تکنولوژی

Forrester گزارش هشدارهای امنیتی Web3

2022-08-17
0 5 دقیقه قبل خوانده شده

شبکه نسل بعدی – Web3 – به عنوان ایمن تر از تجسم فعلی فضای مجازی مورد استقبال قرار گرفته است، اما گزارشی که روز سه شنبه منتشر شد هشدار می دهد که ممکن است اینطور نباشد.

طبق گزارش Forrester، یک شرکت ملی تحقیقات فناوری، در حالی که تضعیف Web3 در سطح زیرساخت دشوار است، نقاط حمله دیگری نیز وجود دارند که می‌توانند فرصت‌های بیشتری برای تهدیدها نسبت به شبکه‌های قدیمی پیدا کنند.

برنامه های Web3، از جمله NFT، فقط در برابر حمله آسیب پذیر نیستند. Forrester گزارش داد که به دلیل ماهیت توزیع شده بلاک چین، آنها اغلب سطح حمله گسترده تری نسبت به کاربردهای معمولی دارند.

علاوه بر این، برنامه های Web3 اهداف مطلوبی هستند زیرا توکن ها می توانند ارزش پول قابل توجهی داشته باشند.

باز بودن Web3 که قرار است یکی از مزیت های اصلی آن باشد نیز می تواند مضر باشد. مارتا بنت، معاون رئیس و تحلیلگر اصلی Forrester، خاطرنشان کرد: “کدهای اجرا شده بر روی یک بلاک چین عمومی برای هر کسی که مهارت های فنی لازم را در هر نقطه از جهان دارد به راحتی قابل دسترسی است – برای رسیدن به آن نیازی به نفوذ به سیستم های دفاعی شرکت ندارید.” همچنین یکی از نویسندگان گزارش.

«کد منبع نیز معمولاً به آسانی در دسترس است، زیرا اجرای «قراردادهای هوشمند» منبع بسته مورد تردید قرار می‌گیرد. او به دیجیتال تو گفت که اخلاق Web3 در نهایت “متن باز” است.

فهرست مطالب پنهان
پیچیدگی ناخواسته
NFT ها در حال تبدیل شدن به یک هدف محبوب هستند
پاتوق کلاهبرداران
امنیت بهتر از شبکه قدیمی؟

پیچیدگی ناخواسته

دیوید ریکارد، CTO آمریکای شمالی در Cipher، بخشی از Prosegur، یک شرکت امنیتی چند ملیتی، توضیح داد که Web3 بر اساس کنترل توزیع شده داده ها و هویت توسط کاربرانش است.

او به دیجیتال تو گفت: «این سطح حمله را برای افرادی که ممکن است تمایلی به مدیریت داده‌ها و هویت خود نداشته باشند یا به سادگی قادر به مقابله با داده‌ها و هویت خود نباشند، گسترده‌تر می‌کند و پیچیدگی‌های فنی را وارد عرصه‌ای می‌کند که بیش از هر چیز «آسانی استفاده» را می‌خواهد.»

مطلب پیشنهادی:  متا برای سرعت بخشیدن به فراجهان کار می کند، اما موفقیت قطعی نیست

او افزود: «افراد، فراتر از ارسال پیامک، ایمیل و پیمایش در رسانه‌های اجتماعی و اپلیکیشن‌های خرید، یک چالش واقعی برای آنهاست.»

او استدلال کرد که ایده Web3 مبنی بر شفاف سازی و در دسترس قرار دادن کدها برای عموم، بعید است که مورد توجه واقعی قرار گیرد. او گفت: “بین سرمایه گذاران سهام و کاربران سیستم های مالی بلاک چین و NFTها، پول زیادی در خطر است.”

او ادامه داد که شفاف کردن و عمومی کردن کد می‌تواند سطح حمله را به روش‌های آشکار گسترش دهد. او توضیح داد: «روش‌های کدگذاری امنی که پیش‌بینی می‌کنند چگونه ممکن است کسی از سیستم برای سودهای ناعادلانه سوء استفاده کند، اغلب اعمال نمی‌شوند. پیش‌بینی اینکه چگونه افراد ممکن است از سیستم‌ها برای مقاصدی غیر از اهداف مورد نظر استفاده کنند، آسان نیست.

