هشدارهای Forrester درباره امنیت Web3
هشدارهای Forrester درباره امنیت Web3 : نسل بعدی وب – Web3 – به عنوان امن تر از تجسم فعلی فضای مجازی مورد استقبال قرار گرفته است، اما گزارشی که روز سه شنبه منتشر شد هشدار می دهد که ممکن است اینطور نباشد.
بر اساس گزارش Forrester، یک شرکت ملی تحقیقات فناوری، اگرچه ممکن است براندازی Web3 در سطح زیرساخت دشوار باشد، اما نقاط حمله دیگری وجود دارد که ممکن است به عوامل تهدید فرصت بیشتری برای شرارت نسبت به وب قدیمی ارائه دهد.
برنامه های Web3، از جمله NFT ها، فقط در برابر حمله آسیب پذیر نیستند. Forrester گزارش داد که به دلیل ماهیت توزیع شده بلاک چین، آنها اغلب سطح حمله گسترده تری نسبت به کاربردهای معمولی دارند.
علاوه بر این، برنامه های Web3 اهداف مطلوبی هستند زیرا توکن ها می توانند ارزش مبالغ قابل توجهی پول داشته باشند.
باز بودن Web3 که قرار است یکی از مزایای اصلی آن باشد نیز می تواند مضر باشد. مارتا بنت، معاون رئیس و تحلیلگر اصلی Forrester، مشاهده کرد: “کدی که روی یک بلاک چین عمومی اجرا می شود، برای هر کسی که مهارت های فنی مورد نیاز را دارد، از هر کجای دنیا به راحتی قابل دسترسی است – نیازی به نفوذ به هیچ گونه دفاعی شرکتی برای رسیدن به آن نیست.” همچنین یکی از نویسندگان گزارش است.
«کد منبع معمولاً به راحتی در دسترس است، زیرا اجرای «قراردادهای هوشمند» منبع بسته مورد مخالفت قرار میگیرد. او به TechNewsWorld گفت، اخلاق Web3، در نهایت، “کد باز” است.
پیچیدگی نامطلوب
آنچه در این مقاله میخوانید
دیوید ریکارد، مدیر ارشد فناوری آمریکای شمالی در Cipher، بخشی از Prosegur، یک شرکت امنیتی چند ملیتی، توضیح داد که Web3 بر اساس کنترل توزیع شده داده ها و هویت توسط کاربرانش است.
او به TechNewsWorld گفت: «این سطح حمله را برای افرادی که ممکن است تمایلی به مدیریت دادهها و هویت خود نداشته باشند یا به سادگی قادر به مدیریت دادهها و هویت خود نباشند، گسترش میدهد و پیچیدگی فنی را به عرصهای میآورد که بیش از هر چیز دیگری «استفاده آسان» را میخواهد».
او افزود: «افراد، فراتر از پیامهای متنی، ایمیل، و پیمایش در رسانههای اجتماعی و اپلیکیشنهای خرید برای آنها یک چالش واقعی است.»
او ادامه داد که ایده Web3 برای شفاف کردن کدها و در دسترس قرار دادن عموم، بعید است که جذابیت واقعی پیدا کند. او گفت: “بین سرمایه گذاران سرمایه و کاربران سیستم های مالی بلاک چین و NFTها، پول زیادی در خطر است.”
او ادامه داد که شفافسازی و عمومی کردن کد میتواند سطح حمله را به روشهای واضحی گسترش دهد. او توضیح داد: «روشهای کدگذاری امن که پیشبینی میکنند چگونه میتوان از یک سیستم برای دستاوردهای شوم سوء استفاده کرد، معمولاً انجام نمیشوند. پیشبینی اینکه چگونه افراد ممکن است از سیستمها برای مقاصدی غیر از آنچه در نظر گرفته شده استفاده کنند، آسان نیست.
او گفت: «بیشتر زیانهای مالی مربوط به بلاک چین و NFT از خود شیء تغییرناپذیر سوء استفاده نمیکنند، بلکه با بهرهبرداری از برنامههایی که میتوانند بر آنها تأثیر بگذارند، آنها را دستکاری میکنند».
علاوه بر این، در حالی که سیستم های قدیمی ممکن است قدیمی باشند، می توانند قوی نیز باشند. مت چیودی، مدیر ارشد اعتماد در Cerby، سازنده پلتفرمی برای مدیریت Shadow IT در سانفرانسیسکو، گفت: «آنچه جدید است ناامنترین است.
او به TechNewsWorld گفت: «در حالی که زمان همیشه دوست امنیت نیست، اما به برنامه اجازه میدهد تا آزمایش نبرد شود. وب 3 تفاوتی ندارد. جدید هست و خیلی تست نشده برنامه های قدیمی از مزایای زمان برخوردارند. Web3 اینطور نیست.”
NFT تبدیل به هدف محبوب
این گزارش خاطرنشان کرد، صرف نظر از اینکه کد قابل مشاهده و قابل دسترسی است، مهاجمان نقاط ضعف را پیدا خواهند کرد. توضیح داد که اگرچه وسوسه انگیز است که فرض کنیم حملات به قراردادهای هوشمند و کیف پول های رمزنگاری شده به غرب وحشی مالی غیرمتمرکز محدود می شود، پروژه های NFT به طور فزاینده ای به یک هدف مطلوب تبدیل شده اند.
