电子货币网络安全

CISO 必须面对的 10 大 NFT 和加密货币安全威胁 

CISO 必须面对的 10 大 NFT 和加密货币安全威胁 

去中心化技术会增加 CISO 的焦虑程度,但有一些方法可以避免安全风险。


CISO 必须应对的 10 大 NFT 和加密货币安全风险
罗曼诺夫斯基/盖蒂图片社
 

接受加密货币支付的公司名单不断增加,客户可以借此购买几乎任何他们想要的东西:电子产品、文凭、卡布奇诺。

与此同时,随着新兴艺术家成为百万富翁,不可交易代币 ( NFT ) 市场正在蓬勃发展,Snoop Dogg、Martha Stewart 和 Grimes 等更知名的艺术家也在利用这一趋势。

加密货币和 NFT 已列入许多组织的议程,因为他们讨论 Web3 的影响及其带来的机会。

互联网发展的这一新的重大转变有望分散我们的数字世界,为用户提供更大的控制权和更透明的信息流。

还要检查:

各行各业的公司都在尽最大努力适应新范式。

然而,CISO 的担忧清单很长,范围从网络安全和身份欺诈到市场安全、密钥管理、数据和隐私威胁。

任何形式的加密货币,包括 NFT,都带有许多大多数企业可能不熟悉的风险和安全问题。

Digital Asset Research 首席执行官 Doug Schwenk 表示:“它需要一些新的操作程序,让你接触到一套新的系统(公共区块链),并带来许多公司没有意识到的风险。”

CISO 对这些问题的看法会影响用户和业务合作伙伴。

Confiant 首席安全工程师 Ilya Stein 表示:“和解协议对公司、其用户和/或 NFT 收集者产生了直接的财务影响。”

以下是加密货币和 NFT 对 CISO 构成的十大安全威胁。

1. 区块链协议的集成可能很复杂

区块链是一项相对较新的技术。因此,将区块链协议集成到项目中变得有点棘手。

德勤在一份报告中表示:“区块链的主要挑战是缺乏对该技术的认识,尤其是在银行业以外的行业,以及对其运作方式普遍缺乏了解。”

“这使得投资和探索想法变得困难。”

公司必须仔细评估每个支持链的成熟度和适当性。

“早期 [区块链] 协议的采用可能导致停机和安全风险,而后期协议目前的交易费用更高,”Schwenk 说。

“一旦为所需用途(例如支付)选择了协议,赞助商可能无法提供任何支持。它更像是开源采用,可能需要特定的服务提供商才能充分实现价值。”

2.改变资产所有权的标准

当有人购买 NFT 时,他们实际上并不是在购买图像,因为由于图像的大小,将图像存储在区块链上是不切实际的。

取而代之的是,用户会收到一种收据,向他们显示获取图像的方式。

只有图像标识存储在区块链中,可以是哈希或 URL。通常使用 HTTP,但星际文件系统 (IPFS) 是一种去中心化的替代方案。

选择 IPFS 的组织应该意识到 IPFS 节点将由销售 NFT 的公司管理,如果该公司决定关闭商店,用户可能无法访问 NFT 指向的图像。

“虽然在技术上可以将文件重新上传到 IPFS,但普通用户不太可能这样做,因为过程很复杂,”独立安全研究员 Anatole Brisacaro 说。

“然而,好的一面是,由于其去中心化和脆弱的性质,任何人都可以做到这一点——而不仅仅是项目开发人员。”

3、市场安全风险

尽管 NFT 基于区块链技术,但与之相关的图像或视频可以存储在中心化或去中心化的平台上。

通常,为了方便起见,会选择集中式模型,因为它使用户更容易与数字资产进行交互。这种做法的缺点是 NFT 市场可能会继承 Web2 的漏洞。

此外,虽然传统银行交易是可逆的,但区块链上的交易却不是。

“被黑的服务器可能会向用户提供误导性信息,诱使他们进行交易,从而耗尽他们的钱包,”Brisacaro 说。

但是,在系统的正确实施上花费适量的时间和精力可以防止攻击,尤其是在使用去中心化平台时。

“然而,一些市场正在走捷径,牺牲安全性和权力下放以换取更大的控制权,”Brisacaro 说。

4. 身份欺诈和加密货币欺诈

加密货币诈骗很常见,很多人都可能成为受害者。Stein 说:“骗子会定期跟进即将推出的 NFT,通常会有数十个诈骗网站准备在正式发布时进行宣传。”

成为这些骗局受害者的客户通常是他们最忠实的客户,这种糟糕的体验会影响他们对特定品牌的看法。

因此,保护​​它们至关重要。

通常,用户会收到恶意电子邮件,告知他们在其中一个帐户中发现了可疑行为。为了解决这个问题,他们需要提供他们的账户验证凭证。

如果用户上当,他们的凭据就有风险。“任何试图进入 NFT 领域的品牌都将受益于将资源用于监控和减轻这些类型的网络钓鱼攻击,”Stein 说。

5. 区块链桥是一个日益严重的威胁

不同的区块链有不同的货币,并受不同的规则约束。例如,如果某人拥有比特币但想使用以太坊,他们需要两个区块链之间的链接以实现资产转移。

区块链桥,有时称为跨链桥,就是这样做的。“就其本质而言,它并没有严格使用智能合约来实现,而是依赖于链下组件在用户将资产存入原始链时在第二条链上发起交易,”Brisacaro 说。

