapabayaan

Panahon na upang harapin ang tunay na dahilan kung bakit maraming Web3 team ang nahuhuli sa seguridad sa pagpapatakbo: mahirap ipatupad sa mga desentralisado, mga organisasyong ipinamamahagi sa buong mundo. Mahigpit ang mga badyet, lumilipas ang mga Contributors , at nananatiling malakas ang kultural na pagtutol sa mga prinsipyo ng cybersecurity, na kadalasang mali ang pagkaunawa bilang "sentralisasyon."

Ngunit ang desentralisasyon ay hindi dahilan para sa kapabayaan. Nauunawaan ng mga kalaban ng bansang estado ang ecosystem na ito. Nasa loob na sila ng gate. At ang pandaigdigang ekonomiya ay lalong umaasa sa on-chain na imprastraktura. Ang mga platform ng Web3 ay agarang kailangang gumamit at sumunod sa mga disiplinadong kasanayan sa cybersecurity, o nanganganib na maging isang permanenteng stream ng pagpopondo para sa mga hacker at scammer na naghahangad na pahinain ang mga ito.

Hindi tayo ipagtatanggol ng code lamang. Habilin ng kultura.