Sieć nowej generacji – Web3 – została okrzyknięta bezpieczniejszą niż wcielenie cyberprzestrzeni, ale we wtorek raport ostrzegał, że może tak nie być.
Chociaż Web3 może być trudny do rozszyfrowania na poziomie infrastruktury, istnieją inne punkty ataku, które mogą zaszkodzić cyberprzestępcom bardziej niż te, które można znaleźć w starej sieci, donosi Forrester, krajowa firma badawcza zajmująca się badaniami technologicznymi.
Aplikacje Web3, w tym NFT, są nie tylko podatne na ataki; często mają większą powierzchnię ataku niż konwencjonalne aplikacje ze względu na fragmentaryczny charakter łańcuchów blokowych, donosi Forrester.
Dodatkowo dodał, że aplikacje Web3 są pożądanym celem, ponieważ tokeny mogą być warte ogromne sumy pieniędzy.
Otwartość Web3, prawdopodobnie jedna z jego głównych zalet, może być również wadą. „Kod działa na publicznym blockchainie, który jest łatwo dostępny dla każdego, kto posiada niezbędne umiejętności techniczne, z dowolnego miejsca na świecie – nie musisz łamać zabezpieczeń korporacyjnych, aby uzyskać do niego dostęp” – zauważyła Martha Bennett, wiceprezes i główny analityk, Forrestera. i współautor raportu.
„Kod źródłowy jest również ogólnie dostępny, ponieważ uruchamianie „inteligentnych kontraktów” o zamkniętym kodzie źródłowym nie jest mile widziane. Filozofią Web3 jest ostatecznie „otwarty kod” – powiedział TechNewsWorld.
Niespodziewana złożoność
David Rickard, North America CTO w Cipher, oddziale Prosegur, globalnej firmy zajmującej się bezpieczeństwem, wyjaśnia, że Web3 opiera się na danych rozproszonych i weryfikacji tożsamości użytkowników. do użytku” — powiedział TechNewsWorld.
„Ludzie przekonują się, że prawdziwym wyzwaniem jest wyjście poza SMS-y, e-maile i przewijanie aplikacji zakupowych i mediów społecznościowych” – dodał.
Uważa, że pomysł uczynienia kodu Web3 przejrzystym i publicznym raczej nie będzie naprawdę popularny. „Wśród inwestorów kapitałowych i użytkowników systemów finansowych blockchain i NFT jest zbyt dużo pieniędzy” – powiedział.
Przejrzystość i ujawnienie kodu mogą oczywiście również poszerzyć obszar ataku, kontynuował. „Bezpieczne metody kryptograficzne, które przewidują, w jaki sposób system może być nadużywany do złośliwych celów, nie są powszechnie praktykowane” – wyjaśnia. „Nie jest łatwo przewidzieć, w jaki sposób ludzie mogą korzystać z systemu do celów innych niż zamierzone”.
„Większość strat finansowych związanych z blockchain i NFT nie jest wykorzystywana przez sam niezmienny obiekt, ale manipulowana przy użyciu aplikacji, które mogą na nie wpływać” – powiedział.
Ponadto, chociaż starsze systemy mogą być stare, mogą być również potężne. „To, co nowe, wydaje się również najbardziej niepewne” – powiedział Matt Chiodi, kurator Cerby, twórca platformy zarządzania Shadow IT w San Francisco.
„Chociaż czas nie zawsze sprzyja bezpieczeństwu, pozwala on przetestować aplikację w walce” — mówi TechNewsWorld. „Web3 nie jest inny. Jest zupełnie nowy i nieprzetestowany. Starsze aplikacje mają przewagę czasową, a Web3 nie.
NFT stają się popularnymi celami
Raport zauważa, że niezależnie od tego, czy kod jest widoczny i dostępny, napastnicy znajdą słabości. Wyjaśnił, że pomimo tendencji do zakładania, że ataki na inteligentne kontrakty i portfele kryptograficzne ograniczają się do dzikiego zachodu zdecentralizowanych finansów, projekty NFT coraz częściej stają się głównym celem.
„Dlaczego hakowanie jest trudniejsze, jeśli istnieją łatwiejsze sposoby uzyskania tego, czego chcesz?” – zapytał Bennett. „Jak każde inne miejsce, w którym wymienia się wartość, rynki [NFT] i narzędzia komunikacyjne przyciągają tych, którzy chcą ukraść lub rozwikłać zasady”.
