الأمن الإلكترونيالعملات الإلكترونية

10 تهديدات أمنية لـ NFT والعملات المشفرة يجب على CISOs مواجهتها 

10 تهديدات أمنية لـ NFT والعملات المشفرة يجب على CISOs مواجهتها 

يمكن للتقنيات اللامركزية أن ترفع مستوى القلق لدى CISOs ، ولكن هناك طرقًا لتجنب المخاطر الأمنية.


10 مخاطر أمنية تتعلق بـ NFT والعملات المشفرة التي يتعين على CISO مواجهتها
صور رومانوفسكي / جيتي
 

تتزايد باستمرار قائمة الشركات التي تقبل مدفوعات العملات المشفرة ، وبفضل ذلك يمكن للعملاء شراء أي شيء يريدونه تقريبًا: الإلكترونيات والدبلومات والكابتشينو.

في الوقت نفسه ، يزدهر سوق الرموز غير القابلة للتداول (NFT) مع تحول الفنانين الناشئين إلى أصحاب الملايين ، مع استفادة أسماء أكثر رسوخًا مثل Snoop Dogg و Martha Stewart و Grimes من هذا الاتجاه.

العملات المشفرة و NFTs مدرجة على جدول أعمال العديد من المنظمات لأنها تناقش الآثار المترتبة على Web3 والفرص التي تجلبها.

يعد هذا التحول الكبير الجديد في تطور الإنترنت بإضفاء اللامركزية على عالمنا الرقمي ، مما يوفر للمستخدمين تحكمًا أكبر وتدفقًا أكثر شفافية للمعلومات.

تحقق أيضًا من:

تبذل الشركات من مختلف الصناعات قصارى جهدها للتكيف مع النموذج الجديد.

ومع ذلك ، فإن قائمة مخاوف CISO طويلة ، وتتراوح من الأمن السيبراني والاحتيال في الهوية إلى تهديدات أمان السوق وإدارة المفاتيح والبيانات والخصوصية.

تحمل العملات المشفرة بأي شكل من الأشكال ، بما في ذلك NFT ، عددًا من المخاطر ومشكلات الأمان التي قد لا تكون مألوفة لمعظم الشركات.

يقول دوج شوينك ، الرئيس التنفيذي لبحوث الأصول الرقمية: “إنها تتطلب عددًا من الإجراءات التشغيلية الجديدة ، وتعرضك لمجموعة جديدة من الأنظمة (سلاسل الكتل العامة) ، وتنطوي على مخاطر لا تعرفها العديد من الشركات”.

يمكن أن تؤثر طريقة تفكير CISOs حول هذه المشكلات على المستخدمين وشركاء الأعمال.

يقول إيليا شتاين ، كبير مهندسي الأمن في شركة Confiant: “للتسوية عواقب مالية فورية على الشركة ومستخدميها و / أو جامعي NFT”.

فيما يلي أهم عشرة تهديدات أمنية تشكلها العملات المشفرة و NFT على CISOs.

1. يمكن أن يكون تكامل بروتوكولات blockchain معقدًا

Blockchain هي تقنية جديدة نسبيًا. على هذا النحو ، يصبح دمج بروتوكولات blockchain في المشروع أمرًا صعبًا بعض الشيء.

قال ديلويت في تقرير: “التحدي الرئيسي في blockchain هو الافتقار إلى الوعي بالتكنولوجيا ، خاصة في القطاعات الأخرى غير المصرفية ، والافتقار الواسع لفهم كيفية عملها”.

“هذا يجعل من الصعب الاستثمار واستكشاف الأفكار.”

يجب على الشركات تقييم كل سلسلة مدعومة بعناية من أجل النضج والملاءمة.

يقول شوينك: “إن اعتماد بروتوكول [blockchain] في مراحله الأولى يمكن أن يؤدي إلى تعطل ومخاطر أمنية ، في حين أن بروتوكولات المرحلة اللاحقة لديها حاليًا رسوم معاملات أعلى”.

“بمجرد اختيار بروتوكول للاستخدام المطلوب (مثل الدفع) ، قد لا يتمكن الراعي من تقديم أي دعم. إنه أشبه بتبني المصدر المفتوح حيث قد تكون هناك حاجة إلى مزودي خدمة محددين لإدراك القيمة بشكل كامل “.

2. تغيير معايير ملكية الأصول

عندما يشتري شخص ما NFT ، فإنه لا يشتري بالفعل صورة لأنه من غير العملي تخزين الصور على blockchain نظرًا لحجمها.

