10 zagrożeń bezpieczeństwa NFT i kryptowalut, wśród których CISO są zmuszeni nawigować

Lista firm akceptujących płatności w kryptowalucie wciąż się rozszerza, więc klienci mogą kupić prawie wszystko, czego chcą: elektronikę, stopnie naukowe i cappuccino. W tym samym czasie rynek niefunkcjonalnych tokenów (NFT) gwałtownie rośnie, a nowi artyści stają się milionerami, a bardziej uznane nazwiska, takie jak Snoop Dogg, Martha Stewart i Grimes, kapitalizują ten trend.

Kryptowaluty i NFT znajdują się w agendzie wielu organizacji, które dyskutują o konsekwencjach Web3 i możliwościach, jakie się z tym wiążą. Ta nowa istotna zmiana w ewolucji Internetu obiecuje decentralizację naszego cyfrowego świata, oferując użytkownikom większą kontrolę i bardziej przejrzysty przepływ informacji.

Zobacz również:

W różnych branżach, firmy dają z siebie wszystko, aby dostosować się do nowego paradygmatu. Ale CISO mają długą listę obaw, począwszy od cyberbezpieczeństwa i oszustw tożsamości, ryzyka bezpieczeństwa na rynku, zarządzania kluczami i danymi oraz prywatności.

Kryptowaluta w każdej formie, w tym NFT, ma zestaw zagrożeń i obaw związanych z bezpieczeństwem, które mogą nie być znane większości firm. „Wymaga szeregu nowych procedur operacyjnych, tworzy ekspozycję na nowy zestaw systemów (publiczne blockchainy) i pociąga za sobą ryzyka, z którymi wiele firm jest mniej zaznajomionych” – mówi nam Doug Schwenk, dyrektor generalny Digital Asset Research.

To, jak CISO myślą o tych kwestiach, może wpłynąć na użytkowników i partnerów biznesowych. „Kompromisy mają natychmiastowy wpływ finansowy albo na firmę, albo na ich użytkowników i/lub kolektorów NFT” – mówi Eliya Stein, starszy inżynier ds. bezpieczeństwa w firmie Confiant.

Oto dziesięć najważniejszych zagrożeń bezpieczeństwa, jakie kryptowaluty i NFT stanowią dla CISO.

1. Integracja protokołów blockchain może być skomplikowana

Blockchain jest stosunkowo nową technologią. W związku z tym włączenie protokołów blockchain do projektu staje się nieco trudne. „Podstawowym wyzwaniem związanym z blockchain jest brak świadomości tej technologii, zwłaszcza w sektorach innych niż bankowość, oraz powszechny brak zrozumienia, jak działa” – wynika z raportu firmy Deloitte. „To hamuje inwestycje i eksplorację pomysłów”.

Firmy powinny dokładnie ocenić każdy wspierany łańcuch pod kątem dojrzałości i przydatności. „Przyjęcie protokołu [blockchain], który jest na wczesnym etapie, może prowadzić do przestojów i zagrożeń bezpieczeństwa, podczas gdy protokoły na późniejszym etapie mają obecnie wyższe opłaty za transakcje” – mówi Schwenk. „Po wybraniu protokołu do obsługi pożądanego zastosowania (takiego jak płatności), może nie być żadnego wsparcia dostępnego od sponsora. Jest to znacznie bardziej podobne do przyjęcia open source, gdzie konkretni dostawcy usług mogą być niezbędni do pełnego wykorzystania wartości”.

2. Zmiana norm dotyczących własności aktywów

Kiedy ktoś kupuje NFT, w rzeczywistości nie kupuje obrazu, ponieważ przechowywanie zdjęć w blockchainie jest niepraktyczne ze względu na ich rozmiar. Zamiast tego to, co użytkownicy nabywają, to pewnego rodzaju „paragon”, który wskazuje im na ten obraz.

