首席信息安全官必须应对的十个NFT和加密货币安全风险
2022-04-19 14:47:11来源:企业网D1Net
如今,越来越多的企业接受加密货币支付,因此客户可以购买几乎所有他们想要的东西:例如电子产品、支付学费和卡布奇诺咖啡。与此同时,不可替代代币(NFT)市场规模也正在快速扩展,一些新潮艺术家成为百万富翁,例如Snoop Dogg、Martha Stewart和Grimes等知名人士也在利用这一趋势。
加密货币和NFT在许多企业的议程上讨论Web3的影响及其带来的机会。互联网发展的这一新的重大转变有望使人们的数字世界去中心化,为用户提供更多的控制权和更透明的信息流。
在各行各业,很多企业都在尽最大努力适应新的模式。但首席信息安全官有很多担忧,主要面临的问题是网络安全和身份欺诈、市场安全风险、密钥和数据管理以及隐私。
任何形式的加密货币(包括NFT),都存在一系列大多数企业可能不熟悉的威胁和安全问题。研究机构Digital Asset Research公司首席执行官Doug Schwenk表示:“它需要许多新的操作程序暴露于一套新的系统(公共区块链),并带来企业不太熟悉的许多风险。”
首席信息安全官对这些问题的看法可能会影响用户和业务合作伙伴。Confiant公司高级安全工程师Eliya Stein说,“数据泄露会对企业或其用户或NFT收集者产生直接的财务影响。”
以下是加密货币和NFT给首席信息安全官带来的十个重大的安全风险。
1.集成区块链协议可能很复杂区块链是一种相对较新的技术。因此,将区块链协议整合到项目中变得有点困难。调研机构德勤公司的一份报告称:“与区块链相关的主要挑战是缺乏对该技术的认识,尤其是在银行业以外的领域,并且普遍缺乏对其运作方式的了解。这阻碍了投资和想法的探索。”
企业应仔细评估每个受支持链的成熟度和适用性。Schwenk说,“采用处于早期阶段的区块链协议可能会导致停机和安全风险,而后期协议目前具有更高的交易费用。在选择支持所需用途(例如支付)的协议之后,赞助商可能无法提供任何支持。这更像是采用开源代码,可能需要特定的服务提供商的服务才能充分实现价值。”
2.资产所有权规范变化当有人购买NFT时,他们实际上并没有购买图像,因为将图片存储在区块链中是不切实际的。与其相反,用户获得的是某种将他们指向该图像的收据。
区块链仅存储图像的标识,可以是哈希值或URL。经常使用HTTP协议,但其去中心化的替代方案是星际文件系统(IPFS)。选择IPFS的企业需要了解IPFS节点将由销售NFT的公司运行,如果该公司决定关闭商店,用户可能无法访问NFT指向的图像。
独立安全研究员Anatol Prisacaru说,“虽然在技术上可以将文件重新上传到IPFS,但用户不太可能这样做,因为这个过程很复杂。然而,一个很好的方面是,由于去中心化和无需许可的性质,任何人都可以做到这一点,不仅仅是项目开发人员。”
3.市场安全风险虽然NFT基于区块链技术,但与之相关的图像或视频可以存储在集中式或分散式平台上。通常为了方便,将会选择集中式模型,因为它使用户更容易与数字资产进行交互。这样做的缺点是NFT市场可以继承Web2的漏洞。此外,虽然传统的银行交易是可逆的,但区块链上的交易却不是。
Priscaru说,“受损的服务器可能会向用户提供误导性信息,诱使用户执行交易,从而盗取其资金。”但是,投入足够的时间和精力来正确实施可以防止攻击,尤其是在使用去中心化平台时。
Priscaru说,“当以去中心化的方式正确实施时,受损的市场不能窃取或更改用户的资产;然而,一些市场会偷工减料,牺牲安全性和去中心化以获得更多控制权,”
4.身份欺诈和加密货币诈骗加密货币诈骗事件很常见,而且通常会有大量受害者。Stein说,“网络欺诈者经常关注备受期待的NFT版本,并且通常有数十个诈骗网站准备好与正式发布同步进行推广。”成为这些骗局受害者的客户通常是最忠诚的客户,这种糟糕的体验可能会影响他们对企业的看法。因此,保护它们至关重要。
在通常情况下,用户会收到恶意电子邮件,告诉他们在其中的一个帐户中发现了可疑行为。他们被要求提供账户验证的凭证以解决这个问题。如果用户因此而上当,他们的凭据就会受到损害。Stein说,“任何试图进入NFT领域的品牌都将受益于分配资源来监控和缓解这些类型的网络钓鱼攻击。”
5.区块链桥梁是一个日益严重的威胁不同的区块链有不同的加密货币,受制于不同的规则。例如,如果有人拥有比特币但想使用以太坊,他们需要两个区块链之间的连接,以允许资产转移。
区块链桥(有时称为跨链桥)就是这样做的。Priscaru说,“由于它们的性质,它们通常没有严格使用智能合约来实施,而是依赖于链外组件,当用户将资产存放在原始链上时,这些组件会在另一条链上启动交易。”
一些最大的加密货币黑客涉及跨链桥,其中包括Ronin、Poly Network、Wormhole。例如,在2022年3月对游戏区块链Ronin的黑客攻击中,攻击者获得了价值6.25亿美元的以太坊和USDC。此外,在2021年8月的Poly Network攻击期间,一名黑客将超过6亿美元的代币转移到多个加密货币钱包中。幸运的是,在这种情况下,这些代币在两周后被退回。
6.代码应该经过彻底的测试和审核拥有良好的代码应该是任何项目开始时的首要任务。Prisakaru认为,开发人员应该熟练并愿意关注细节。否则,成为安全事件受害者的风险就会增加。例如,在Poly Network攻击中,攻击者利用了合约调用之间的漏洞。
为防止事故发生,团队应该进行彻底的测试。企业还应该与第三方签订合同,进行安全审计,尽管这可能会很昂贵且耗时。审计提供系统的代码审查,以帮助识别已知的漏洞。
当然,检查代码是必要的,但还不够,企业进行审计的事实并不能保证他们没有麻烦。Prisakaru说,“在区块链上,智能合约通常是高度可组合的,而且通常情况下,这个合约会与其他协议交互。然而,企业只能控制自己的代码,与外部协议交互会增加风险。”
个人和企业都可以探索另一种风险管理途径:保险。它可以帮助企业降低智能合约或托管的成本。
7.密钥管理Schwenk说,“加密在本质上只是私钥管理。这对许多企业来说听起来很简单,首席信息安全官可能很清楚这些问题和最佳实践。”
有几种可访问的密钥管理解决方案。其中之一是Trezor、Ledger或Lattice1等硬件钱包。这些是USB设备,可在其安全元件上生成和存储加密材料,防止攻击者访问私钥,即使他们可以访问他人的计算机,例如使用病毒/后门。
另一道防线是多重签名,可以与硬件钱包一起使用。Prisakaru说,“在它的基础上,多重签名是一个智能合约钱包,它要求交易得到其许多所有者的确认。例如,可能有五个所有者,并且需要至少三个人签署交易才能发送交易。这样,攻击者就必须让多人参与进来才能使受害者的钱包泄露。”
8.员工和用户教育想要集成Web3技术的企业需要培训他们的员工,因为需要新的工具来在不同的区块链上进行交易。Cofense公司联合创始人兼首席技术官Aaron Higbee说,“数字资产商务对传统电子商务来说似乎很熟悉,但在这个新世界中需要精通的工具和浏览器插件与财务团队习惯的完全不同。”
虽然每个企业都需要担心基于电子邮件的网络钓鱼攻击,但处理数字资产的员工可能会更频繁地成为攻击目标。培训的目的是确保团队中的每个人都遵循最新的最佳实践,并且对安全有很好的理解。Check Point公司产品漏洞研究负责人Oded Vanunu表示,他注意到在加密货币方面的知识存在“巨大差距”,这可能会使某些公司的事情有点混乱。他说,“想要集成Web3技术的企业需要了解这些项目必须有深入的安全审查和安全理解,这意味着他们必须了解可能发生的数字和影响。”
一些不想进行私钥管理的企业决定使用集中式系统,这使他们容易受到Web2安全问题的影响。Vanunu说,“我敦促如果他们将Web3技术集成到他们的Web2中,这必须是一个需要实施深入的安全审查和安全最佳实践的项目。”
9.NFT和Web3去中心化应用的持久性许多企业将淘汰不再满足其需求的产品,但如果做得好,这通常不适用于区块链支持的资产。Stein说,“NFT不应被视为一次性的营销工作,如果NFT本身不在供应链上,那么企业现在就必须来保持它的永久性。如果该项目取得巨大成功,那么该公司就承担了一项重大任务,为这些NFT的收集者提供灾难性或诈骗等方面的支持。”
10.区块链并不总是正确的工具新技术总是令人兴奋,但在实现飞跃发展之前,企业应该询问他们是否真正解决了问题,以及是否是采用它们的正确时机。基于区块链的项目有可能使企业运营变得更好,但它们也可能消耗资源,至少在初始阶段是这样。
Schwenk说,“权衡风险/回报将是决策的重要组成部分,并且适当地为安全工作提供资源,无论是采用还是持续进行都是至关重要的。对这些新风险/回报的判断可能不是核心能力,而且很容易陷入与加密货币相关的炒作中。”