10 خطر امنیتی NFT و ارزهای دیجیتال که CISO باید به آنها توجه کند

فهرست شرکت‌هایی که اجرای تراکنش با رمز ارزها را قبول می‌کنند همواره در حال گسترش است. بنابراین کاربران می‌توانند هر آنچه که مایل هستند مثل لوازم الکترونیک، خوراکی و حتی مدرک دانشگاهی را با استفاده از رمز ارزها خریداری کنند. از طرفی بازار توکن‌های تعویض‌ناپذیر یا NFT (به انگلیسی: non-fungible token) که دارای اطلاعات ویژه‌ و متفاوت با سایر ارزهای دیجیتال هستند هم رونق چشمگیری یافته و به میلیونر شدن هنرمندان جدید کمک کرده است. چهره‌های شناخته شده‌تری مثل اسنوپ داگ، مارتا استوارت و گرایمز هم به این موج پیوسته‌اند.

در حال حاضر شرکت‌ها به بحث و بررسی در رابطه با رمز ارزها و NFT در راستای پیوستن به وب 3 (که جدیدترین مرحله تکامل در اینترنت است و امکان کنترل اطلاعات را برای کاربران فراهم می‌کند در آن وجود دارد) و فرصت‌های ایجاد شده توسط آن، می‌پردازند. این تغییر جدید و مهم در شیوه تکامل اینترنت امید به تمرکززدایی دنیای دیجیتال را ایجاد نموده و امکان کنترل و همچنین شفافیت بیشتر جریان اطلاعات را فراهم می‌کند.

در صنایع مختلف، شرکت‌ها در حال تلاش برای در پیش گرفتن بهترین رویکرد در این مسیر هستند اما مدیران ارشد امنیت اطلاعات دغدغه‌های بی‌شماری از جمله امنیت سایبری، تشخیص جعل، مخاطرات مربوط به امنیت بازارهای مجازی، مدیریت داده‌ها و کلیدها و حریم خصوصی در این زمینه را دارند.

رمز ارزها در هر شکل و فرمی از جمله NFT نگرانی‌های امنیتی و تهدیداتی را ایجاد می‌کنند که سازمان‌ها معمولاً آشنایی چندانی با آنها ندارند. Doug Schwenk مدیرعامل Digital Asset Research می‌گوید: «استفاده از این فناوری شبکه‌ها را در معرض اتصال با سیستم‌ها و پایگاه‌های داده جدید (بلاک‌چین‌های عمومی) قرار می‌دهد و شامل مخاطراتی است که بسیاری از شرکت‌ها آشنایی چندان زیادی با آنها ندارند. از این رو سازمان‌ها باید پیش از ایجاد مخاطرات امنیتی جدی و جهت جلوگیری از به بار آمدن پیامدهای مخرب رویه‌های عملیاتی جدیدی را در پیش بگیرند».

دیدگاه مدیران ارشد امنیت سایبری نسبت به این مسائل می‌تواند بر روی کاربران و شرکت‌های همکار تأثیرگذار باشد. Eliya Stein مهندس ارشد امنیت سایبری در شرکت Confiant می‌گوید: «واضح است که هک و نفوذ منجر به ایجاد تأثیرات اقتصادی مخرب فوری بر روی سازمان‌ها، کارمندان و حتی مشتریان آنها می‌شود».

در ادامه ده تهدید امنیتی جدی که توسط رمز ارزها و توکن‌های تعویض‌ناپذیر برای مدیران ارشد امنیت اطلاعات ایجاد می‌شوند را مورد بررسی قرار می‌دهیم.

1. پیچیدگی ادغام پروتکل‌های بلاک‌چین در پروژه‌ها

بلاک‌چین یک فناوری نسبتاً جدید است. در نتیجه ممکن است بکارگیری پروتکل‌های بلاک‌چین در هر پروژه‌ای کمی دشوار باشد. بر اساس گزارش شرکت Deloitte: «چالش اصلی مرتبط با فناوری بلاک‌چین به ویژه در بخش‌هایی به جز  بانکداری، فقدان آگاهی نسبت به این فناوری و همچنین عدم درک گسترده‌ای است که نسبت به نحوه عملکرد آن وجود دارد. این موضوع منجر به بروز مشکل در سرمایه‌گذاری و کاوش ایده‌های جدید می‌شود».

شرکت‌ها باید با دقت هر زنجیره مورد پشتیبانی خودشان را بررسی کنند. Schwenk می‌گوید: «بکارگیری پروتکل بلاک‌چینی که مراحل اولیه طراحی را طی می‌کند، می‌تواند منجر به ایجاد ریسک‌های امنیتی و از قطع خدمات شود. پروتکل‌های پیشرفته‌تر نیز در حال حاضر کارمزد تراکنش بیشتری دارند. ممکن است یک پروتکل پس از انتخاب جهت پشتیبانی از کاربرد مدنظر (مثل اجرای تراکنش) تحت پشتیبانی توسط حامی مالی قرار نگیرد. این شرایط معمولاً مشابه استفاده از فناوری متن باز است که احتمال دارد برای تحقق کامل ارزش آن نیاز به ارایه‌دهندگان سرویس خاصی وجود داشته باشد».

پروتکل‌های بلاک‌چین

2. تغییر هنجارهای مالکیت دارایی

وقتی شخصی یک NFT می‌خرد، در واقع تصویری را نمی‌خرد، زیرا ذخیره عکس‌ها در بلاک چین به دلیل اندازه آنها غیرعملی است. در عوض، چیزی که کاربران به دست می آورند نوعی رسید است که آنها را به آن تصویر راهنمایی می کند.

بلاک‌چین فقط شناسه تصاویر را ذخیره می‌کند. این شناسه می‌تواند هش یک لینک باشد. معمولاً از پروتکل HTTP استفاده می‌شود اما جایگزین غیرمتمرکز آن، سیستم فایل سیاره‌ای یا همتا به همتا یا IPES (به انگلیسی:Interplanetary File System) است. سازمان‌هایی که از سیستم IPFS استفاده می‌کنند باید دقت کنند که نود IPFS توسط شرکت فروشنده NFT اداره می‌شود. اگر این شرکت تصمیم به تعطیلی فروشگاه خود بگیرد، ممکن است دسترسی کاربران به توکن‌های تعویض‌ناپذیرشان قطع شود.

Anatol Prisacaru محقق مستقل امنیت سایبری می‌گوید: «اگرچه از نظر فنی امکان بارگذاری مجدد یک فایل به IPFS وجود دارد اما با توجه به پیچیدگی چنین فرایندی بعید است که یک کاربر معمولی قادر به انجام این کار باشد. با این وجود به دلیل ماهیت غیرمتمرکز و بی‌نیاز به مجوز این فناوری، نه تنها توسعه‌دهندگان پروژه بلکه همه افراد می‌توانند این عمل را انجام دهند».

3. ریسک‌های امنیتی بازار

اگرچه NFTها مبتنی بر فناوری بلاک‌چین هستند اما عکس و ویدیوهای مربوط به آنها بر روی پلتفرم‌های متمرکز یا غیرمتمرکز نیز قابل ذخیره است. مدل متمرکز منجر به ساده‌سازی تعامل کاربران با دارایی‌های دیجیتالی می‌شود. بنابراین در بسیاری از موارد از مدل متمرکز استفاده می‌گردد. البته در اجرای چنین رویکردی ممکن است بازارهای NFT آسیب‌پذیری‌های وب 2 را به ارث ببرند. همچنین بر خلاف سیستم بانکی سنتی، تراکنش‌های بلاک‌چین برگشت‌پذیر نیستند.

Prisacaru می‌گوید: «ممکن است هک یک سرور باعث شود اطلاعاتی اشتباه در اختیار کاربران قرار گرفته و آنها را به سمت اجرای تراکنش‌هایی سوق دهد که منجر به خالی شدن کیف پول دیجیتال‌شان می‌شود». با این وجود امکان حفاظت از این فناوری در برابر حملات به‌ویژه در هنگام استفاده از یک پلتفرم غیرمتمرکز با صرف زمان و تلاش کافی برای پیاده‌سازی صحیح آن وجود دارد.

Prisacaru می‌گوید: «در صورت پیاده‌سازی صحیح یک بازار غیرمتمرکز بعید است که هک آن باعث سرقت یا تغییر دارایی‌های کاربران شود اما بعضی از این بازارها با یکسری راهکار میانبر طراحی می‌شوند و امنیت و تمرکززدایی را قربانی کنترل بیشتر می‌کنند».

4. کلاهبرداری‌های رمز ارزها و جعل هویت

کلاهبرداری در دنیای رمز ارزها بسیار رایج است و معمولاً قربانیان زیادی هم دارد. Stein می‌گوید: «کلاهبرداران همواره سعی می‌کنند در جریان عرضه توکن‌هایی که کاربران مدت‌ها منتظر آن بوده‌اند، قرار بگیرند. مجرمان سایبری معمولاً ده‌ها وب‌سایت آماده برای تولید توکن داشته و آنها را همزمان با شروع به کار پروژه اصلی تبلیغ می‌کنند». کاربرانی که قربانی چنین کلاهبرداری‌هایی می‌شوند عموماً وفادارترین‌ها هستند و همین تجربه بد می‌تواند بر دیدگاه‌شان نسبت به برند مدنظر تأثیرگذار باشد. بنابراین حفاظت از این افراد در برابر چنین حملاتی بسیار مهم و حیاتی است.

