cíber segurançaE-moeda

10 NFT e ameaças de segurança de criptomoedas que os CISOs devem enfrentar 

Foto de MR.abdulkader MR.abdulkader
53
10 NFT and cryptocurrency security threats that CISOs must confront

10 NFT e ameaças de segurança de criptomoedas que os CISOs devem enfrentar 

As tecnologias descentralizadas podem aumentar o nível de ansiedade dos CISOs, mas existem maneiras de evitar riscos de segurança.


10 riscos de segurança de NFT e criptomoedas com os quais os CISOs precisam lidar
Romanovsky / Getty Images
 

A lista de empresas que aceitam pagamentos em criptomoedas não para de crescer, graças às quais os clientes podem comprar quase tudo o que quiserem: eletrônicos, diplomas, cappuccinos.

Ao mesmo tempo, o mercado de tokens não negociáveis ​​( NFT ) está crescendo à medida que artistas emergentes se tornam milionários, com nomes mais estabelecidos como Snoop Dogg, Martha Stewart e Grimes capitalizando a tendência.

Criptomoedas e NFTs estão na agenda de muitas organizações enquanto discutem as implicações da Web3 e as oportunidades que ela traz.

Essa nova grande mudança na evolução da Internet promete descentralizar nosso mundo digital, proporcionando aos usuários maior controle e um fluxo de informações mais transparente.

Verifique também:

Empresas de diversos setores estão fazendo o possível para se adaptar ao novo paradigma.

No entanto, a lista de preocupações do CISO é longa e varia de segurança cibernética e fraude de identidade a segurança de mercado, gerenciamento de chaves, dados e ameaças à privacidade.

A criptomoeda em qualquer forma, incluindo NFT, carrega uma série de riscos e problemas de segurança com os quais a maioria das empresas pode não estar familiarizada.

“Isso requer uma série de novos procedimentos operacionais, expõe você a um novo conjunto de sistemas (blockchains públicos) e traz riscos dos quais muitas empresas não estão cientes”, diz Doug Schwenk, CEO da Digital Asset Research.

A forma como os CISOs pensam sobre essas questões pode afetar usuários e parceiros de negócios.

“O acordo tem consequências financeiras imediatas para a empresa, seus usuários e/ou coletores de NFT”, diz Ilya Stein, engenheiro-chefe de segurança da Confiant.

Aqui estão as dez principais ameaças à segurança que as criptomoedas e o NFT representam para os CISOs.

1. A integração de protocolos blockchain pode ser complexa

Blockchain é uma tecnologia relativamente nova. Como tal, integrar os protocolos blockchain ao projeto torna-se um pouco complicado.

“O principal desafio com blockchain é a falta de conhecimento da tecnologia, especialmente em outros setores além do bancário, e a falta generalizada de compreensão de como ela funciona”, disse a Deloitte em um relatório.

“Isso dificulta o investimento e a exploração de ideias.”

As empresas devem avaliar cuidadosamente cada cadeia apoiada quanto à maturidade e adequação.

“A adoção do protocolo [blockchain] em estágio inicial pode levar a paralisações e riscos de segurança, enquanto os protocolos de estágio posterior atualmente têm taxas de transação mais altas”, diz Schwenk.

“Depois que um protocolo é escolhido para o uso desejado (como pagamento), o patrocinador pode não ser capaz de fornecer nenhum suporte. É mais como a adoção de código aberto, em que provedores de serviços específicos podem ser necessários para realizar totalmente o valor.”

2. Alteração dos critérios de propriedade de ativos

Quando alguém compra um NFT, na verdade não está comprando uma imagem porque é inviável armazenar imagens na blockchain devido ao seu tamanho.

Em vez disso, os usuários recebem uma espécie de recibo mostrando o caminho para a imagem.

Apenas a identificação da imagem é armazenada no blockchain, que pode ser um hash ou uma URL. O HTTP é frequentemente usado, mas uma alternativa descentralizada é o Interplanetary File System (IPFS).

As organizações que optam pelo IPFS devem estar cientes de que o nó IPFS será gerenciado pela empresa que vende o NFT e, se essa empresa decidir fechar a loja, os usuários poderão perder o acesso à imagem para a qual o NFT aponta.

“Embora seja tecnicamente possível reenviar um arquivo para o IPFS, é improvável que o usuário médio consiga fazê-lo porque o processo é complexo”, diz o pesquisador de segurança independente Anatole Brisacaro.

“No entanto, a parte boa é que, devido à sua natureza descentralizada e vulnerável, qualquer um pode fazer isso – não apenas os desenvolvedores de projetos.”