Blockchain przechowuje tylko identyfikację obrazu, która może być hashem lub adresem URL. Często wykorzystywany jest protokół HTTP, ale zdecentralizowaną alternatywą dla niego jest Międzyplanetarny System Plików (IPFS). Organizacje, które zdecydują się na IPFS muszą zrozumieć, że węzeł IPFS będzie prowadzony przez firmę, która sprzedaje NFT, a jeśli ta firma zdecyduje się zamknąć sklep, użytkownicy mogą stracić dostęp do obrazu, na który wskazuje NFT. „Chociaż technicznie możliwe jest ponowne załadowanie pliku do IPFS, jest mało prawdopodobne, że zwykły użytkownik będzie w stanie to zrobić, ponieważ proces jest złożony” – mówi niezależny badacz bezpieczeństwa Anatol Prisacaru.”Jednak dobrą stroną jest to, że ze względu na zdecentralizowaną i pozbawioną uprawnień naturę, każdy może to zrobić – nie tylko twórcy projektu”.

3. Ryzyko związane z bezpieczeństwem rynku

Podczas gdy NFT są oparte na technologii blockchain, obrazy lub filmy związane z nimi mogą być przechowywane na scentralizowanej lub zdecentralizowanej platformie. Często z wygody wybiera się model scentralizowany, ponieważ ułatwia on użytkownikom interakcję z cyfrowymi aktywami. Minusem tego rozwiązania jest to, że rynki NFT mogą odziedziczyć podatności Web2. Ponadto, podczas gdy tradycyjne transakcje bankowe są odwracalne, te na blockchainie nie są. „Skompromitowany serwer może przedstawić użytkownikowi mylące informacje podstępnie nakłaniając go do wykonania transakcji, które wydrenują jego portfel” – mówi Prisacaru. Ale włożenie wystarczająco dużo czasu i wysiłku w prawidłowe wykonanie wdrożenia może chronić przed atakami, zwłaszcza jeśli chodzi o korzystanie ze zdecentralizowanej platformy. „Przy prawidłowym wdrożeniu w sposób zdecentralizowany, skompromitowany rynek nie powinien być w stanie ukraść lub zmienić aktywów użytkownika; jednak niektóre rynki ścinają zakręty i poświęcają bezpieczeństwo i decentralizację dla większej kontroli” – tłumaczy Prisacaru.

4. Oszustwo tożsamości i inne oszustwa związane z kryptowalutami

Oszustwa kryptowalutowe są powszechne i często mogą mieć dużą liczbę ofiar. „Oszuści regularnie utrzymują się na szczycie wysoce oczekiwanych wydań NFT i zwykle mają dziesiątki witryn menniczych oszustw gotowych do promowania w tandemie z oficjalną premierą” – mówi Stein. Klienci, którzy padają ofiarą tych oszustw, są często jednymi z najbardziej lojalnych, a to złe doświadczenie może potencjalnie wpłynąć na to, jak postrzegają markę. Dlatego ochrona ich ma kluczowe znaczenie.

Często użytkownicy otrzymują złośliwe e-maile informujące ich, że na jednym z ich kont zauważono podejrzane zachowanie. Są proszeni o podanie swoich danych uwierzytelniających do weryfikacji konta, aby to rozwiązać. Jeśli użytkownik nabierze się na to, jego dane uwierzytelniające są zagrożone. „Każda marka próbująca wejść w przestrzeń NFT skorzystałaby z alokacji zasobów w kierunku monitorowania i łagodzenia przed tego typu atakami phishingowymi” – mówi Stein.

5. Mosty blockchain są rosnącym zagrożeniem

Różne blockchainy mają różne monety i podlegają różnym zasadom. Na przykład, jeśli ktoś ma bitcoina, ale chce wydać Ethereum, potrzebuje połączenia między dwoma blockchainami, które umożliwia transfer aktywów. Most blockchain, czasami nazywany mostem krzyżowym (cross-chain bridge), właśnie tak działa. „Ze względu na ich charakter, zwykle nie są one wdrażane ściśle przy użyciu inteligentnych kontraktów i polegają na komponentach off-chain, które inicjują transakcję na drugim łańcuchu, gdy użytkownik wpłaca aktywa na oryginalnym łańcuchu” – mówi Prisacaru.