بدلاً من ذلك ، يتلقى المستخدمون نوعًا من الإيصال يوضح لهم الطريق إلى الصورة.

يتم تخزين تعريف الصورة فقط في blockchain ، والذي يمكن أن يكون تجزئة أو عنوان URL. غالبًا ما يتم استخدام HTTP ، ولكن البديل اللامركزي هو نظام الملفات بين الكواكب (IPFS).

يجب أن تدرك المنظمات التي تختار IPFS أن عقدة IPFS ستدار من قبل الشركة التي تبيع NFT ، وإذا قررت هذه الشركة إغلاق المتجر ، فقد يفقد المستخدمون الوصول إلى الصورة التي يشير إليها NFT.

يقول الباحث الأمني ​​المستقل أناتول بريساكارو: “في حين أنه من الممكن تقنيًا إعادة تحميل ملف إلى IPFS ، فمن غير المرجح أن يتمكن المستخدم العادي من القيام بذلك لأن العملية معقدة”.

“ومع ذلك ، فإن الجزء الجيد هو أنه نظرًا لطبيعته اللامركزية والضعيفة ، يمكن لأي شخص القيام بذلك – وليس فقط مطوري المشروع.”

3. مخاطر أمن السوق

على الرغم من أن NFTs تعتمد على تقنية blockchain ، يمكن تخزين الصور أو مقاطع الفيديو المرتبطة بها على منصة مركزية أو لا مركزية.

في كثير من الأحيان ، للراحة ، يتم اختيار نموذج مركزي لأنه يسهل على المستخدمين التفاعل مع الأصول الرقمية. عيب هذا النهج هو أن أسواق NFT قد ترث نقاط ضعف Web2.

أيضًا ، في حين أن المعاملات المصرفية التقليدية قابلة للعكس ، فإن تلك الموجودة على blockchain ليست كذلك.

يقول بريساكارو: “يمكن للخادم المخترق أن يقدم معلومات مضللة للمستخدم ، ويخدعه لإجراء معاملات من شأنها أن تستنزف محفظته”.

ومع ذلك ، فإن إنفاق القدر المناسب من الوقت والجهد على التنفيذ الصحيح للنظام يمكن أن يحمي من الهجمات ، خاصة عندما يتعلق الأمر باستخدام نظام أساسي لامركزي.

يقول بريساكارو: “ومع ذلك ، فإن بعض الأسواق تقطع الزوايا وتضحي بالأمن واللامركزية من أجل سيطرة أكبر”.

4. الاحتيال على الهوية والاحتيال بالعملات المشفرة

تعتبر عمليات الاحتيال المتعلقة بالعملات المشفرة شائعة ويمكن أن يقع عدد كبير من الأشخاص ضحية لها. يقول Stein: “يتابع المحتالون بانتظام عمليات إطلاق NFT المرتقبة ولديهم عادةً عشرات من مواقع النعناع الاحتيالية الجاهزة للترويج جنبًا إلى جنب مع الإطلاق الرسمي”.

غالبًا ما يكون العملاء الذين يقعون ضحية لعمليات الاحتيال هذه من أكثر العملاء ولاءً ، ويمكن أن تؤثر مثل هذه التجارب السيئة على كيفية إدراكهم لعلامة تجارية معينة.

لذلك ، فإن حمايتهم أمر بالغ الأهمية.

في كثير من الأحيان ، يتلقى المستخدمون رسائل بريد إلكتروني ضارة تفيد بملاحظة سلوك مشبوه في أحد حساباتهم. لحل هذه المشكلة ، يُطلب منهم تقديم بيانات اعتمادهم للتحقق من الحساب.

إذا وقع المستخدم في ذلك ، فإن بيانات اعتماده في خطر. يقول شتاين: “ستستفيد أي علامة تجارية تحاول الدخول إلى مجال NFT من تخصيص الموارد لمراقبة وتخفيف هذه الأنواع من هجمات التصيد الاحتيالي”.

5. تشكل جسور Blockchain تهديدًا متزايدًا

سلاسل الكتل المختلفة لها عملات مختلفة وتخضع لقواعد مختلفة. على سبيل المثال ، إذا كان شخص ما يمتلك Bitcoin ولكنه يريد إنفاق Ethereum ، فإنه يحتاج إلى رابط بين مجموعتي blockchain التي تتيح نقل الأصول.