3. Riscos de segurança de mercado

Embora os NFTs sejam baseados na tecnologia blockchain, as imagens ou vídeos associados a eles podem ser armazenados em uma plataforma centralizada ou descentralizada.

Muitas vezes, por conveniência, um modelo centralizado é escolhido porque facilita a interação dos usuários com ativos digitais. A desvantagem dessa abordagem é que os mercados NFT podem herdar vulnerabilidades Web2.

Além disso, embora as transações bancárias tradicionais sejam reversíveis, as da blockchain não são.

“Um servidor hackeado pode fornecer informações enganosas ao usuário, induzindo-o a fazer transações que esgotariam sua carteira”, diz Brisacaro.

No entanto, dedicar o tempo e o esforço certos na implementação correta do sistema pode proteger contra ataques, especialmente quando se trata de usar uma plataforma descentralizada.

“No entanto, alguns mercados estão cortando custos e sacrificando a segurança e a descentralização para obter maior controle”, diz Brisacaro.

4. Fraude de identidade e fraude de criptomoeda

Golpes de criptomoeda são comuns e um grande número de pessoas pode ser vítima deles. “Os golpistas acompanham regularmente os próximos lançamentos de NFT e normalmente têm dezenas de sites fraudulentos prontos para promover junto com o lançamento oficial”, diz Stein.

Os clientes que são vítimas desses golpes geralmente são alguns de seus clientes mais fiéis, e essas experiências ruins podem afetar a forma como eles percebem uma determinada marca.

Portanto, protegê-los é crucial.

Frequentemente, os usuários recebem e-mails maliciosos informando que comportamentos suspeitos foram observados em uma de suas contas. Para resolver esse problema, eles são obrigados a fornecer suas credenciais para verificação da conta.

Se o usuário cair nessa, suas credenciais estarão em risco. “Qualquer marca tentando entrar no espaço NFT se beneficiaria ao dedicar recursos para monitorar e mitigar esses tipos de ataques de phishing”, diz Stein.

5. Pontes Blockchain são uma ameaça crescente

Diferentes blockchains têm moedas diferentes e estão sujeitas a regras diferentes. Por exemplo, se alguém possui Bitcoin, mas deseja gastar Ethereum, precisa de um link entre os dois blockchains que permita a transferência de ativos.

Uma ponte blockchain, às vezes chamada de ponte cross-chain, faz exatamente isso. “Por sua própria natureza, não é estritamente implementado usando contratos inteligentes e depende de componentes fora da cadeia iniciando uma transação na segunda cadeia quando o usuário deposita ativos na cadeia original”, diz Brisacaro.

Alguns dos maiores hacks de criptomoeda incluem pontes de várias cadeias, como Ronin, Poly Network e Wormhole.

Por exemplo, durante o hack da blockchain da Ronin Games no final de março de 2022, os invasores apreenderam US$ 625 milhões em Ethereum e USDC.

Também durante o ataque à Poly Network em agosto de 2021, o hacker transferiu mais de US$ 600 milhões em tokens para várias carteiras de criptomoedas.

Felizmente, neste caso, o dinheiro foi devolvido após 2 semanas.

6. O código deve ser completamente testado e revisado

Ter um bom código deve ser uma prioridade desde o início de qualquer projeto. Os desenvolvedores devem ser habilidosos e dispostos a prestar atenção aos detalhes, argumenta Brisacaro.

Caso contrário, o risco de se tornar vítima de um incidente de segurança aumenta. Por exemplo, no ataque à Poly Network, o invasor explorou uma lacuna entre as chamadas de nó.

Para evitar um acidente, as equipes devem realizar testes abrangentes. A organização também deve ter um terceiro realizando uma auditoria de segurança, embora isso possa ser caro e demorado.

As auditorias fornecem uma revisão sistemática do código que ajuda a identificar as vulnerabilidades mais comuns.

Claro que a verificação do código é necessária, mas não é suficiente, e o fato de a empresa ter feito uma auditoria não garante que não terá problemas. “Em um blockchain, os contratos inteligentes tendem a ser muito complexos e muitas vezes interagem com outros protocolos”, diz Brisacaro.

“No entanto, apenas as organizações controlam seu próprio código e a interação com protocolos externos aumenta o risco.”

Tanto os indivíduos quanto as empresas podem explorar outro caminho para o gerenciamento de riscos: seguros que ajudam as empresas a reduzir o custo de contratos inteligentes ou hacks de custódia.

7. Chave de gerenciamento

“No centro da criptomoeda está simplesmente gerenciar a chave privada. Parece simples para muitas empresas, e os CIOs podem estar familiarizados com os problemas e as melhores práticas”, diz Schwenk.

