10 NFT e minacce alla sicurezza delle criptovalute che i CISO devono affrontare 

 

L’elenco delle aziende che accettano pagamenti in criptovaluta è in costante crescita, grazie al quale i clienti possono acquistare quasi tutto ciò che desiderano: elettronica, diplomi, cappuccini.

Allo stesso tempo, il mercato dei token non negoziabili ( NFT ) è in forte espansione mentre gli artisti emergenti diventano milionari, con nomi più affermati come Snoop Dogg, Martha Stewart e Grimes che sfruttano la tendenza.

Le criptovalute e gli NFT sono all’ordine del giorno di molte organizzazioni mentre discutono delle implicazioni di Web3 e delle opportunità che offre.

Questo nuovo grande cambiamento nell’evoluzione di Internet promette di decentralizzare il nostro mondo digitale, fornendo agli utenti un maggiore controllo e un flusso di informazioni più trasparente.

Controlla anche:

Le aziende di vari settori stanno facendo del loro meglio per adattarsi al nuovo paradigma.

Tuttavia, l’elenco delle preoccupazioni dei CISO è lungo e spazia dalla sicurezza informatica e dalle frodi di identità alla sicurezza del mercato, alla gestione delle chiavi, alle minacce ai dati e alla privacy.

La criptovaluta in qualsiasi forma, incluso NFT, comporta una serie di rischi e problemi di sicurezza che la maggior parte delle aziende potrebbe non conoscere.

“Richiede una serie di nuove procedure operative, ti espone a un nuovo set di sistemi (blockchain pubbliche) e comporta rischi di cui molte aziende non sono a conoscenza”, afferma Doug Schwenk, CEO di Digital Asset Research.

Il modo in cui i CISO pensano a questi problemi può influenzare utenti e partner commerciali.

“L’accordo ha conseguenze finanziarie immediate per l’azienda, i suoi utenti e/o i raccoglitori di NFT”, afferma Ilya Stein, ingegnere capo della sicurezza di Confiant.

Ecco le dieci principali minacce alla sicurezza che criptovalute e NFT rappresentano per i CISO.

1. L’integrazione dei protocolli blockchain può essere complessa

Blockchain è una tecnologia relativamente nuova. Pertanto, l’integrazione dei protocolli blockchain nel progetto diventa un po’ complicata.

“La principale sfida con la blockchain è la mancanza di consapevolezza della tecnologia, specialmente in settori diversi da quello bancario, e la diffusa mancanza di comprensione di come funziona”, ha affermato Deloitte in un rapporto.

“Questo rende difficile investire ed esplorare idee”.

Le aziende devono valutare attentamente la maturità e l’adeguatezza di ogni catena supportata.

“L’adozione del protocollo [blockchain] nella fase iniziale può portare a tempi di inattività e rischi per la sicurezza, mentre i protocolli nella fase successiva hanno attualmente commissioni di transazione più elevate”, afferma Schwenk.

“Una volta scelto un protocollo per l’uso desiderato (come il pagamento), lo sponsor potrebbe non essere in grado di fornire alcun supporto. È più simile all’adozione dell’open source in cui potrebbero essere richiesti fornitori di servizi specifici per realizzare appieno il valore”.

2. Modificare i criteri per la proprietà dei beni

Quando qualcuno acquista un NFT, in realtà non sta acquistando un’immagine perché non è pratico archiviare le immagini sulla blockchain a causa delle loro dimensioni.

Invece, gli utenti ricevono una sorta di ricevuta che mostra loro la strada per l’immagine.

Nella blockchain viene memorizzata solo l’identificazione dell’immagine, che può essere un hash o un URL. L’HTTP viene spesso utilizzato, ma un’alternativa decentralizzata è l’Interplanetary File System (IPFS).

Le organizzazioni che scelgono IPFS devono essere consapevoli del fatto che il nodo IPFS sarà gestito dalla società che vende l’NFT e, se tale società decide di chiudere il negozio, gli utenti potrebbero perdere l’accesso all’immagine a cui punta l’NFT.

“Sebbene sia tecnicamente possibile ricaricare un file su IPFS, è improbabile che l’utente medio sia in grado di farlo perché il processo è complesso”, afferma il ricercatore di sicurezza indipendente Anatole Brisacaro.

“Tuttavia, la parte buona è che, a causa della sua natura decentralizzata e vulnerabile, chiunque può farlo, non solo gli sviluppatori di progetti”.

3. Rischi per la sicurezza del mercato

Sebbene gli NFT siano basati sulla tecnologia blockchain, le immagini o i video ad essi associati possono essere archiviati su una piattaforma centralizzata o decentralizzata.

Spesso, per comodità, viene scelto un modello centralizzato perché rende più facile per gli utenti interagire con le risorse digitali. Lo svantaggio di questo approccio è che i mercati NFT possono ereditare le vulnerabilità Web2.

Inoltre, mentre le transazioni bancarie tradizionali sono reversibili, quelle sulla blockchain non lo sono.

“Un server violato potrebbe fornire informazioni fuorvianti all’utente, inducendolo a effettuare transazioni che prosciugherebbero il suo portafoglio”, afferma Brisacaro.

Tuttavia, dedicare la giusta quantità di tempo e impegno alla corretta implementazione del sistema può proteggere dagli attacchi, soprattutto quando si tratta di utilizzare una piattaforma decentralizzata.

“Tuttavia, alcuni mercati stanno tagliando gli angoli e sacrificando la sicurezza e il decentramento per un maggiore controllo”, afferma Brisacaro.

4. Frode di identità e frode di criptovaluta

Le truffe sulle criptovalute sono comuni e un gran numero di persone può esserne vittima. “I truffatori seguono regolarmente i prossimi lanci di NFT e in genere hanno dozzine di siti di scam mint pronti a promuovere insieme al lancio ufficiale”, afferma Stein.

I clienti che cadono vittime di queste truffe sono spesso alcuni dei loro clienti più fedeli e tali brutte esperienze possono influenzare il modo in cui percepiscono un particolare marchio.

Pertanto, proteggerli è fondamentale.

Spesso gli utenti ricevono e-mail dannose che segnalano comportamenti sospetti in uno dei loro account. Per risolvere questo problema, sono tenuti a fornire le proprie credenziali per la verifica dell’account.

Se l’utente ci casca, le sue credenziali sono a rischio. “Qualsiasi marchio che cerchi di entrare nello spazio NFT trarrebbe vantaggio dal dedicare risorse al monitoraggio e alla mitigazione di questi tipi di attacchi di phishing”, afferma Stein.

5. I bridge blockchain sono una minaccia crescente

Blockchain diverse hanno valute diverse e sono soggette a regole diverse. Ad esempio, se qualcuno possiede Bitcoin ma vuole spendere Ethereum, ha bisogno di un collegamento tra le due blockchain che consenta il trasferimento di asset.

Un ponte blockchain, a volte chiamato ponte cross-chain, fa proprio questo. “Per sua stessa natura, non è strettamente implementato utilizzando contratti intelligenti e si basa su componenti off-chain che avviano una transazione sulla seconda catena quando l’utente deposita risorse sulla catena originale”, afferma Brisacaro.

Alcuni dei più grandi attacchi di criptovaluta includono ponti multi-catena come Ronin, Poly Network e Wormhole.

Ad esempio, durante l’attacco alla blockchain di Ronin Games alla fine di marzo 2022, gli aggressori hanno sequestrato Ethereum e USDC per un valore di 625 milioni di dollari.

Anche durante l’attacco alla rete Poly nell’agosto 2021, l’hacker ha trasferito più di 600 milioni di dollari in token a più portafogli di criptovaluta.

Fortunatamente, in questo caso, i soldi sono stati restituiti dopo 2 settimane.

6. Il codice deve essere accuratamente testato e rivisto

Avere un buon codice dovrebbe essere una priorità fin dall’inizio di qualsiasi progetto. Gli sviluppatori devono essere esperti e disposti a prestare attenzione ai dettagli, sostiene Brisacaro.

In caso contrario, aumenta il rischio di diventare vittima di un incidente di sicurezza. Ad esempio, nell’attacco alla Poly Network, l’attaccante ha sfruttato un gap tra le chiamate ai nodi.

Per prevenire un incidente, le squadre devono condurre test completi. L’organizzazione deve inoltre disporre di una terza parte che esegua un controllo di sicurezza, sebbene ciò possa essere costoso e richiedere molto tempo.

Gli audit forniscono una revisione sistematica del codice che aiuta a identificare le vulnerabilità più comuni.

Certo, la verifica del codice è necessaria, ma non è sufficiente, e il fatto che l’azienda abbia condotto un audit non garantisce che non avrà problemi. “In una blockchain, i contratti intelligenti tendono ad essere molto complessi e spesso interagiscono con altri protocolli”, afferma Brisacaro.

“Tuttavia, solo le organizzazioni controllano il proprio codice e l’interazione con protocolli esterni aumenta il rischio”.

Sia gli individui che le aziende possono esplorare un’altra strada per la gestione del rischio: l’assicurazione che aiuta le aziende a ridurre il costo dei contratti intelligenti o degli hack di custodia.

7. Chiave di gestione

“Al centro della criptovaluta c’è semplicemente la gestione della chiave privata. A molte aziende sembra semplice e i CIO possono avere familiarità con i problemi e le best practice”, afferma Schwenk.

Sono disponibili diverse soluzioni di gestione delle chiavi.

Uno di questi sono portafogli hardware come Trezor, Ledger o Lattice1. Si tratta di dispositivi USB che creano e memorizzano materiale crittografico sui loro componenti sicuri, impedendo agli aggressori di accedere alle chiavi private anche quando hanno accesso al computer, ad esempio tramite un virus/backdoor.

Un’altra linea di difesa sono le formazioni multiple che possono essere utilizzate con i portafogli hardware. “Multi-sig è un portafoglio smart contract che richiede la conferma delle transazioni da parte di più proprietari”, afferma Brisacaro.

“Ad esempio, potresti avere cinque proprietari e richiedere ad almeno tre persone di firmare una transazione prima di inviarla. In questo modo, l’attaccante dovrebbe scendere a compromessi su più di una persona per compromettere il portafoglio.”

8. Utente e formazione degli utenti

Le organizzazioni che vogliono integrare le tecnologie Web3 devono formare il proprio personale perché sono necessari nuovi strumenti per eseguire transazioni su diverse blockchain.

dice Aaron Higbee, co-fondatore e chief technology officer di Cofense.

Sebbene ogni azienda debba preoccuparsi degli attacchi di phishing basati su e-mail, è più probabile che i dipendenti che gestiscono risorse digitali vengano presi di mira.

Lo scopo della formazione è garantire che tutti i membri del team utilizzino le pratiche più recenti e abbiano una buona comprensione dei principi di sicurezza. Oded Vanunu, Head of Product Vulnerabilities Research presso Check Point, afferma di aver notato un enorme divario di conoscenze sulle criptovalute, che può rendere le cose “un po’ confuse” per alcune aziende.

“Le organizzazioni che desiderano integrare le tecnologie Web3 devono comprendere che questi progetti necessitano di una profonda panoramica della sicurezza e di una comprensione della sicurezza, il che significa che devono comprendere i numeri e le implicazioni che possono verificarsi”, afferma.

Alcune organizzazioni che non vogliono gestire le chiavi private scelgono di utilizzare un sistema centralizzato, che le rende vulnerabili ai problemi di sicurezza di Web2.

“Chiedo che l’integrazione di Web3 con le tecnologie Web2 sia un progetto in cui vengono implementate analisi di sicurezza approfondite e best practice di sicurezza”, afferma Vanunu.

9. Uso continuato di applicazioni decentralizzate NFT e Web3

Molte aziende abbandonano i prodotti che non soddisfano più le loro esigenze, ma questo non è solitamente il caso degli asset basati su blockchain se implementati correttamente.

“Gli NFT non dovrebbero essere visti come uno sforzo di marketing una tantum”, afferma Stein.

“Se l’NFT stesso non è on-chain, spetta all’azienda mantenerlo in ogni momento. Se il progetto ha molto successo, l’azienda si assume il serio compito di supportare i collezionisti di questi NFT in caso di incidenti, truffe , ecc. fino ad allora.

Uno di questi progetti virali è quello lanciato dal governo ucraino che ha venduto NFT sulla base di una cronologia di guerra.

Un luogo dove si conserva la memoria della guerra. Un luogo per celebrare l’identità e la libertà ucraine”, si legge in un tweet di Mykhailo Fedorov, vice primo ministro ucraino e ministro della trasformazione digitale.

Gli appassionati di NFT hanno risposto positivamente, dicendo che vogliono comprare un pezzo di storia e supportare l’Ucraina. Tuttavia, si aspettano che il progetto continui.

10. Blockchain non è sempre lo strumento giusto

Le nuove tecnologie sono sempre entusiasmanti, ma prima di introdurle le organizzazioni dovrebbero chiedersi se hanno già risolto il problema e se questo è il momento giusto per adottarle. I progetti basati su blockchain hanno il potenziale per cambiare le aziende in meglio, ma possono anche richiedere molte risorse, almeno nella fase iniziale.

La valutazione del rapporto rischio-beneficio sarà una parte importante della decisione e un finanziamento adeguato per le attività legate alla sicurezza, sia nella fase di attuazione che durante la loro attuazione, è fondamentale.

Valutare il rapporto rischio-beneficio di queste nuove minacce potrebbe non essere (ancora) una competenza fondamentale ed è facile rimanere invischiati nell’entusiasmo spesso associato alle criptovalute”, conclude Schwenk.

Fonte: OSC