Defiance Capitalの創設者：60枚のNFTが盗まれた後、私はどのように詐欺を防いだのか？

著者：Arthur、Defiance Capital
翻訳：律動 BlockBeats

この記事は、Defiance Capitalの創設者Arthurが個人のソーシャルメディアプラットフォームで述べた見解を整理したものです。

最初は、以下の内容は私たちのポートフォリオ企業とパートナーのために書かれたものでした。しかし、考えを巡らせた結果、これらをオープンソースにすべきだと考えました。

調査とトップのサイバーセキュリティ専門家とのコミュニケーションを経て、私たちはハッカー組織BlueNorOffが、暗号分野のすべての著名な組織をターゲットにした組織的な計画を進めていると信じています。彼らの社会工学的攻撃は非常に巧妙であり、私は彼らが暗号分野全体の関係図を描いており、どのようなフィッシングメールが私たちの心理的防御を突破しやすいかを理解していると信じています。この攻撃がどのように行われるかをさらに理解したい場合は、この記事を読むことを強くお勧めします。その中の提案も採用する価値があります。

重要なのは、私たちが暗号業界が国家支援のサイバー犯罪組織の積極的なターゲットになっていることを十分に認識することです。この組織は非常に賢く、熟練しており、将来的にはツールや攻撃パターンを変える可能性があります。現在の攻撃手法があまり効果的でなくなった場合、例えば最近現れたトロイの木馬化したDeFiアプリやウォレット攻撃のように、北朝鮮はこの組織にさらなるリソースを投入し、攻撃の強度を拡大する可能性が高いです。

すべての標準的なサイバーセキュリティのアドバイスを脇に置き、サイバーセキュリティ意識の高い友人の協力を得て、以下の不完全な暗号関連のセキュリティアドバイスを提案します。これが私たちの誰かに同様の事件が発生するのを防ぐことを願っています。

オンチェーンの暗号資産を企業レベルのホスティングソリューションに保管する

ハードウェアウォレットだけではEOA（Externally owned account）を保護するには不十分です。なぜなら、彼らは偽のMetamaskブラウザ拡張を挿入して、予期しない取引を承認することができるからです。少なくとも、Gnosis Safeのように複数のハードウェアウォレットで保護されたマルチシグウォレットであるべきです。Fireblocks、Copper、Qredoなどのより高度なホスティングソリューションの使用を強くお勧めします。これらは取引承認のためのネイティブマルチシグ2FA（二要素認証）ウォレットを備えています。

リモートチームの採用には追加のデューデリジェンスを行う

リモートチームを採用する際には、特にソフトウェアエンジニアや開発者を雇う場合、追加のデューデリジェンスを行う必要があります。「Lazarus APTグループは、暗号通貨ソフトウェアを開発する偽の会社を設立することに関与しています。」私たちのポートフォリオ企業の一つから聞いたところによると、彼らのソフトウェアエンジニア職の応募者は面接時に疑わしく、履歴書の内容と一致しないことが多いとのことです。

暗号取引専用のコンピュータを設定する

暗号取引専用のコンピュータを用意し、電子メール、インターネットリンク、メッセージアプリ、MS Word文書、PDFなどと相互作用しないようにするべきです。

すべてのログインに2FAを実施する

暗号に特化したものではありませんが、重要なことなので注意喚起します。クラウドストレージ、電子メール、Telegramなどのメッセージアプリでは2FAログインを有効にするべきです。SMS 2FAの代わりにGoogle認証を使用してください。

可能な限りYubiKeyのようなハードウェア2FAウォレットを使用し、企業および個人アカウントの両方で利用してください。

よく使う暗号DAppサイトをブックマークする

検索エンジンはフィッシングサイトを表示することがあるため、検索中にうっかりフィッシングサイトにアクセスしてしまう可能性があります。暗号DAppサイトにはブックマークリストを通じてアクセスするのが最善です。

不要なトークンの権限を取り消す

トークンの権限は、他者があなたの資産を移動することを許可するものであり、大多数のスマートコントラクトと相互作用するための必要条件です。無制限のトークン権限を避け、定期的に不要な権限を取り消すことが重要です。これはRevokeを使用して行うことができます。

アドレス監視システムを構築する

内部の暗号通貨ウォレットアドレスは密接に監視されるべきであり、未承認の取引が発生した場合、チームが即座に気づき、迅速に行動を取ることができるようにする必要があります。EtherscanやNansenはそのようなソリューションを提供しています。

チームメンバーに定期的なサイバーセキュリティトレーニングを実施する

すべてのチームメンバーは入社時にサイバーセキュリティトレーニングを受けるべきですが、組織の成長に伴い、これがしばしば無視されがちです。

正しく構成されたメールのDNS設定でフィッシングやスパムを防ぐ

可能な限りSPF（Sender Policy Framework）、DKIM（DomainKeys Identified Mail）、DMARCをハードフェイルモードまたは厳格モードで使用してください。

ウェブサイトではなくブラウザを信頼する

ブラウザのアドレスバーの下にある内容は安全でない可能性があり、潜在的な攻撃の媒体となることがあります。ログインしていない場合、一部のDAppはあなたの暗号ウォレットにログインするよう求めるウィンドウをポップアップすることがあります。決してパスワードを入力しないでください。