Existem várias soluções de gerenciamento de chaves disponíveis.

Uma delas são as carteiras de hardware como Trezor, Ledger ou Lattice1. São dispositivos USB que criam e armazenam material criptográfico em seus componentes seguros, impedindo que invasores acessem chaves privadas mesmo quando têm acesso ao computador, por exemplo, por meio de um vírus/backdoor.

Outra linha de defesa são as múltiplas formações que podem ser usadas com carteiras de hardware. “Multi-sig é uma carteira de contrato inteligente que exige que as transações sejam confirmadas por vários proprietários”, diz Brisacaro.

“Por exemplo, você poderia ter cinco proprietários e exigir que pelo menos três pessoas assinassem uma transação antes de enviá-la. Dessa forma, o invasor teria que comprometer mais de uma pessoa para comprometer a carteira.”

8. Usuário e educação do usuário

As organizações que desejam integrar tecnologias Web3 precisam treinar sua equipe porque novas ferramentas são necessárias para realizar transações em diferentes blockchains.

diz Aaron Higbee, co-fundador e diretor de tecnologia da Cofense.

Embora toda empresa precise se preocupar com ataques de phishing baseados em e-mail, os funcionários que lidam com ativos digitais podem ser mais propensos a serem alvos.

O objetivo do treinamento é garantir que todos na equipe usem as práticas mais recentes e tenham um bom entendimento dos princípios de segurança. Oded Vanunu, chefe de pesquisa de vulnerabilidades de produtos da Check Point, diz que percebeu uma enorme lacuna de conhecimento sobre criptomoedas, o que pode tornar as coisas “um pouco confusas” para algumas empresas.

“As organizações que desejam integrar as tecnologias Web3 precisam entender que esses projetos precisam de uma visão geral de segurança profunda e compreensão da segurança, o que significa que precisam entender os números e as implicações que podem acontecer”, diz ele.

Algumas organizações que não desejam gerenciar chaves privadas optam por usar um sistema centralizado, o que as torna vulneráveis ​​a problemas de segurança Web2.

“Apelo para que a integração do Web3 com as tecnologias Web2 seja um projeto em que a análise de segurança aprofundada e as melhores práticas de segurança sejam implementadas”, diz Vanunu.

9. Uso contínuo de aplicativos descentralizados NFT e Web3

Muitas empresas abandonam produtos que não atendem mais às suas necessidades, mas esse geralmente não é o caso de ativos baseados em blockchain, se implementados corretamente.

“Os NFTs não devem ser vistos como um esforço de marketing isolado”, diz Stein.

“Se o próprio NFT não for on-chain, o ônus é da empresa em mantê-lo sempre. Se o projeto for muito bem-sucedido, a empresa assume a séria tarefa de apoiar os cobradores desses NFTs em caso de contratempos, golpes , etc. até então.

Um desses projetos virais é o lançado pelo governo ucraniano que vendeu NFT com base em uma linha do tempo de guerra.

Um lugar onde a memória da guerra é preservada. Um lugar para celebrar a identidade e a liberdade ucranianas”, diz um tweet de Mykhailo Fedorov, vice-primeiro-ministro da Ucrânia e ministro da Transformação Digital.

Os entusiastas do NFT responderam positivamente, dizendo que querem comprar um pedaço da história e apoiar a Ucrânia. No entanto, eles esperam que o projeto continue.

10. Blockchain nem sempre é a ferramenta certa

Novas tecnologias são sempre empolgantes, mas antes de apresentá-las, as organizações devem se perguntar se já resolveram o problema e se este é o momento certo para adotá-las. Os projetos baseados em blockchain têm o potencial de mudar as empresas para melhor, mas também podem consumir muitos recursos, pelo menos no estágio inicial.

A avaliação da relação risco-benefício será uma parte importante da decisão, e o financiamento adequado para atividades relacionadas à segurança, tanto no estágio de implementação quanto durante sua implementação, é crítico.

Avaliar a relação risco-benefício dessas novas ameaças pode não ser uma competência essencial (ainda), e é fácil ser pego no hype frequentemente associado às criptomoedas”, conclui Schwenk.