جسر blockchain ، الذي يسمى أحيانًا جسر عبر السلسلة ، يفعل ذلك بالضبط. يقول بريساكارو: “بحكم طبيعتها ، لا يتم تنفيذها بشكل صارم باستخدام العقود الذكية وتعتمد على المكونات خارج السلسلة التي تبدأ معاملة في السلسلة الثانية عندما يقوم المستخدم بإيداع الأصول في السلسلة الأصلية”.

تتضمن بعض أكبر عمليات اختراق العملة المشفرة جسورًا متعددة السلاسل مثل Ronin و Poly Network و Wormhole.

على سبيل المثال ، أثناء اختراق blockchain لألعاب Ronin في أواخر مارس 2022 ، استولى المهاجمون على Ethereum و USDC بقيمة 625 مليون دولار.

أيضًا أثناء الهجوم على شبكة Poly Network في أغسطس 2021 ، قام المتسلل بتحويل أكثر من 600 مليون دولار من الرموز المميزة إلى محافظ متعددة للعملات المشفرة.

لحسن الحظ ، في هذه الحالة ، تمت إعادة الأموال بعد أسبوعين.

6. يجب اختبار ومراجعة التعليمات البرمجية بدقة

يجب أن يكون وجود رمز جيد أولوية من بداية أي مشروع. يجادل بريساكارو بأن المطورين يجب أن يكونوا ماهرين وراغبين في الاهتمام بالتفاصيل.

خلاف ذلك ، يزداد خطر الوقوع ضحية لحادث أمني. على سبيل المثال ، في الهجوم على شبكة Poly Network ، استغل المهاجم فجوة بين مكالمات العقد.

لمنع وقوع حادث ، يجب على الفرق إجراء اختبارات شاملة. يجب أن يكون لدى المنظمة أيضًا طرف ثالث يقوم بإجراء تدقيق أمني ، على الرغم من أن هذا قد يكون مكلفًا ويستغرق وقتًا طويلاً.

تقدم عمليات التدقيق مراجعة نظامية للكود تساعد في تحديد أكثر نقاط الضعف شهرة.

بالطبع ، التحقق من الكود ضروري ، لكنه ليس كافيًا ، وحقيقة أن الشركة أجرت تدقيقًا لا يضمن أنها لن تواجه مشاكل. يقول بريساكارو: “في blockchain ، تميل العقود الذكية إلى أن تكون معقدة للغاية وتتفاعل غالبًا مع بروتوكولات أخرى”.

“ومع ذلك ، فإن المؤسسات فقط تتحكم في التعليمات البرمجية الخاصة بها ، والتفاعل مع البروتوكولات الخارجية يزيد من المخاطر.”

يمكن لكل من الأفراد والشركات استكشاف وسيلة أخرى لإدارة المخاطر: التأمين الذي يساعد الشركات على تقليل تكلفة العقود الذكية أو الاختراقات الوصاية.

7. مفتاح الإدارة

“في قلب العملات المشفرة هو ببساطة إدارة المفتاح الخاص. يقول شوينك: “يبدو الأمر بسيطًا للعديد من الشركات ، ويمكن لمدراء أمن المعلومات أن يكونوا على دراية بالقضايا وأفضل الممارسات”.

هناك العديد من حلول الإدارة الرئيسية المتاحة.

إحداها هي محافظ الأجهزة مثل Trezor أو Ledger أو Lattice1. هذه هي أجهزة USB تقوم بإنشاء وتخزين مواد تشفير على مكوناتها الآمنة ، مما يمنع المهاجمين من الوصول إلى المفاتيح الخاصة حتى عندما يكون لديهم وصول إلى الكمبيوتر ، على سبيل المثال عبر فيروس / باب خلفي.

خط دفاع آخر هو متعدد التشكيلات التي يمكن استخدامها مع محافظ الأجهزة. يقول بريساكارو: “تعد Multi-sig محفظة عقد ذكية تتطلب تأكيد المعاملات من قبل العديد من مالكيها”.

“على سبيل المثال ، يمكن أن يكون لديك خمسة مالكين وأن تطلب من ثلاثة أشخاص على الأقل توقيع معاملة قبل إرسالها. بهذه الطريقة ، سيتعين على المهاجم التنازل عن أكثر من شخص لتسوية المحفظة “.

8. تعليم المستخدم والمستخدم

تحتاج المنظمات التي ترغب في دمج تقنيات Web3 إلى تدريب موظفيها لأن هناك حاجة إلى أدوات جديدة لإجراء المعاملات على سلاسل الكتل المختلفة.