او گفت: “بیشتر زیان های مالی مربوط به بلاک چین و NFT ها از خود شیء تغییرناپذیر سوء استفاده نمی کنند، بلکه آنها را با بهره برداری از برنامه هایی که می توانند بر آنها تاثیر بگذارند، دستکاری می کنند.”

همچنین، اگرچه سیستم‌های قدیمی ممکن است قدیمی باشند، اما ممکن است پایدار باشند. مت چیودی، مدیر ارشد اعتماد در Cerby، سازنده پلتفرم مدیریت فناوری اطلاعات Shadow، در سانفرانسیسکو، گفت: «موضوع جدید نیز نامطمئن ترین است.

او به دیجیتال تو گفت: «در حالی که زمان همیشه دوست امنیت نیست، اما به برنامه اجازه می‌دهد تا در نبرد آزمایش شود. وب 3 تفاوتی ندارد. نو و بسیار تست نشده است. برنامه های قدیمی مزیت زمان را دارند. Web3 اینطور نیست.”

NFT ها در حال تبدیل شدن به یک هدف محبوب هستند

این گزارش خاطرنشان می کند، صرف نظر از اینکه کد قابل مشاهده و قابل دسترسی است، مهاجمان نقاط ضعف را پیدا خواهند کرد. او توضیح داد که اگرچه وسوسه انگیز است که فرض کنیم حملات به قراردادهای هوشمند و کیف پول های رمزنگاری شده به غرب وحشی مالی غیرمتمرکز محدود می شود، پروژه های NFT به طور فزاینده ای به یک هدف ترجیحی تبدیل می شوند.

مطلب پیشنهادی:  ناسا حقیقت ترسناک پشت Cannibal CME را فاش می کند: بدترین عامل طوفان خورشیدی زمین

بنت پرسید: «اگر راه‌های آسان‌تری برای رسیدن به خواسته‌هایتان وجود دارد، چرا به یک هک سخت‌تر متوسل شوید؟» “مثل هر مکان دیگری که ارزش معامله می شود، [NFT] بازارها و ابزارهای ارتباطی کسانی را که می خواهند دزدی کنند یا قوانین را زیر پا بگذارند جذب می کند.

او گفت: “در هر چیزی که به Web3 مربوط می شود، سرعت بسیار مهم است و بسیاری از افراد درگیر فاقد تخصص هستند که حتی در مورد آنچه ممکن است یک مشکل امنیتی بالقوه باشد.” گاهی اوقات استارت آپ ها حتی یک افسر ارشد امنیتی را اعلام نمی کنند تا زمانی که اتفاق بدی بیفتد.

یکی از بزرگترین نقض‌های موجود در بازار NFT در ماه ژوئن در OpenSea رخ داد که حدود 1.8 میلیون آدرس ایمیل را فاش کرد. ریکارد خاطرنشان کرد: “این مورد خاص شامل یک تهدید داخلی است، اما تراکنش های پردازش برنامه ها می توانند کاملا آسیب پذیر باشند.”

او گفت: «به طور بالقوه صدها هزار راه وجود دارد که می توان از آنها سوء استفاده کرد که برنامه نویسان باید سعی کنند آن ها را توضیح دهند، اما یک هکر فقط باید یک بار یک بار برای رخنه کردن یک بردار پیدا کند.

پاتوق کلاهبرداران

Forrester همچنین گزارش داد که Discord، یک شبکه رسانه اجتماعی، به یک نقطه ضعف اصلی در NFT و سایر پروژه های بلاک چین عمومی تبدیل شده است. حملات فیشینگ موفقیت‌آمیز علیه Discord ریشه بسیاری از سرقت‌های NFT هستند، اما همچنان ادامه دارد.

او توضیح داد که حملات معمولاً مدیران و مدیران جامعه را هدف قرار می دهند. هنگامی که یک حساب مدیر با موفقیت ربوده شد، مهاجمان این فرصت را دارند که در مقیاس بزرگ سرقت کنند، زیرا کاربران تمایل دارند به پیام‌های مدیران انجمن اعتماد کنند.