Fonte: CSO

Foto de MR.abdulkader MR.abdulkader
53

Artigos relacionados

Free Cryptocurrency - Bitcoin and altcoins with no deposit

Criptomoeda grátis – Bitcoin e altcoins sem depósito

28/02/2023
الربح من الانترنت,الربح من الانترنت مجانا للمبتدئين,الربح من الانترنت للمبتدئين,كيف يمكن الربح من تيك توك,التجارة الالكترونية,تفعيل الربح من التيك توك,تحميل الكتب,التجارة الالكترونية في المغرب,تعلم التجارة الالكترونية,المدرسة القانونية المغربية,أساسيات التجارة الالكترونية,التجارة الالكترونية خطوة بخطوة,النصوص القانونية,حكم المتاجرة في المنصات الالكترونية,كيفية الربح من الانترنت,الربح من الانترنت بدون راس مال للمبتدئين,الربح من التطبيقات,كتب الكترونية,كتب إلكترونية مجانا,تحميل كتب مجانية,كتب مجانية,تحميل كتب مجانية pdf,كتب الكترونية مجانية,كتب مجانيه,كيفية تحميل كتب مجانية,مواقع كتب مجانية,تحميل كتب مجانا,تحميل كتب الكترونية,تحميل كتب مجانية pdf للاندرويد,مكتبات الكترونية مجانية,تحميل مكتبة كتب مجانية,طريقة تحميل كل الكتب الإلكترونية مجانا,كتب الكترونية pdf,تحميل كتب من امازون مجانا,إنشاء كتب الكترونية,تحميل كتب مجانية pdf للايفون,الحصول على كتب مجانية,كتب مجانية للتحميل pdf,الربح من الانترنت مجانا للمبتدئين,كيفية البحث عن منتجات للبيع بمجال التجارة الإلكترونية,الربح من الانترنت للمبتدئين,افضل الكتب العالمية,الربح من الانترنت,كيف يمكن الربح من تيك توك,التجارة الالكترونية,تفعيل الربح من التيك توك,افضل الكتب للقراءه,حكم المتاجرة في المنصات الالكترونية,افضل الكتب على الاطلاق,الربح من الانترنت بدون راس مال للمبتدئين,كيفية الربح من الانترنت,برنامج ازالة حقوق النشر من الفيديو,كيفية الربح من الانترنت للمبتدئين,أروع الكتب,free ebooks,download free ebooks,download,free ebook download,free ebooks download,legally download youtube videos,google books free download,free books,how to download books from google books for free,ebooks for free,how to download google books for free,how to download google books in pdf format free,free download,free ebook,free google books pdf download,free google books download,legally download free ebooks,how to download free ebooks legally

EBooks Gratuitos – Onde você pode baixar eBooks gratuitos legalmente?

30/03/2022
,the family office,tfo,tfoco,family office,saudi arabia,wealth management,private equity,real estate,wealth preservation,bahrain,petiole,asset management,private credit,the family company,alomran,byron wein,surprise,blackstone,ten suprises,wall street legend,cryptocurrency rally,will the bitcoin price last,will bitcoin hit $100000,bitcoin predictions,is bitcoin a scam,how much to invest in bitcoin,what determines the price of bitcoinstock market,market,markets,stock market news,perform well in the stock market,cryptocurrency news,cryptocurrency update,cryptocurrency news today,cryptocurrency market update,private cryptocurrency in india,cryptocurrency in india,amazon stock 2 trillion market cap,when will amazon stock reach 2 trillion market cap?,inside apple’s rise to $2 trillion,amazon stock 1 trillion market cap,will amazon beat apple to 2 trillion market cap?,$2 trillion

O mercado de criptomoedas está recuperando US$ 2 trilhões em capital. Bitcoin por US$ 43.100

26/03/2022
الأزمة الروسية الأوكرانية,الجيش الروسى,القوات الروسية,الحرب الروسية الأوكرانية,الجيش الروسي,الغزو الروسي,الرئيس الروسي,حرب روسيا وأوكرانيا مباشر,العملية العسكرية الروسية,تحديد المكان من خلال الهاتف,السيسي,تحديد المكان من خلال الاببراج,العربية مباشر,أوكرانيا مباشر,تحديد مكان,حرب روسيا اوكرانيا,مطالب روسيا,تجسس شركات الاتصالات,روسيا وأوكرانيا اليوم,روسيا أوكرانيا,روسيا وأوكرانيا,العقوبات على روسيا,التليفزيون المصري,ازمة روسيا واوكرانيا,anonymous,russia,anonymous vs russia,anonymous hackers,anonymous russia tv,anonymous hackers russia attack,anonymous declares cyberwar against russia,russia ukraine conflict,anonymous hacking russia,anonymous messages russia,russia ukraine crisis,anonymous hacker warning russia video,russia ukraine,ukraine vs russia,russia ukraine war,anonymous scientology,best anonymous hacks,russia war,anonymous minneapolis,anonymous documentary

Anonymous ameaça publicar dados do Banco Central da Rússia

25/03/2022
Botão Voltar ao topo