Web3 қауіпсіздік фирмасы Kerberus соңғы есебінде адам әрекеті қазір Web3-де негізгі қауіп екенін ұсынды.
BeInCrypto компанияның бас директоры Алекс Кац пен техникалық директоры Данор Коэнмен қолданушылардың шабуылға жиі ұшырайтынын және өздерін қалай жақсырақ қорғауға болатынын түсіну үшін сұхбаттасты.
Адам қателіктері ірі Web3 шығындарына әкеледі, деп Kerberus есебі анықтады
Kerberus-тың «Адам факторы – нақты уақыттағы қорғау Web3 киберқауіпсіздігінің танымал болмаған қабаты (2025)» деп аталатын соңғы есебінде адамға бағытталған шабуылдар Web3-дегі құрылымдық тұрғыдан ең қауіпті вектор екенін көрсетті.
Есепте индустрия шығындарының маңызды үлесі қолданушылардың қателіктерінен туындайтынын көрсететін деректер келтірілген. Шамамен 2024 жылы криптографиялық ұрлықтардың 44%-ы жеке кілттерді дұрыс басқармаудың нәтижесінде болды. Басқа зерттеулер қауіпсіздік бұзушылықтарының шамамен 60%-ына адамның қателігі себеп болатынын көрсетеді.
2025 жылы 820 млн белсенді әмияндармен қауіп-қатер ландшафты тез кеңеюде және әркім қауіпке ұшырауы мүмкін. Кац BeInCrypto-ға жаңадан келгендер мен тәжірибелі қолданушыларды нысанаға алатындар екенін, бірақ өте әртүрлі себептерден екенін айтты.
«Жаңа қолданушылар тартымды, себебі олар әлі Web3-де не әдеттегі мінез-құлықты түсінбейді», – деді ол
Қызықтысы, атқарушы директор ұзақ уақыт пайдаланушылардың жаңадан келгендерге қарағанда жоғары құнды нысанаға айналатындығын атап өтті. Оның айтуынша,
«Тәжірибелі қолданушылар әлдеқайда көп dApp-тармен әрекеттесіп, көбірек келісімдерді қол қойып, үлкен сомаларды жылжытады. Бұл бір сәттік абайсыздық әлдеқайда үлкен зиян келтіре алады дегенді білдіреді. Сондықтан ең жоғары қауіп-қатерге ие топ бүгінгі күні өздерін қауіптен тыс санайтындар.»
Коэн Web3-дегі ең үлкен қате түсініктердің бірі – қауіпсіздік ақаулары қолданушылардың технологияны түсінбеуінен туындайды деген сенім екендігін қосты. Оның талдауы керісінше бағытты көрсетеді. Адамдар жүйе оларға шындықсыз жүктеме салатындықтан бұзылады.
«Қолданушылар: ‘Мен өте ақылдымын, менің әмияным босатылмайды, мен әмияндардың қалай жұмыс істейтінін білемін, мен қауіпсізмін’ деп ойлайды. Бірақ қауіп-қатер ландшафты пайдаланушыларға қарағанда тезірек өзгереді. Шабуылдаушылар сіздің әмияныңызды ақылсыздандыруға тырыспайды; олар сізді ақымақ етуге тырысады. Және олар бұл өте жақсы істейді. Адамдардың түсінбейтіндері, Web3 адамның когнитивтік жүктемесін айтарлықтай арттырады,»- деп түсіндірді Коэн. «Қолданушылар қауіпсіз болу үшін техникалық сигналдарды шешуі тиіс емес – қауіпсіздік автоматты түрде олардың пайдасына жұмыс жасау керек.»
2025 жылы тіпті ақылды Web3 қолданушылары неге ақшасынан айырылуда?
Осы адамдық қауіп-қатерге қарамастан, 2025 жылы қауіпсіздікке рекордтық қаражат жұмсалды. Kerberus есебі криптоға байланысты сервистер мен инвесторлардың жыл басында хакерлік шабуылдар мен алаяқтықтарға 3,1 млрд долларынан астам қаржы жоғалтқанын көрсетті. Бұл 2024 жылдың барлық кезеңіне қарағанда әлдеқайда жоғарырақ.
Бұл сома тарихи Bybit бұзылуын қамтиды. Оны санамағанда, фишинг және әлеуметтік инженерия сияқты адамға бағытталған шабуылдар $600 млн құрап, қалған $1,64 млрд шығынның 37%-ын құрады.
Есепте бұл шабуылдардың кеңеюімен бірге өсіп, техникалық қорғанысты толығымен айналып өтетіндігі атап өтілді. Бұл дәстүрлі қауіпсіздік модельдеріне оларды болдырмауды қиындатады.
Компаниялар аудиттерге, бақылауға және кодтарды шолу көп инвестициялап жатқанда, шабуылшылар қолданушыларды транзакция деңгейінде тікелей пайдалануын көбейтуде.Бірақ адамдарды осындай шабуылдарға қалай осал етеді?