„Prędkość jest kluczowym czynnikiem we wszystkich sprawach związanych z Web3, a wielu zaangażowanym osobom brakuje wiedzy, aby ocenić, jaki jest potencjalny problem z bezpieczeństwem” – powiedziała. „Czasami startupy nawet nie reklamują się jako CSO, dopóki nie wydarzy się coś złego”.
Jedno z największych naruszeń na rynku NFT miało miejsce w czerwcu na OpenSea, ujawniając około 1,8 miliona adresów e-mail. „Ten konkretny przypadek wiąże się z zagrożeniem wewnętrznym, ale aplikacje obsługujące transakcje mogą być dość podatne” – zauważył Rickard.
„Mogą istnieć setki tysięcy sposobów na jego nadużycie, co programiści muszą spróbować wyjaśnić, ale haker musi wykryć tylko jeden wektor na raz, aby doszło do naruszenia”, powiedział.
Encounter for Scammers
Forrester poinformował również, że Discord, sieć mediów społecznościowych, stała się główną słabością NFT i innych publicznych projektów blockchain. Udane ataki phishingowe na Discord są źródłem wielu kradzieży NFT.
Wyjaśnił, że ataki często są wymierzone w administratorów i administratorów społeczności. Po udanym przejęciu konta administratora osoby atakujące mają możliwość kradzieży na dużą skalę, ponieważ użytkownicy mają tendencję do ufania wiadomościom od administratorów społeczności.
Discord został zaprojektowany przede wszystkim jako forum komunikacji dla graczy, a nie jako sklep i wymiana wartości, zauważył Bennett, i posiada mechanizmy ograniczania ryzyka. „Ale te mechanizmy mogą być przydatne tylko wtedy, gdy zostaną wdrożone, a oczywiście nie zdarza się to często” – powiedziała.
„Ponadto”, dodała, „jako preferowany mechanizm komunikacji w projektach tokenów, Discord przyciąga proporcjonalną liczbę ataków phishingowych i fałszywych wiadomości”.
Rickard twierdzi, że społeczności Discord są bogatym źródłem informacji dla oszustów i inwestorów. „Zbieranie danych kontaktowych uczestników prowadzi do oszustw” – powiedział. „Włamywanie się do portfeli cyfrowych nie jest niczym niezwykłym”.
„Boty Discord zostały zhakowane, aby cyberprzestępcy mogli zamieszczać fałszywe oferty monet, co prowadziło do kradzieży kryptowalut” – dodał.
<>h2>Lepsze bezpieczeństwo niż przestarzała sieć?
W szybkim świecie Web3 kuszące jest ignorowanie bezpieczeństwa na rzecz szybkich innowacji, ale obawy dotyczące bezpieczeństwa publicznego mogą łatwo wykoleić dużą premierę lub spowolnić zespół produktowy, zmuszając go do analizy i łagodzenia krytycznych luk w zabezpieczeniach, zauważa Raport Forrestera.
Organizacje mogą identyfikować zagrożenia i chronić zdecentralizowane i scentralizowane komponenty aplikacji Web3, uczestnicząc w swoich zespołach ds. bezpieczeństwa – nie tylko w cyklu rozwoju oprogramowania – co przez cały cykl życia produktu, dodaje.
„Web3 musi być skoncentrowany na lewej stronie, co oznacza, że bezpieczeństwo jest jak najbliżej programistów, a prewencja jest ostatecznym celem”, zauważa Chiodi. „Bez tego celu Web3 nie różniłby się niczym od Web2. Szkoda, bo ma ogromny potencjał, zwłaszcza w przypadku zdecentralizowanej tożsamości.
„Rozproszone podejście Web3 zapewnia różne rodzaje zabezpieczeń, ale podstawowe problemy pozostają takie same”, dodał Mark Bower, wiceprezes ds. produktu w Anjuna , firmie zajmującej się przetwarzaniem poufnym, w Palo Alto w Kalifornii.
„Jeśli atakujący uzyska dostęp do poświadczeń, uprawnień na poziomie roota lub kluczy – w szczególności kluczy prywatnych, które działają w całym ekosystemie”, powiedział TechNewsWorld, „to koniec gry, tak jak w przypadku scentralizowanej platformy”.