بنت خاطرنشان کرد، Discord اساساً برای یک انجمن ارتباطی برای گیمرها طراحی شده است، نه مکانی برای نگهداری و تبادل ارزش، و مکانیسم‌هایی برای کاهش ریسک در نظر گرفته شده است. او گفت: «اما این مکانیسم‌ها تنها در صورتی می‌توانند کمک کنند که اجرا شوند، و واضح است که اغلب اوقات چنین نیستند.

مطلب پیشنهادی:  پس از اخراج ماسک حدود 500 شغل در تیم سوپرچارجر، سهام تسلا سقوط کرد

او افزود: «همچنین، Discord به عنوان مکانیسم ارتباطی ترجیحی برای پروژه‌های توکن، سهم متناسبی از حملات فیشینگ و پیام‌های جعلی را جذب می‌کند.»

ریکارد معتقد است که جوامع Discord منبع غنی از اطلاعات را برای کلاهبرداران و همچنین سرمایه گذاران فراهم می کند. او گفت: «برداشت اطلاعات تماس شرکت کنندگان منجر به فیشینگ می شود. هک کیف پول های دیجیتال غیر معمول نیست.

او افزود: «ربات‌های Discord هک شده‌اند تا عوامل تهدید بتوانند پیشنهادات ماینینگ جعلی را که منجر به سرقت ارزهای دیجیتال می‌شود، ارسال کنند».

امنیت بهتر از شبکه قدیمی؟

در این گزارش اشاره می‌شود که در دنیای پرشتاب Web3، نادیده گرفتن امنیت به نفع نوآوری سریع وسوسه‌انگیز است، اما مسائل امنیت عمومی به راحتی می‌تواند راه‌اندازی بزرگ را از مسیر خارج کند یا تیم محصول را کند کند و آنها را مجبور به تجزیه و تحلیل و کاهش آسیب‌پذیری‌های امنیتی حیاتی کند. از فارستر

شرکت‌ها می‌توانند با درگیر کردن تیم‌های امنیتی خود – نه فقط در چرخه عمر توسعه نرم‌افزار – بلکه در طول چرخه عمر محصول، خطرات را شناسایی کرده و از اجزای غیرمتمرکز و متمرکز برنامه Web3 خود محافظت کنند.

چیودی خاطرنشان کرد: «Web3 باید تمرکز خود را به سمت چپ تغییر دهد، که به معنای نزدیک کردن امنیت تا حد امکان به توسعه‌دهندگان و تبدیل پیشگیری به هدف نهایی است. “بدون این تمرکز، Web3 هیچ تفاوتی با Web2 نخواهد داشت.” با توجه به پتانسیل عظیم آن، به ویژه در مورد هویت غیرمتمرکز، شرم آور خواهد بود.

مارک بائر، معاون محصولات در Anjuna، یک شرکت محاسباتی حریم خصوصی، در پالو آلتو، کالیفرنیا، افزود: «رویکرد توزیع‌شده Web3 انواع مختلفی از قابلیت‌های امنیتی را ارائه می‌کند، اما مسائل اساسی یکسان باقی می‌مانند».

او به دیجیتال تو گفت: «اگر یک هکر به اعتبار، امتیاز ریشه یا کلیدها دسترسی پیدا کند – به ویژه کلیدهای خصوصی که در کل اکوسیستم اجرا می شوند، پس بازی تمام شده است، درست مانند یک پلتفرم متمرکز.

2022-08-17
0 5 دقیقه قبل خوانده شده

نوشته های مشابه

پاسخ Wordle 429 برای 22 آگوست: هفته کاری تازه شروع شده است، 5 نکته برتر Wordle را از اینجا دریافت کنید

2022-08-22

گردآوری هوش مصنوعی 12 آوریل: هوش مصنوعی اخلاقی Firefly Adobe سوالاتی را ایجاد می کند که توسط تبلیغات سیاسی هوش مصنوعی در اینستاگرام و موارد دیگر ایجاد شده است.

2024-04-13

تصویر روز نجوم ناسا 31 ژانویه 2023: دنباله دار سبز ZTF بر فراز اسپانیا

2023-01-31

وب به طور تصادفی کوچکترین سیارک کمربند اصلی را کشف کرد: ناسا

2023-02-09

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا