首席信息安全官必須應對的10個NFT和加密貨幣安全風險
如今,越來越多的企業接受加密貨幣支付,因此客戶可以購買幾乎所有他們想要的東西:例如電子產品、支付學費和卡布奇諾咖啡。與此同時,不可替代代幣(NFT)市場規模也正在快速擴展,一些新潮藝術家成為百萬富翁,例如Snoop Dogg、Martha Stewart和Grimes等知名人士也在利用這一趨勢。
加密貨幣和NFT在許多企業的議程上討論Web3的影響及其帶來的機會。互聯網發展的這一新的重大轉變有望使人們的數字世界去中心化,為用戶提供更多的控制權和更透明的信息流。
在各行各業,很多企業都在盡最大努力適應新的模式。但首席信息安全官有很多擔憂,主要面臨的問題是網絡安全和身份欺詐、市場安全風險、密鑰和數據管理以及隱私。
任何形式的加密貨幣(包括NFT),都存在一系列大多數企業可能不熟悉的威脅和安全問題。研究機構Digital Asset Research公司首席執行官Doug Schwenk表示:“它需要許多新的操作程序暴露于一套新的系統(公共區塊鏈),并帶來企業不太熟悉的許多風險。”
首席信息安全官對這些問題的看法可能會影響用戶和業務合作伙伴。Confiant公司高級安全工程師Eliya Stein說,“數據泄露會對企業或其用戶或NFT收集者產生直接的財務影響。”
以下是加密貨幣和NFT給首席信息安全官帶來的十個重大的安全風險。
1.集成區塊鏈協議可能很復雜
區塊鏈是一種相對較新的技術。因此,將區塊鏈協議整合到項目中變得有點困難。調研機構德勤公司的一份報告稱:“與區塊鏈相關的主要挑戰是缺乏對該技術的認識,尤其是在銀行業以外的領域,并且普遍缺乏對其運作方式的了解。這阻礙了投資和想法的探索。”
企業應仔細評估每個受支持鏈的成熟度和適用性。Schwenk說,“采用處于早期階段的區塊鏈協議可能會導致停機和安全風險,而后期協議目前具有更高的交易費用。在選擇支持所需用途(例如支付)的協議之后,贊助商可能無法提供任何支持。這更像是采用開源代碼,可能需要特定的服務提供商的服務才能充分實現價值。”
2.資產所有權規范變化
當有人購買NFT時,他們實際上并沒有購買圖像,因為將圖片存儲在區塊鏈中是不切實際的。與其相反,用戶獲得的是某種將他們指向該圖像的收據。
區塊鏈僅存儲圖像的標識,可以是哈希值或URL。經常使用HTTP協議,但其去中心化的替代方案是星際文件系統(IPFS)。選擇IPFS的企業需要了解IPFS節點將由銷售NFT的公司運行,如果該公司決定關閉商店,用戶可能無法訪問NFT指向的圖像。
獨立安全研究員Anatol Prisacaru說,“雖然在技術上可以將文件重新上傳到IPFS,但用戶不太可能這樣做,因為這個過程很復雜。然而,一個很好的方面是,由于去中心化和無需許可的性質,任何人都可以做到這一點,不僅僅是項目開發人員。”
3.市場安全風險
雖然NFT基于區塊鏈技術,但與之相關的圖像或視頻可以存儲在集中式或分散式平臺上。通常為了方便,將會選擇集中式模型,因為它使用戶更容易與數字資產進行交互。這樣做的缺點是NFT市場可以繼承Web2的漏洞。此外,雖然傳統的銀行交易是可逆的,但區塊鏈上的交易卻不是。
Priscaru說,“受損的服務器可能會向用戶提供誤導性信息,誘使用戶執行交易,從而盜取其資金。”但是,投入足夠的時間和精力來正確實施可以防止攻擊,尤其是在使用去中心化平臺時。
Priscaru說,“當以去中心化的方式正確實施時,受損的市場不能竊取或更改用戶的資產;然而,一些市場會偷工減料,犧牲安全性和去中心化以獲得更多控制權,”
4.身份欺詐和加密貨幣詐騙
加密貨幣詐騙事件很常見,而且通常會有大量受害者。Stein說,“網絡欺詐者經常關注備受期待的NFT版本,并且通常有數十個詐騙網站準備好與正式發布同步進行推廣。”成為這些騙局受害者的客戶通常是最忠誠的客戶,這種糟糕的體驗可能會影響他們對企業的看法。因此,保護??它們至關重要。
在通常情況下,用戶會收到惡意電子郵件,告訴他們在其中的一個帳戶中發現了可疑行為。他們被要求提供賬戶驗證的憑證以解決這個問題。如果用戶因此而上當,他們的憑據就會受到損害。Stein說,“任何試圖進入NFT領域的品牌都將受益于分配資源來監控和緩解這些類型的網絡釣魚攻擊。”
5.區塊鏈橋梁是一個日益嚴重的威脅
不同的區塊鏈有不同的加密貨幣,受制于不同的規則。例如,如果有人擁有比特幣但想使用以太坊,他們需要兩個區塊鏈之間的連接,以允許資產轉移。
