کارشناسان امنیت کریپتو میگویند اکثر سوءاستفادههای کریپتو در سال آینده به دلیل باگ روز صفر در پروتکل مورد علاقه شما نخواهد بود. این به دلیل خود شما خواهد بود.
نیک پرکوکو، مدیر ارشد امنیت صرافی کریپتو کراکن، به کوین تلگراف گفت که این به این دلیل است که سال ۲۰۲۵ نشان داده است که اکثر هکها با کد مخرب شروع نمیشوند؛ آنها با یک گفتگو شروع میشوند.
دادههای Chainalysis نشان میدهد که از ژانویه تا اوایل دسامبر ۲۰۲۵، صنعت کریپتو شاهد بیش از ۳.۴ میلیارد دلار سرقت بوده است که نقض امنیتی فوریه Bybit نزدیک به نیمی از این مجموع را تشکیل میدهد.
بیش از ۳.۴ میلیارد دلار امسال توسط عوامل بد سرقت شد. منبع: Chainalysisدر طول حمله، عوامل بد از طریق مهندسی اجتماعی دسترسی پیدا کردند، یک بارگذاری JavaScript مخرب تزریق کردند که به آنها اجازه داد جزئیات تراکنش را تغییر دهند و وجوه را برداشت کنند.
مهندسی اجتماعی چیست؟
مهندسی اجتماعی یک روش حمله سایبری است که افراد را دستکاری میکند تا اطلاعات محرمانه را فاش کنند یا اقداماتی انجام دهند که امنیت را به خطر میاندازد.
پرکوکو گفت میدان نبرد برای امنیت کریپتو در ذهن خواهد بود، نه فضای سایبری.
راهنمایی ۱: تا جایی که ممکن است از اتوماسیون استفاده کنید
به گفته پرکوکو، سازشهای زنجیره تامین نیز امسال یک چالش کلیدی بوده است، زیرا یک نقض به ظاهر جزئی میتواند بعداً ویرانگر باشد، زیرا "این یک برج جنگا دیجیتال است و یکپارچگی هر بلوک واحد مهم است."
پرکوکو در سال پیش رو توصیه میکند نقاط اعتماد انسانی را از طریق اقداماتی مانند خودکارسازی دفاع در صورت امکان و تأیید هر تعامل دیجیتال از طریق احراز هویت در "تغییر از دفاع واکنشی به پیشگیری فعال" کاهش دهید.
"به خصوص در کریپتو، ضعیفترین حلقه اعتماد انسانی است که با طمع و FOMO تقویت میشود. این شکافی است که مهاجمان هر بار از آن سوءاستفاده میکنند. اما هیچ فناوری جایگزین عادات خوب نمیشود،" او افزود.
راهنمایی ۲: زیرساخت را جدا کنید
لیزا، رهبر عملیات امنیتی از SlowMist، گفت که عوامل بد امسال به طور فزایندهای اکوسیستمهای توسعهدهنده را هدف قرار دادند که همراه با نشت اعتبارنامه ابری، فرصتهایی برای تزریق کد مخرب، سرقت اسرار و مسموم کردن بهروزرسانیهای نرمافزار ایجاد کرد.
"توسعهدهندگان میتوانند این خطرات را با تثبیت نسخههای وابستگی، تأیید یکپارچگی بسته، جداسازی محیطهای ساخت و بررسی بهروزرسانیها قبل از استقرار کاهش دهند،" او گفت.
با ورود به ۲۰۲۶، لیزا پیشبینی میکند که مهمترین تهدیدها احتمالاً از عملیات سرقت اعتبارنامه و مهندسی اجتماعی پیچیدهتر ناشی میشود.
منبع: SlowMist"عوامل تهدید در حال حاضر از دیپ فیکهای تولید شده توسط هوش مصنوعی، فیشینگ متناسب و حتی تستهای استخدام توسعهدهنده جعلی برای به دست آوردن کلیدهای کیف پول، اعتبارنامه ابری و توکنهای امضا استفاده میکنند. این حملات به طور فزایندهای خودکار و متقاعدکننده میشوند و ما انتظار داریم این روند ادامه یابد،" او گفت.
برای ایمن ماندن، توصیه لیزا برای سازمانها اجرای کنترل دسترسی قوی، چرخش کلید، احراز هویت پشتیبانی شده با سختافزار، تقسیمبندی زیرساخت و تشخیص و نظارت بر ناهنجاری است.
افراد باید به کیف پولهای سختافزاری متکی باشند، از تعامل با فایلهای تأیید نشده اجتناب کنند، هویتها را از طریق کانالهای مستقل بررسی متقابل کنند و با لینکها یا دانلودهای ناخواسته با احتیاط رفتار کنند.
راهنمایی ۳: اثبات شخصیت برای مبارزه با دیپ فیکهای هوش مصنوعی
استیون والبروهل، بنیانگذار و مدیر فناوری شرکت امنیت سایبری بلاک چین Halborn، پیشبینی میکند که مهندسی اجتماعی تقویت شده با هوش مصنوعی نقش مهمی در کتابهای بازی هکرهای کریپتو ایفا خواهد کرد.
در مارس، حداقل سه بنیانگذار کریپتو گزارش دادند که تلاشی از هکرهای مظنون کره شمالی برای سرقت دادههای حساس از طریق تماسهای Zoom جعلی که از دیپ فیک استفاده میکردند را خنثی کردهاند.