يقول آرون هيجبي ، الشريك المؤسس ورئيس قسم التكنولوجيا من Cofense.

على الرغم من أن كل شركة تحتاج إلى القلق بشأن هجمات التصيد الاحتيالي المستندة إلى البريد الإلكتروني ، فقد يكون الموظفون الذين يتعاملون مع الأصول الرقمية أكثر عرضة للاستهداف.

الغرض من التدريب هو التأكد من أن كل فرد في الفريق يستخدم أحدث الممارسات وأن يكون لديه فهم جيد لمبادئ الأمان. يقول أوديد فانونو ، رئيس أبحاث ثغرات المنتجات في Check Point ، إنه لاحظ وجود فجوة كبيرة في المعرفة حول العملات المشفرة ، مما قد يجعل الأمور “فوضوية بعض الشيء” بالنسبة لبعض الشركات.

يقول: “تحتاج المنظمات التي ترغب في دمج تقنيات Web3 إلى فهم أن هذه المشاريع تحتاج إلى نظرة عامة عميقة للأمان وفهم للأمان ، مما يعني أنها بحاجة إلى فهم الأرقام والآثار التي يمكن أن تحدث”.

تختار بعض المؤسسات التي لا ترغب في إدارة المفاتيح الخاصة استخدام نظام مركزي ، مما يجعلها عرضة لمشاكل أمان Web2.

يقول فانونو: “إنني أطالب بدمج Web3 مع تقنيات Web2 ليكون مشروعًا يتم فيه إجراء تحليل أمني متعمق وتنفيذ أفضل الممارسات الأمنية”.

9. استمرار استخدام NFT وتطبيقات Web3 اللامركزية

تتخلى العديد من الشركات عن المنتجات التي لم تعد تخدم احتياجاتها ، ولكن هذا ليس هو الحال عادةً مع الأصول المستندة إلى blockchain إذا تم تنفيذها بشكل صحيح.

يقول شتاين: “لا ينبغي اعتبار NFTs على أنها جهد تسويقي لمرة واحدة”.

“إذا لم تكن NFT نفسها في السلسلة ، فإن العبء يقع على عاتق الشركة للحفاظ عليها في جميع الأوقات. إذا كان المشروع ناجحًا للغاية ، فإن الشركة تأخذ على عاتقها مهمة جادة تتمثل في دعم جامعي هذه NFTs في حالة وقوع حوادث مؤسفة ، وعمليات احتيال ، وما إلى ذلك.

أحد هذه المشاريع الفيروسية هو أحد المشاريع التي أطلقتها الحكومة الأوكرانية والتي باعت NFT على أساس جدول زمني للحرب.

مكان تحفظ فيه ذكرى الحرب. مكان للاحتفال بالهوية والحرية الأوكرانية “، يقرأ تغريدة كتبها ميخايلو فيدوروف ، نائب رئيس الوزراء الأوكراني ووزير التحول الرقمي.

استجاب عشاق NFT بشكل إيجابي ، قائلين إنهم يريدون شراء قطعة من التاريخ ودعم أوكرانيا. ومع ذلك ، فإنهم يتوقعون استمرار المشروع.

10. Blockchain ليس الأداة الصحيحة دائمًا

دائمًا ما تكون التقنيات الجديدة مثيرة ، ولكن قبل تقديمها ، يجب على المؤسسات أن تسأل نفسها ما إذا كانت قد قامت بالفعل بحل المشكلة وما إذا كان هذا هو الوقت المناسب لاعتمادها. تمتلك المشاريع القائمة على Blockchain القدرة على تغيير الشركات للأفضل ، ولكن يمكن أيضًا أن تكون كثيفة الاستخدام للموارد ، على الأقل في المرحلة الأولية.

سيكون تقييم نسبة المخاطر إلى الفوائد جزءًا مهمًا من القرار ، كما أن التمويل الكافي للأنشطة المتعلقة بالأمن ، سواء في مرحلة التنفيذ أو أثناء تنفيذها ، أمر بالغ الأهمية.

قد لا يكون تقييم نسبة المخاطرة والفائدة لهذه التهديدات الجديدة كفاءة أساسية (حتى الآن) ، ومن السهل الوقوع في الضجيج الذي غالبًا ما يرتبط بالعملات المشفرة “، يستنتج شوينك.

المصدر: CSO

مقالات ذات صلة

زر الذهاب إلى الأعلى