Niektóre z największych hacków na kryptowaluty obejmują mosty krzyżowe, w tym Ronin, Poly Network, Wormhole. Na przykład podczas włamania przeciwko gamingowemu blockchainowi Ronin pod koniec marca 2022 roku, napastnicy uzyskali Ethereum i USDC o wartości 625 milionów dolarów. Również podczas ataku na Poly Network w sierpniu 2021 roku haker przeniósł ponad 600 milionów dolarów w tokenach do wielu portfeli kryptowalutowych. Na szczęście w tym przypadku pieniądze zostały zwrócone dwa tygodnie później.

6. Kod powinien być dokładnie testowany i audytowany

Posiadanie dobrego kodu powinno być priorytetem od początku każdego projektu. Prisacaru przekonuje, że deweloperzy powinni być wykwalifikowani i skłonni do zwracania uwagi na szczegóły. W przeciwnym razie wzrasta ryzyko, że padną ofiarą incydentu bezpieczeństwa. Na przykład w ataku Poly Network, atakujący wykorzystał lukę pomiędzy wywołaniami kontraktów. Aby zapobiec incydentowi, zespoły powinny przeprowadzać dokładne testy. Organizacja powinna również zlecić stronie trzeciej przeprowadzenie audytu bezpieczeństwa, chociaż może to być kosztowne i czasochłonne. Audyty oferują systematyczny przegląd kodu, który pomaga zidentyfikować najbardziej znane podatności.

Oczywiście, sprawdzenie kodu jest konieczne, ale niewystarczające, a fakt, że firma zrobiła audyt, nie gwarantuje, że są one poza kłopotami. „Na blockchainie inteligentne kontrakty są zwykle wysoce kompozycyjne, a często twoje kontrakty będą wchodzić w interakcje z innymi protokołami” – mówi Prisacaru. „Firmy mają jednak kontrolę tylko nad własnym kodem, a interakcja z zewnętrznymi protokołami zwiększy ryzyko”.

Zarówno osoby prywatne, jak i firmy mogą zbadać inną aleję zarządzania ryzykiem: ubezpieczenie, które pomaga firmom zmniejszyć koszty hacków smart contractów lub custodianów.

7. Zarządzanie kluczami

„W swoim sercu kryptowaluty to tylko zarządzanie kluczami prywatnymi” – mówi Schwenk. „To brzmi prosto dla wielu firm, a CISO mogą być świadomi problemów i najlepszych praktyk”.

Istnieje kilka dostępnych rozwiązań do zarządzania kluczami. Jednym z nich są sprzętowe portfele, takie jak Trezor, Ledger czy Lattice1. Są to urządzenia USB, które generują i przechowują materiał kryptograficzny na swoich bezpiecznych elementach, uniemożliwiając atakującym dostęp do Twoich kluczy prywatnych, nawet jeśli mają dostęp do Twojego komputera, na przykład za pomocą wirusa/backdoora. Kolejną linią obrony są multi-sigs, które mogą być używane razem z portfelami sprzętowymi. „U swojej podstawy multi-sig to portfel inteligentnych kontraktów, który wymaga, aby transakcje były potwierdzane przez kilku jego właścicieli” – mówi Prisacaru. „Na przykład możesz mieć pięciu właścicieli i wymagać, aby minimum trzy osoby podpisały transakcję, zanim zostanie ona wysłana. W ten sposób atakujący musiałby skompromitować więcej niż jedną osobę, aby skompromitować portfel”.