والبروهل هشدار میدهد که هکرها از هوش مصنوعی برای ایجاد حملات بسیار شخصی و آگاه از زمینه استفاده میکنند که آموزش سنتی آگاهی امنیتی را دور میزنند.
برای مبارزه با این، او پیشنهاد میکند اجرای اثبات رمزنگاری شخصیت برای تمام ارتباطات حیاتی، احراز هویت مبتنی بر سختافزار با اتصال بیومتریک، سیستمهای تشخیص ناهنجاری که الگوهای تراکنش عادی را پایهگذاری میکنند، و ایجاد پروتکلهای تأیید با استفاده از اسرار یا عبارات از پیش به اشتراک گذاشته شده.
راهنمایی ۴: کریپتوی خود را برای خودتان نگه دارید
حملات آچاری، یا حملات فیزیکی به دارندگان کریپتو، همچنین یک موضوع برجسته سال ۲۰۲۵ بود، با حداقل ۶۵ مورد ثبت شده، طبق لیست GitHub جیمسون لاپس، OG بیت کوین و سایفرپانک. آخرین اوج بازار گاوی در ۲۰۲۱ قبلاً بدترین سال ثبت شده بود، با مجموع ۳۶ حمله ثبت شده
یک کاربر X با نام مستعار Beau، یک افسر سابق CIA، در یک پست X در ۲ دسامبر گفت که حملات آچاری هنوز نسبتاً نادر هستند، اما او همچنان توصیه میکند که کاربران کریپتو با عدم صحبت درباره ثروت یا افشای داراییهای کریپتو یا سبک زندگی مسرفانه به صورت آنلاین به عنوان یک شروع احتیاط کنند.
منبع: Beauاو همچنین پیشنهاد میکند با استفاده از ابزارهای پاکسازی داده برای پنهان کردن اطلاعات شخصی خصوصی، مانند آدرس خانه، و سرمایهگذاری در دفاع خانه مانند دوربینهای امنیتی و هشدارها، به یک "هدف سخت" تبدیل شوید.
راهنمایی ۵: در مورد نکات امنیتی آزمایش شده و واقعی صرفهجویی نکنید
دیوید شود، یک متخصص امنیت که در Robinhood به عنوان مدیر ارشد امنیت اطلاعات کار کرده است، گفت که بهترین راهنمایی او پایبندی به مشاغل معتبر است که رویههای امنیتی هوشیارانه را نشان میدهند، از جمله ممیزیهای امنیتی دقیق و منظم شخص ثالث از کل پشته خود، از قراردادهای هوشمند تا زیرساخت.
با این حال، صرف نظر از فناوری، شود گفت که کاربران باید از استفاده از یک رمز عبور برای چندین حساب اجتناب کنند، استفاده از یک توکن سختافزاری به عنوان یک روش احراز هویت چند عاملی را انتخاب کنند و عبارت بازیابی را با رمزگذاری ایمن یا ذخیره آفلاین آن در یک مکان فیزیکی ایمن محافظت کنند.
او همچنین توصیه میکند از یک کیف پول سختافزاری اختصاصی برای داراییهای قابل توجه استفاده کنید و داراییها در صرافیها را به حداقل برسانید.
مرتبط: فیشینگ نیزهای تاکتیک برتر هکرهای کره شمالی است: چگونه ایمن بمانیم
"امنیت به لایه تعامل بستگی دارد. کاربران باید هنگام اتصال یک کیف پول سختافزاری به یک برنامه وب جدید بسیار هوشیار بمانند و باید دادههای تراکنش نمایش داده شده در صفحه دستگاه سختافزاری را قبل از امضا به طور کامل اعتبارسنجی کنند. این از 'امضای کور' قراردادهای مخرب جلوگیری میکند،" شود افزود.
لیزا گفت که بهترین راهنماییهای او استفاده فقط از نرمافزار رسمی، اجتناب از تعامل با URLهای تأیید نشده، و جداسازی وجوه در پیکربندیهای داغ، گرم و سرد است.
برای مقابله با پیچیدگی فزاینده کلاهبرداریها مانند مهندسی اجتماعی و فیشینگ، پرکوکو کراکن "شکاکیت رادیکال" را در تمام مواقع توصیه میکند، با تأیید اصالت و فرض اینکه هر پیام یک آزمون آگاهی است.
"و یک حقیقت جهانی باقی میماند: هیچ شرکت، خدمات یا فرصت قانونی هرگز عبارت بازیابی یا اعتبارنامه ورود شما را نخواهد خواست. لحظهای که آنها این کار را کنند، شما با یک کلاهبردار صحبت میکنید،" پرکوکو افزود.
در همین حال، والبروهل توصیه میکند کلیدها را با استفاده از مولدهای اعداد تصادفی ایمن از نظر رمزنگاری تولید کنید، جداسازی دقیق بین محیطهای توسعه و تولید، ممیزیهای امنیتی منظم و برنامهریزی پاسخ به حادثه با تمرینهای منظم.
مجله: هنگامی که قوانین حریم خصوصی و AML در تضاد هستند: انتخاب غیرممکن پروژههای کریپتو
منبع: https://cointelegraph.com/news/crypto-security-human-layer-threats-2026-expert-tips?utm_source=rss_feed&utm_medium=feed&utm_campaign=rss_partner_inbound
