加密貨幣和NFT在許多企業(yè)的議程上討論Web3的影響及其帶來的機會。互聯(lián)網(wǎng)發(fā)展的這一新的重大轉(zhuǎn)變有望使人們的數(shù)字世界去中心化,為用戶提供更多的控制權(quán)和更透明的信息流。
在各行各業(yè),很多企業(yè)都在盡最大努力適應新的模式。但首席信息安全官有很多擔憂,主要面臨的問題是網(wǎng)絡安全和身份欺詐、市場安全風險、密鑰和數(shù)據(jù)管理以及隱私。
任何形式的加密貨幣(包括NFT),都存在一系列大多數(shù)企業(yè)可能不熟悉的威脅和安全問題。研究機構(gòu)Digital Asset Research公司首席執(zhí)行官Doug Schwenk表示:“它需要許多新的操作程序暴露于一套新的系統(tǒng)(公共區(qū)塊鏈),并帶來企業(yè)不太熟悉的許多風險。”
首席信息安全官對這些問題的看法可能會影響用戶和業(yè)務合作伙伴。Confiant公司高級安全工程師Eliya Stein說,“數(shù)據(jù)泄露會對企業(yè)或其用戶或NFT收集者產(chǎn)生直接的財務影響。”
以下是加密貨幣和NFT給首席信息安全官帶來的十個重大的安全風險。
1.集成區(qū)塊鏈協(xié)議可能很復雜
區(qū)塊鏈是一種相對較新的技術(shù)。因此,將區(qū)塊鏈協(xié)議整合到項目中變得有點困難。調(diào)研機構(gòu)德勤公司的一份報告稱:“與區(qū)塊鏈相關(guān)的主要挑戰(zhàn)是缺乏對該技術(shù)的認識,尤其是在銀行業(yè)以外的領域,并且普遍缺乏對其運作方式的了解。這阻礙了投資和想法的探索。”
企業(yè)應仔細評估每個受支持鏈的成熟度和適用性。Schwenk說,“采用處于早期階段的區(qū)塊鏈協(xié)議可能會導致停機和安全風險,而后期協(xié)議目前具有更高的交易費用。在選擇支持所需用途(例如支付)的協(xié)議之后,贊助商可能無法提供任何支持。這更像是采用開源代碼,可能需要特定的服務提供商的服務才能充分實現(xiàn)價值。”
2.資產(chǎn)所有權(quán)規(guī)范變化
當有人購買NFT時,他們實際上并沒有購買圖像,因為將圖片存儲在區(qū)塊鏈中是不切實際的。與其相反,用戶獲得的是某種將他們指向該圖像的收據(jù)。
區(qū)塊鏈僅存儲圖像的標識,可以是哈希值或URL。經(jīng)常使用HTTP協(xié)議,但其去中心化的替代方案是星際文件系統(tǒng)(IPFS)。選擇IPFS的企業(yè)需要了解IPFS節(jié)點將由銷售NFT的公司運行,如果該公司決定關(guān)閉商店,用戶可能無法訪問NFT指向的圖像。
獨立安全研究員Anatol Prisacaru說,“雖然在技術(shù)上可以將文件重新上傳到IPFS,但用戶不太可能這樣做,因為這個過程很復雜。然而,一個很好的方面是,由于去中心化和無需許可的性質(zhì),任何人都可以做到這一點,不僅僅是項目開發(fā)人員。”
3.市場安全風險
雖然NFT基于區(qū)塊鏈技術(shù),但與之相關(guān)的圖像或視頻可以存儲在集中式或分散式平臺上。通常為了方便,將會選擇集中式模型,因為它使用戶更容易與數(shù)字資產(chǎn)進行交互。這樣做的缺點是NFT市場可以繼承Web2的漏洞。此外,雖然傳統(tǒng)的銀行交易是可逆的,但區(qū)塊鏈上的交易卻不是。
Priscaru說,“受損的服務器可能會向用戶提供誤導性信息,誘使用戶執(zhí)行交易,從而盜取其資金。”但是,投入足夠的時間和精力來正確實施可以防止攻擊,尤其是在使用去中心化平臺時。
Priscaru說,“當以去中心化的方式正確實施時,受損的市場不能竊取或更改用戶的資產(chǎn);然而,一些市場會偷工減料,犧牲安全性和去中心化以獲得更多控制權(quán),”
4.身份欺詐和加密貨幣詐騙
加密貨幣詐騙事件很常見,而且通常會有大量受害者。Stein說,“網(wǎng)絡欺詐者經(jīng)常關(guān)注備受期待的NFT版本,并且通常有數(shù)十個詐騙網(wǎng)站準備好與正式發(fā)布同步進行推廣。”成為這些騙局受害者的客戶通常是最忠誠的客戶,這種糟糕的體驗可能會影響他們對企業(yè)的看法。因此,保護??它們至關(guān)重要。
在通常情況下,用戶會收到惡意電子郵件,告訴他們在其中的一個帳戶中發(fā)現(xiàn)了可疑行為。他們被要求提供賬戶驗證的憑證以解決這個問題。如果用戶因此而上當,他們的憑據(jù)就會受到損害。Stein說,“任何試圖進入NFT領域的品牌都將受益于分配資源來監(jiān)控和緩解這些類型的網(wǎng)絡釣魚攻擊。”
5.區(qū)塊鏈橋梁是一個日益嚴重的威脅
不同的區(qū)塊鏈有不同的加密貨幣,受制于不同的規(guī)則。例如,如果有人擁有比特幣但想使用以太坊,他們需要兩個區(qū)塊鏈之間的連接,以允許資產(chǎn)轉(zhuǎn)移。