區塊鏈橋(有時稱為跨鏈橋)就是這樣做的。Priscaru說,“由于它們的性質,它們通常沒有嚴格使用智能合約來實施,而是依賴于鏈外組件,當用戶將資產存放在原始鏈上時,這些組件會在另一條鏈上啟動交易。”
一些最大的加密貨幣黑客涉及跨鏈橋,其中包括Ronin、Poly Network、Wormhole。例如,在2022年3月對游戲區塊鏈Ronin的黑客攻擊中,攻擊者獲得了價值6.25億美元的以太坊和USDC。此外,在2021年8月的Poly Network攻擊期間,一名黑客將超過6億美元的代幣轉移到多個加密貨幣錢包中。幸運的是,在這種情況下,這些代幣在兩周后被退回。
6.代碼應該經過徹底的測試和審核
擁有良好的代碼應該是任何項目開始時的首要任務。Prisakaru認為,開發人員應該熟練并愿意關注細節。否則,成為安全事件受害者的風險就會增加。例如,在Poly Network攻擊中,攻擊者利用了合約調用之間的漏洞。
為防止事故發生,團隊應該進行徹底的測試。企業還應該與第三方簽訂合同,進行安全審計,盡管這可能會很昂貴且耗時。審計提供系統的代碼審查,以幫助識別已知的漏洞。
當然,檢查代碼是必要的,但還不夠,企業進行審計的事實并不能保證他們沒有麻煩。Prisakaru說,“在區塊鏈上,智能合約通常是高度可組合的,而且通常情況下,這個合約會與其他協議交互。然而,企業只能控制自己的代碼,與外部協議交互會增加風險。”
個人和企業都可以探索另一種風險管理途徑:保險。它可以幫助企業降低智能合約或托管的成本。
7.密鑰管理
Schwenk說,“加密在本質上只是私鑰管理。這對許多企業來說聽起來很簡單,首席信息安全官可能很清楚這些問題和最佳實踐。”
有幾種可訪問的密鑰管理解決方案。其中之一是Trezor、Ledger或Lattice1等硬件錢包。這些是USB設備,可在其安全元件上生成和存儲加密材料,防止攻擊者訪問私鑰,即使他們可以訪問他人的計算機,例如使用病毒/后門。
另一道防線是多重簽名,可以與硬件錢包一起使用。Prisakaru說,“在它的基礎上,多重簽名是一個智能合約錢包,它要求交易得到其許多所有者的確認。例如,可能有五個所有者,并且需要至少三個人簽署交易才能發送交易。這樣,攻擊者就必須讓多人參與進來才能使受害者的錢包泄露。”
8.員工和用戶教育
想要集成Web3技術的企業需要培訓他們的員工,因為需要新的工具來在不同的區塊鏈上進行交易。Cofense公司聯合創始人兼首席技術官Aaron Higbee說,“數字資產商務對傳統電子商務來說似乎很熟悉,但在這個新世界中需要精通的工具和瀏覽器插件與財務團隊習慣的完全不同。”
雖然每個企業都需要擔心基于電子郵件的網絡釣魚攻擊,但處理數字資產的員工可能會更頻繁地成為攻擊目標。培訓的目的是確保團隊中的每個人都遵循最新的最佳實踐,并且對安全有很好的理解。Check Point公司產品漏洞研究負責人Oded Vanunu表示,他注意到在加密貨幣方面的知識存在“巨大差距”,這可能會使某些公司的事情有點混亂。他說,“想要集成Web3技術的企業需要了解這些項目必須有深入的安全審查和安全理解,這意味著他們必須了解可能發生的數字和影響。”
一些不想進行私鑰管理的企業決定使用集中式系統,這使他們容易受到Web2安全問題的影響。Vanunu說,“我敦促如果他們將Web3技術集成到他們的Web2中,這必須是一個需要實施深入的安全審查和安全最佳實踐的項目。”
9.NFT和Web3去中心化應用的持久性
許多企業將淘汰不再滿足其需求的產品,但如果做得好,這通常不適用于區塊鏈支持的資產。Stein說,“NFT不應被視為一次性的營銷工作,如果NFT本身不在供應鏈上,那么企業現在就必須來保持它的永久性。如果該項目取得巨大成功,那么該公司就承擔了一項重大任務,為這些NFT的收集者提供災難性或詐騙等方面的支持。”
10.區塊鏈并不總是正確的工具
新技術總是令人興奮,但在實現飛躍發展之前,企業應該詢問他們是否真正解決了問題,以及是否是采用它們的正確時機。基于區塊鏈的項目有可能使企業運營變得更好,但它們也可能消耗資源,至少在初始階段是這樣。
Schwenk說,“權衡風險/回報將是決策的重要組成部分,并且適當地為安全工作提供資源,無論是采用還是持續進行都是至關重要的。對這些新風險/回報的判斷可能不是核心能力,而且很容易陷入與加密貨幣相關的炒作中。”