«Адамдар осал болып табылады, себебі әрбір алаяқтық табиғи психологиялық шорткаттарды пайдалану үшін жасалады — шұғылдық, өкілеттілік, таныстық, мүмкіндікті өткізіп алу қорқынышы немесе әдеттегі жайлылық. Бұл кемшіліктер емес; олар бізге күнделікті өмірде әрекет етуге мүмкіндік беретін сол инстинктер. Технология адамның психологиясын өзгерте алмайды, бірақ ол психология қару ретінде қолданылған сәтті ұстай алады,» деді Коэн.
Ол қауіпсіздіктің ең мықты түрі тек білім беру арқылы қолданушылардың қателіктерден аулақ болуына сүйенбеу, зиянды әрекеттерді зиян келмей тұрып нақты уақыт режимінде тоқтату екенін баса айтты.
«Сондықтан нақты уақыттағы анықтау өте маңызды. Егер сіз қолданушыны олардың сенімі манипуляцияланған нақты сәтте ескерте алсаңыз, көптеген шығындардың алдын алуға болады,» деп қосқан Коэн.
Атқарушы директор кез келген күнделікті қолданушының зиянды dApp, эйрдроп немесе минт парақшасын ажырата алуын күту шындыққа жатпайтынын атап өтті. Заманауи алаяқтық платформалар жиі заңды платформаларға өте ұқсас болады. Олар іс жүзінде айыруға келмейтіндей.
Ол қолданушылар фишинг сілтемелерін қайталап баса алатынын қосты. Олар мұны ұқыпсыздықтан жасамайды, бірақ бұл шабуылдар қасақана алдау үшін жасалған.
Тіпті нақты уақыттағы ескертулер кейде жалған позитивтер болып көрінуі мүмкін, бұл алаяқтықтардың күрделі табиғатын көрсетеді.
«Қолданушыларға соттық тексерулерді орындау күтілмеуі тиіс. Жүк ниет пен әрекетті нақты уақыт режимінде талдайтын құралдарға ауыстырылуы керек,» деген ұсынысын білдірді Коэн.
Есеп сондай-ақ бұл шабуылдар қолданушылар қауіптерді бағалай алмайтын сәттерді пайдаланады деп көрсетеді. Мысалы, біреу жұмыс арасында әмиянды тексергенде, аккаунтын жауып тастайтындығы туралы шұғыл хабарламаға жауап бергенде немесе ұзақ күннің соңында транзакцияны мақұлдағанда орын алуы ықтимал.
Табылған деректерге сәйкес, индустрияның жауабы, көбінесе, ескертулер мен тексеру қадамдарының санын көбейту болды. Бірақ бұл ұстаным жиі «қауіпсіздік шаршауы» арқылы теріс нәтиже көрсетеді. Қолданушылар тұрақты ескертулерге үйреніп қалғанда — олардың көпшілігі жай ғана баяулататын жалған дабылдар — олардың мұқият шешім қабылдау қабілеті үнемі когнитивтік қысыммен төмендейді.
Web3-те қауіпсіз болу үшін қолданушылар жасай алатын 3 әрекет
Шынайы шығындарды азайту үшін, Кац қолданушылар қабылдай алатын үш практиканы ашып айтты. Ол қолданушыларға:
- Қол қоймас бұрын кідіріңіз: Көптеген келісімдер он секундтан аз уақыт ішінде орындалады. Өтініштің ұсынылған әрекетке сәйкес келетін-келмейтінін тексеру үшін тіпті қысқа уақыт бөлу де көптеген сәтті шабуылдардың алдын алуы мүмкін.
- Жоғары құнды активтерді күнделікті әрекеттен бөліңіз: Бірнеше әмиянды қолдану тиімді қорғаныс шараларының бірі болып табылады. Ол пайдаланушыларға ұзақ мерзімді активтерін суық немесе аз қолданыстағы әмиянда сақтауды, ал зерттеулер, минттер және dApps үшін бөлек әмиян қолдануды ұсынды. Мұндай бөлу ықтимал залалдарды шектейді.
- Нақты уақыттағы транзакция қорғанышына сүйеніңіз: Көптеген қауіптер техникалық пайдалану емес, әлеуметтік инжинирингпен байланысты болғандықтан, пайдаланушылар finalize бұрын он-чейн әрекеттерін түсіндіретін құралдардан пайда көреді. Қорғаныстың бұл бір қабаты неғұрлым жетілдірілген алаяқтықтардың көбін бөгейді.
Ол пайдаланушыларды қауіпсіздік сарапшысына айналдыру емес, жағымсыз әрекеттердің қаржылық шығындарға айналуынан сақтайтын қауіпсіздік шараларын құруды ұмтылу керек екенін ерекше атап өтті.