8. Edukacja pracowników i użytkowników

Organizacje, które chciałyby zintegrować technologie Web3, muszą przeszkolić swoich pracowników, ponieważ do przeprowadzania transakcji na różnych blockchainach potrzebne są nowe narzędzia. „Handel dla aktywów cyfrowych może wydawać się znajomy dla tradycyjnego handlu elektronicznego, ale narzędzia i wtyczki do przeglądarek potrzebne do biegłości w tym nowym świecie są zupełnie inne niż to, do czego przyzwyczajone są zespoły finansowe” – mówi Aaron Higbee, współzałożyciel i CTO firmy Cofense. Podczas gdy każda firma musi się martwić o ataki phishingowe oparte na wiadomościach e-mail, pracownicy, którzy mają do czynienia z zasobami cyfrowymi, mogą być częściej celem ataków. Celem szkoleń jest upewnienie się, że wszyscy w zespole stosują najnowsze najlepsze praktyki i dobrze rozumieją zasady bezpieczeństwa. Oded Vanunu, szef badań nad podatnością produktów w Check Point, mówi, że zauważył dużą lukę w wiedzy na temat kryptowalut, co może sprawić, że sprawy będą „nieco chaotyczne” dla niektórych firm. „Organizacje, które chciałyby zintegrować technologie Web3 muszą zrozumieć, że te projekty muszą mieć głębokie przeglądy bezpieczeństwa i zrozumienie bezpieczeństwa, co oznacza, że muszą zrozumieć liczby i implikacje, które mogą się zdarzyć” – mówi.

Niektóre organizacje, które nie chcą zajmować się zarządzaniem kluczami prywatnymi, decydują się na użycie scentralizowanego systemu, co czyni je podatnymi na problemy bezpieczeństwa Web2. „Namawiam, że jeśli integrują technologie Web3 ze swoim Web2, musi to być projekt, który będzie miał głęboki przegląd bezpieczeństwa i najlepsze praktyki bezpieczeństwa, które muszą być wdrożone” – mówi Vanunu.

9. Trwałość NFT i zdecentralizowanych aplikacji Web3

Wiele przedsiębiorstw wyczerpie produkty, które już nie służą ich potrzebom, ale to zwykle nie jest dostępne dla aktywów wspieranych przez blockchain, jeśli są one wykonane prawidłowo. „NFT nie powinny być traktowane jako jednorazowy wysiłek marketingowy” – mówi Stein. „Jeśli sam NFT nie jest na łańcuchu, teraz jest obciążenie dla firmy, aby utrzymać go w nieskończoność. Jeśli projekt staje się dzikim sukcesem, wtedy firma bierze na siebie poważne zadanie wspierania kolekcjonerów tych NFT w odniesieniu do wpadek, oszustw, itp.”

Jednym z wirusowych projektów jest ten uruchomiony przez rząd Ukrainy, który sprzedawał NFT oparte na osi czasu wojny. „Miejsce do zachowania pamięci o wojnie. I miejsce do świętowania ukraińskiej tożsamości i wolności”, zgodnie z tweetem Mychajło Fedorowa, wicepremiera Ukrainy i ministra transformacji cyfrowej. Entuzjaści NFT zareagowali pozytywnie, mówiąc, że chcą kupić kawałek historii i wspierać Ukrainę. Ich oczekiwaniem jest jednak, aby projekt był podtrzymywany.

10. Blockchain nie zawsze jest właściwym narzędziem

Nowe technologie są zawsze ekscytujące, ale przed wykonaniem skoku organizacje powinny zapytać, czy rzeczywiście rozwiązują problem i czy jest to właściwy czas na ich przyjęcie. Projekty oparte na Blockchainie mają potencjał, aby zmienić firmy na lepsze, ale mogą również drenować zasoby, przynajmniej w początkowej fazie. „Wyważenie ryzyka/zysku będzie ważną częścią decyzji, a odpowiednie zasilanie wysiłków związanych z bezpieczeństwem, zarówno przy przyjmowaniu, jak i na bieżąco, jest krytyczne” – mówi Schwenk. „Ocena ryzyka/zysku w przypadku tych nowych ekspozycji może (jeszcze) nie być podstawową kompetencją, a łatwo jest dać się złapać na szum, który jest często związany z kryptowalutami”.

Źródło: CSO

Zgłoś naruszenie/Błąd