區(qū)塊鏈橋(有時稱為跨鏈橋)就是這樣做的。Priscaru說,“由于它們的性質(zhì),它們通常沒有嚴格使用智能合約來實施,而是依賴于鏈外組件,當用戶將資產(chǎn)存放在原始鏈上時,這些組件會在另一條鏈上啟動交易。”
一些最大的加密貨幣黑客涉及跨鏈橋,其中包括Ronin、Poly Network、Wormhole。例如,在2022年3月對游戲區(qū)塊鏈Ronin的黑客攻擊中,攻擊者獲得了價值6.25億美元的以太坊和USDC。此外,在2021年8月的Poly Network攻擊期間,一名黑客將超過6億美元的代幣轉(zhuǎn)移到多個加密貨幣錢包中。幸運的是,在這種情況下,這些代幣在兩周后被退回。
6.代碼應該經(jīng)過徹底的測試和審核
擁有良好的代碼應該是任何項目開始時的首要任務。Prisakaru認為,開發(fā)人員應該熟練并愿意關(guān)注細節(jié)。否則,成為安全事件受害者的風險就會增加。例如,在Poly Network攻擊中,攻擊者利用了合約調(diào)用之間的漏洞。
為防止事故發(fā)生,團隊應該進行徹底的測試。企業(yè)還應該與第三方簽訂合同,進行安全審計,盡管這可能會很昂貴且耗時。審計提供系統(tǒng)的代碼審查,以幫助識別已知的漏洞。
當然,檢查代碼是必要的,但還不夠,企業(yè)進行審計的事實并不能保證他們沒有麻煩。Prisakaru說,“在區(qū)塊鏈上,智能合約通常是高度可組合的,而且通常情況下,這個合約會與其他協(xié)議交互。然而,企業(yè)只能控制自己的代碼,與外部協(xié)議交互會增加風險。”
個人和企業(yè)都可以探索另一種風險管理途徑:保險。它可以幫助企業(yè)降低智能合約或托管的成本。
7.密鑰管理
Schwenk說,“加密在本質(zhì)上只是私鑰管理。這對許多企業(yè)來說聽起來很簡單,首席信息安全官可能很清楚這些問題和最佳實踐。”
有幾種可訪問的密鑰管理解決方案。其中之一是Trezor、Ledger或Lattice1等硬件錢包。這些是USB設備,可在其安全元件上生成和存儲加密材料,防止攻擊者訪問私鑰,即使他們可以訪問他人的計算機,例如使用病毒/后門。
另一道防線是多重簽名,可以與硬件錢包一起使用。Prisakaru說,“在它的基礎上,多重簽名是一個智能合約錢包,它要求交易得到其許多所有者的確認。例如,可能有五個所有者,并且需要至少三個人簽署交易才能發(fā)送交易。這樣,攻擊者就必須讓多人參與進來才能使受害者的錢包泄露。”
8.員工和用戶教育
想要集成Web3技術(shù)的企業(yè)需要培訓他們的員工,因為需要新的工具來在不同的區(qū)塊鏈上進行交易。Cofense公司聯(lián)合創(chuàng)始人兼首席技術(shù)官Aaron Higbee說,“數(shù)字資產(chǎn)商務對傳統(tǒng)電子商務來說似乎很熟悉,但在這個新世界中需要精通的工具和瀏覽器插件與財務團隊習慣的完全不同。”
雖然每個企業(yè)都需要擔心基于電子郵件的網(wǎng)絡釣魚攻擊,但處理數(shù)字資產(chǎn)的員工可能會更頻繁地成為攻擊目標。培訓的目的是確保團隊中的每個人都遵循最新的最佳實踐,并且對安全有很好的理解。Check Point公司產(chǎn)品漏洞研究負責人Oded Vanunu表示,他注意到在加密貨幣方面的知識存在“巨大差距”,這可能會使某些公司的事情有點混亂。他說,“想要集成Web3技術(shù)的企業(yè)需要了解這些項目必須有深入的安全審查和安全理解,這意味著他們必須了解可能發(fā)生的數(shù)字和影響。”
一些不想進行私鑰管理的企業(yè)決定使用集中式系統(tǒng),這使他們?nèi)菀资艿絎eb2安全問題的影響。Vanunu說,“我敦促如果他們將Web3技術(shù)集成到他們的Web2中,這必須是一個需要實施深入的安全審查和安全最佳實踐的項目。”
9.NFT和Web3去中心化應用的持久性
許多企業(yè)將淘汰不再滿足其需求的產(chǎn)品,但如果做得好,這通常不適用于區(qū)塊鏈支持的資產(chǎn)。Stein說,“NFT不應被視為一次性的營銷工作,如果NFT本身不在供應鏈上,那么企業(yè)現(xiàn)在就必須來保持它的永久性。如果該項目取得巨大成功,那么該公司就承擔了一項重大任務,為這些NFT的收集者提供災難性或詐騙等方面的支持。”
10.區(qū)塊鏈并不總是正確的工具
新技術(shù)總是令人興奮,但在實現(xiàn)飛躍發(fā)展之前,企業(yè)應該詢問他們是否真正解決了問題,以及是否是采用它們的正確時機。基于區(qū)塊鏈的項目有可能使企業(yè)運營變得更好,但它們也可能消耗資源,至少在初始階段是這樣。
Schwenk說,“權(quán)衡風險/回報將是決策的重要組成部分,并且適當?shù)貫榘踩ぷ魈峁┵Y源,無論是采用還是持續(xù)進行都是至關(guān)重要的。對這些新風險/回報的判斷可能不是核心能力,而且很容易陷入與加密貨幣相關(guān)的炒作中。”
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責任的權(quán)利。
京公網(wǎng)安備 11010502049343號