一些最大的加密货币黑客攻击包括多链桥,例如 Ronin、Poly Network 和 Wormhole。

例如,在 2022 年 3 月下旬的 Ronin Games 区块链黑客攻击期间,攻击者没收了价值 6.25 亿美元的以太坊和 USDC。

同样在 2021 年 8 月对 Poly Network 的攻击期间,黑客将超过 6 亿美元的代币转移到多个加密货币钱包。

幸运的是,在这种情况下,这笔钱在 2 周后退回了。

6.代码必须经过彻底的测试和修改

拥有好的代码应该是任何项目开始时的优先事项。Brisacaro 认为,开发人员必须技术娴熟并愿意关注细节。

否则,成为安全事件受害者的风险就会增加。例如,在对 Poly Network 的攻击中,攻击者利用了节点调用之间的间隙。

为防止事故发生,车队必须进行全面测试。该组织还必须让第三方执行安全审计,尽管这可能既费钱又费时。

审计提供系统的代码审查,有助于识别最常见的漏洞。

当然,代码验证是必要的,但还不够,而且公司进行了审核也不能保证不会出问题。“在区块链中,智能合约往往非常复杂,并且经常与其他协议交互,”Brisacaro 说。

“但是,只有组织才能控制自己的代码,与外部协议的交互会增加风险。”

个人和公司都可以探索另一种风险管理途径:帮助公司降低智能合约或托管黑客成本的保险。

7.管理密钥

“加密货币的核心就是管理私钥。对许多公司来说这似乎很简单,CIO 可以熟悉这些问题和最佳实践,”Schwenk 说。

有几种密钥管理解决方案可用。

其中之一是像 Trezor、Ledger 或 Lattice1 这样的硬件钱包。这些 USB 设备在其安全组件上创建和存储加密材料,防止攻击者访问私钥,即使他们可以访问计算机,例如通过病毒/后门。

另一道防线是可以与硬件钱包一起使用的多重阵型。“多重签名是一种智能合约钱包,需要多个所有者确认交易,”Brisacaro 说。

“例如,你可能有五个所有者,并要求至少三个人在发送前签署交易。这样一来,攻击者就必须妥协不止一个人才能破坏钱包。”

八、用户及用户教育

想要集成 Web3 技术的组织需要培训他们的员工,因为需要新的工具来在不同的区块链上执行交易。

Cofense 的联合创始人兼首席技术官 Aaron Higbee 说。

尽管每家公司都需要担心基于电子邮件的网络钓鱼攻击,但处理数字资产的员工更有可能成为攻击目标。

培训的目的是确保团队中的每个人都使用最新的实践,并对安全原则有很好的理解。Check Point 产品漏洞研究主管 Oded Vanunu 表示,他注意到关于加密货币的巨大知识差距,这可能会让一些公司的事情变得“有点混乱”。

“想要集成 Web3 技术的组织需要了解这些项目需要深入的安全概述和对安全的理解,这意味着他们需要了解可能发生的数字和影响,”他说。

一些不想管理私钥的组织选择使用集中式系统,这使他们容易受到 Web2 安全问题的影响。

“我呼吁将 Web3 与 Web2 技术集成成为一个实施深入安全分析和安全最佳实践的项目,”Vanunu 说。

9. 继续使用 NFT 和 Web3 去中心化应用

许多公司放弃不再满足其需求的产品,但如果实施得当,基于区块链的资产通常不会出现这种情况。

“NFT 不应被视为一次性的营销活动,”Stein 说。

“如果 NFT 本身不在链上,公司就有责任始终维护它。如果项目非常成功,公司将承担支持这些 NFT 收集者的严肃任务,以防万一发生事故、诈骗等到那时。

一个这样的病毒式项目是由乌克兰政府发起的,它根据战争时间表出售 NFT。

保存战争记忆的地方。一个庆祝乌克兰身份和自由的地方,”乌克兰副总理兼数字转型部长 Mykhailo Fedorov 在推文中写道。

NFT爱好者纷纷积极回应,表示要买下一段历史,支持乌克兰。但是,他们希望该项目能够继续进行。

10. 区块链并不总是正确的工具

新技术总是令人兴奋,但在引入它们之前,组织应该问问自己是否已经解决了问题,以及现在是否是采用它们的合适时机。基于区块链的项目有可能让公司变得更好,但它们也可能是资源密集型的,至少在初始阶段是这样。

评估风险收益比将是决策的重要组成部分,并且在实施阶段和实施过程中为安全相关活动提供足够的资金至关重要。

评估这些新威胁的风险收益比可能还不是核心能力(目前),而且很容易陷入通常与加密货币相关的炒作,”Schwenk 总结道。

资料来源:公民社会组织

Related Articles

Back to top button