“چرا اگر راه های آسان تری برای دستیابی به آنچه می خواهید وجود دارد، به سراغ یک هک سخت تر بروید؟” از بنت پرسید. مانند هر مکان دیگری که در آن ارزش معامله می شود، [NFT] بازارها و ابزارهای ارتباطی، کسانی را که می خواهند دزدی کنند یا قوانین را زیر پا بگذارند، جذب می کند.»
او گفت: “در هر کاری که با Web3 انجام شود، سرعت امری اساسی است، و بسیاری از کسانی که درگیر هستند، تخصص لازم را حتی برای ارزیابی آنچه ممکن است یک مشکل امنیتی بالقوه باشد، ندارند.” گاهی اوقات، استارتآپها حتی برای یک رئیس امنیت تبلیغ نمیکنند مگر اینکه اتفاق بدی بیفتد.»
یکی از بزرگترین نقضهای یک بازار NFT در ماه ژوئن در OpenSea رخ داد که حدود 1.8 میلیون آدرس ایمیل را فاش کرد. ریکارد مشاهده کرد: «این مورد خاص شامل یک تهدید داخلی بود، اما برنامههایی که تراکنشها را مدیریت میکنند میتوانند کاملاً آسیبپذیر باشند.
او گفت: “ممکن است صدها هزار راه وجود داشته باشد که می توان از آنها سوء استفاده کرد که کدنویس ها باید سعی کنند آنها را توضیح دهند، اما یک هکر فقط باید یک بردار را کشف کند، یک بار برای رخنه کردن.”
Hangout برای کلاهبرداران
Forrester همچنین گزارش داد که Discord، یک شبکه رسانه اجتماعی، به یک نقطه ضعف اصلی در NFT و سایر پروژه های بلاک چین عمومی تبدیل شده است. حملات فیشینگ موفقیتآمیز به Discord ریشه بسیاری از سرقتهای NFT، اگر نگوییم بیشتر، هستند.
این توضیح داد که حملات معمولاً مدیران و مدیران جامعه را هدف قرار می دهند. هنگامی که یک حساب مدیر با موفقیت تصاحب شد، مهاجمان این فرصت را دارند که در مقیاس بزرگ سرقت کنند، زیرا کاربران تمایل دارند به پیامهای مدیران انجمن اعتماد کنند.
بنت خاطرنشان کرد که Discord اساساً برای یک انجمن ارتباطی برای گیمرها طراحی شده است، نه مکانی برای نگهداری و مبادله ارزش، و مکانیسم هایی برای کاهش ریسک دارد. او گفت: «اما این مکانیسمها تنها در صورتی میتوانند کمک کنند که اجرا شوند، و واضح است که اغلب اوقات اینطور نیست.
او افزود: «همچنین، Discord به عنوان مکانیزم ارتباطی مطلوب برای پروژههای توکن، سهم متناسبی از حملات فیشینگ و پیامهای کلاهبرداری را جذب میکند».
ریکارد اظهار داشت که جوامع Discord منبع غنی اطلاعات برای کلاهبرداران و همچنین سرمایه گذاران است. او گفت: «برداشت اطلاعات تماس شرکتکنندگان منجر به فیشینگ میشود. “هک کردن کیف پول های دیجیتال غیرعادی نیست.”
او افزود: «رباتهای دیسکورد هک شدهاند تا عوامل تهدید بتوانند پیشنهادات ضربکاری جعلی را ارسال کنند که منجر به سرقت ارزهای دیجیتال میشود».
امنیت بهتر از وب قدیمی؟
گزارش Forrester خاطرنشان کرد: در دنیای پر سرعت Web3، نادیده گرفتن امنیت به نفع نوآوری سریع وسوسهانگیز است، اما مسائل امنیتی عمومی میتوانند به راحتی یک راهاندازی بزرگ را از مسیر خارج کنند یا تیم محصول را با وادار کردن آنها به تجزیه و تحلیل و کاهش نقصهای امنیتی حیاتی کند کنند.
شرکتها میتوانند خطرات را شناسایی کرده و از اجزای غیرمتمرکز و متمرکز برنامه Web3 خود با درگیر کردن تیمهای امنیتی خود – نه فقط در چرخه عمر توسعه نرمافزار – بلکه در طول چرخه عمر محصول محافظت کنند.
چیودی اظهار داشت: «Web3 باید تمرکز خود را به سمت چپ تغییر دهد، به این معنی که امنیت را تا حد امکان به توسعه دهندگان نزدیک کند و پیشگیری را به هدف نهایی تبدیل کند. بدون این تمرکز، Web3 هیچ تفاوتی با Web2 نخواهد داشت. با توجه به پتانسیل فوق العاده آن، به ویژه در مورد هویت غیرمتمرکز، شرم آور خواهد بود.»
مارک باور، معاون تولید در Anjuna، یک شرکت محاسباتی محرمانه، در پالو آلتو، کالیفرنیا، افزود: «رویکرد توزیعشده Web3 انواع مختلفی از قابلیتهای امنیتی را ارائه میکند، اما مشکلات اساسی همچنان یکسان هستند».
او به TechNewsWorld گفت: «اگر یک مهاجم به اعتبار، امتیاز سطح ریشه یا کلیدها دسترسی پیدا کند – به ویژه کلیدهای خصوصی که در کل اکوسیستم اجرا میشوند، پس بازی تمام میشود، همانطور که در یک پلتفرم متمرکز خواهد بود.»