Сеть следующего поколения — Web3 — была названа более безопасной, чем нынешнее воплощение киберпространства, но в опубликованном во вторник отчете говорится, что это может быть не так.
Несмотря на то, что Web3, возможно, трудно подменить на уровне инфраструктуры, существуют и другие точки атаки, которые могут предоставить субъектам угроз больше возможностей для злоупотреблений, чем в устаревшей сети, говорится в отчете Forrester, национальной компании по исследованию технологий.
Приложения Web3, включая NFT, не просто уязвимы для атак; они часто представляют собой более широкую поверхность атаки, чем обычные приложения, из-за распределенной природы блокчейн, сообщает Forrester.
Кроме того, добавляет компания, приложения Web3 являются желанными целями, поскольку токены могут стоить значительные суммы денег.
Открытость Web3, которая должна быть одним из его главных преимуществ, может быть и недостатком. «Код, работающий на публичном блокчейне, легко доступен любому человеку, обладающему необходимыми техническими навыками, из любой точки мира — чтобы добраться до него, не нужно преодолевать корпоративную защиту», — заметила вице-президент и главный аналитик Forrester Марта Беннетт, которая также является соавтором отчета.
«Исходный код, как правило, также легко доступен, поскольку использование «умных контрактов» с закрытым исходным кодом не одобряется». В конце концов, этика Web3 — это «открытый код», — сказала она TechNewsWorld.
Нежелательная сложность
Дэвид Рикард, технический директор по Северной Америке компании Cipher, подразделения Prosegur, международной компании по безопасности, объяснил, что Web3 основана на распределенном контроле данных и идентификации пользователей.
«Это расширяет поверхность атаки на людей, которые не хотят или просто не могут управлять своими собственными данными и идентификационными данными, привнося техническую сложность в сферу, где прежде всего желают «простоты использования», — сказал он TechNewsWorld.
«Для отдельных людей выход за рамки обмена текстовыми сообщениями, электронной почты, пролистывания социальных сетей и приложений для покупок является настоящим вызовом», — добавил он.
Идея Web3 о том, чтобы сделать код прозрачным и общедоступным, вряд ли получит реальную поддержку, считает он. «Между инвесторами и пользователями финансовых систем блокчейн и НФТ на кону стоит слишком много денег», — сказал он.
Если сделать код прозрачным и общедоступным, это также может расширить поверхность атаки очевидными способами, продолжает он. «Практика безопасного кодирования, которая предсказывает, как кто-то может использовать систему в корыстных целях, не так широко практикуется», — пояснил он. «Нелегко предсказать, как люди могут использовать системы не по назначению».
«Большинство финансовых потерь, связанных с blockchain и NFT, эксплуатируют не сам неизменяемый объект, а манипулируют им, используя приложения, которые могут на него воздействовать», — сказал он.
Кроме того, хотя унаследованные системы могут быть старыми, они также могут быть надежными. «То, что является новым, также имеет тенденцию быть самым небезопасным», — заявил Мэтт Чиоди, главный специалист по доверию в Cerby, создатель платформы для управления теневыми ИТ, в Сан-Франциско.
«Хотя время не всегда является другом безопасности, оно позволяет приложению пройти проверку боем», — сказал он TechNewsWorld. «Web3 ничем не отличается. Он новый и очень непроверенный. У старых приложений есть преимущество времени. У Web3 его нет».
NFT становится популярной мишенью
Независимо от того, является ли код видимым и доступным, отмечается в отчете, злоумышленники найдут слабые места. В нем поясняется, что, хотя заманчиво полагать, что атаки на смарт-контракты и криптовалютные кошельки ограничиваются Диким Западом децентрализованных финансов, все чаще излюбленной целью становятся проекты NFT.
«Зачем идти на более сложный взлом, если есть более простые способы добиться желаемого?» — спросил Беннетт. «Как и любая другая площадка, где торгуют ценностями, [NFT] рынки и средства коммуникации привлекают тех, кто хочет украсть или иным образом нарушить правила».
«Во всем, что связано с Web3, главное — скорость, а многие из тех, кто этим занимается, не обладают необходимым опытом даже для того, чтобы оценить, что может быть потенциальной проблемой безопасности», — сказала она. «Иногда стартапы даже не дают объявления о поиске руководителя службы безопасности до тех пор, пока не случится что-то плохое».
Одно из крупнейших проникновений на рынок NFT произошло в июне в OpenSea, в результате которого было раскрыто около 1,8 миллиона адресов электронной почты. «В том конкретном случае имела место внутренняя угроза, но приложения, обрабатывающие транзакции, могут быть весьма уязвимы», — заметил Рикард.
«Могут существовать сотни тысяч способов их неправомерного использования, которые программисты должны постараться учесть, но хакеру достаточно обнаружить один вектор, чтобы произошел взлом», — сказал он.
Тусовка для мошенников
Forrester также сообщил, что Discord, социальная сеть, стала основным слабым местом в NFT и других публичных блокчейн-проектах. Успешные фишинговые атаки на Discord лежат в основе многих, если не большинства, краж NFT, продолжает компания.
В сообщении поясняется, что атаки обычно направлены на руководителей сообществ и администраторов. После успешного захвата учетной записи администратора у злоумышленников появляется возможность совершать масштабные кражи, поскольку пользователи склонны доверять сообщениям администраторов сообществ.
Discord был создан в первую очередь как форум для общения геймеров, а не место для хранения и обмена ценностями, отметила Беннетт, и в нем действительно есть механизмы для снижения рисков. «Но эти механизмы могут помочь только в том случае, если они применяются, и очевидно, что слишком часто они не применяются», — сказала она.
«Кроме того, — добавила она, — будучи излюбленным механизмом связи для проектов токенов, Discord привлекает соответствующую долю фишинговых атак и мошеннических сообщений».
Рикард утверждает, что сообщества Discord являются богатым источником информации как для мошенников, так и для инвесторов. «Сбор контактной информации участников приводит к фишингу», — сказал он. «Взломы цифровых кошельков не являются чем-то необычным».
«Боты Discord были взломаны, чтобы угрожающие субъекты могли размещать фальшивые предложения по майнингу, что приводило к краже криптовалюты», — добавил он.
Безопасность лучше, чем в устаревшем Web?
В быстро меняющемся мире Web3 очень соблазнительно игнорировать безопасность в пользу быстрых инноваций, но публичные проблемы безопасности могут легко сорвать крупный запуск или замедлить работу команды разработчиков, заставив их анализировать и устранять критические недостатки безопасности, отмечается в отчете Forrester.
Фирмы могут выявить риски и защитить как децентрализованные, так и централизованные компоненты своих приложений Web3, привлекая свои команды безопасности — не только на этапе разработки программного обеспечения, но и на протяжении всего жизненного цикла продукта, добавляет компания.
«Web3 необходимо сместить фокус влево, то есть максимально приблизить безопасность к разработчикам и сделать профилактику конечной целью», — заметил Чиоди. «Без этого фокуса Web3 в конечном итоге будет ничем не отличаться от Web2. Это было бы обидно, учитывая его огромный потенциал, особенно в области децентрализованной идентификации».
«Распределенный подход Web3 обеспечивает различные виды безопасности, но фундаментальные проблемы остаются теми же», — добавил Марк Боуэр, вице-президент по продуктам компании Anjuna, занимающейся конфиденциальными вычислениями, в Пало-Альто, Калифорния.
«Если злоумышленник получит доступ к учетным данным, привилегиям корневого уровня или ключам — особенно закрытым ключам, которые работают во всей экосистеме, — сказал он TechNewsWorld, — то это конец игры, как и в случае централизованной платформы».