در بسیاری از مواقع کاربران ایمیل‌های مخربی دریافت می‌کنند که به آنها هشدار می‌دهند در یکی از حساب‌های‌شان فعالیت‌های مشکوکی مشاهده شده است. سپس از کاربر می‌خواهند که برای ورود به حساب و حل مشکل، اطلاعات حساب (نام کاربری و کلمه عبور) را وارد کنند. اگر کاربران این درخواست را انجام دهند، حسابشان در اختیار مجرمان قرار می‌گیرد. بنا به گفته Stein: «هر برندی که وارد حوزه NFT می‌شود از اختصاص منابع برای نظارت و مقابله با چنین حملات فیشینگی سود خواهد برد».

5. پل‌های بلاک‌چین، تهدیدی نوظهور

بلاک‌چین‌های مختلف دارای توکن‌ها و قوانین متفاوتی هستند. برای مثال اگر شخصی دارای رمز ارز بیت‌کوین است در حالی که قصد خرج اتریوم را دارد، باید از پل بین این دو بلاک‌چین که امکان انتقال ارزها را فراهم می‌کند استفاده نماید.

پل بلاک‌چین که با عنوان پل بین زنجیره‌ای نیز شناخته می‌شود، امکان اجرای این تراکنش را فراهم می‌کند. Prisacaru می‌گوید: «این پل‌ها معمولاً به دلیل ماهیت خاصی که دارند به صورت دقیق و با استفاده از قراردادهای هوشمند پیاده‌سازی نمی‌شوند و متکی بر اجزای برون زنجیره‌ای هستند. به عبارتی وقتی کاربر وجه را بر روی زنجیره اصلی واریز می‌کند، تراکنش را در زنجیره دیگر اجرا می‌نمایند».

بعضی از بزرگترین هک‌های رمز ارزها از جمله رانین، شبکه پلی و وارم‌هول شامل هک پل‌های بین زنجیره‌ای بوده‌اند. برای مثال در هک بلاک‌چین رانین که در سال 2022 میلادی رخ داد، مهاجمان 625 میلیون دلار اتریوم و USDC را به سرقت بردند. همچنین در حمله به شبکه پلی یک هکر بیش از 600 میلیون دلار توکن را از چند کیف پول دیجیتال جابجا کرد. خوشبختانه در این مورد خاص، ارزهای به سرقت رفته دو هفته بعد برگشت داده شدند.

6. نیاز به بررسی و امتحان کامل کدها

در همه پروژه‌ها نوشتن کدهای خوب باید از همان ابتدا جزو اولویت‌ها باشد. Prisacaru معتقد است که توسعه‌دهندگان باید مهارت کافی را داشته و به جزئیات دقت کنند. در غیر این صورت ممکن است قربانی حوادث و حملات امنیتی شوند. برای مثال در حمله به شبکه پلی، مهاجم از یک آسیب‌پذیری که بین فراخوانی قراردادها وجود داشت سوءاستفاده کرد.

برای پیشگیری از وقوع چنین حملاتی تیم‌ها باید آزمون‌های لازم را به صورت کامل اجرا کنند. سازمان هم باید با یک شخص ثالث برای بررسی امنیتی کامل کد تماس بگیرد. البته ممکن است انجام این کار پرهزینه و زمانبر باشد. این بررسی‌ها شامل بازبینی سیستماتیک کد برای تشخیص آسیب‌پذیری‌های شناخته شده هستند.

توجه کنید که بررسی کد ضروری است اما کافی نیست. بررسی کد به منزله تضمین بر عدم وجود هیچ مشکلی در کد نیست. Prisacaru می‌گوید: «در یک بلاک‌چین معمولاً قراردادهای هوشمند به شدت قابل ترکیب بوده و در بسیاری از مواقع قراردادهای شما با پروتکل‌های دیگر تعامل دارند. از طرفی مشاغل فقط بر کد خودشان کنترل داشته و تعامل با پروتکل‌های خارجی منجر به افزایش ریسک می‌شود».

افراد و مشاغل می‌توانند از بیمه برای مدیریت ریسک که به شرکت‌ها برای کاهش هزینه‌های هک کمک می‌کند استفاده نمایند.

7. مدیریت کلیدها

بنا به گفته Schwenk: «دنیای رمز ارزها در اصل از مدیریت کلیدهای خصوصی تشکیل شده است. این موضوع برای بسیاری از شرکت‌ها ساده به نظر می‌رسد و ممکن است مدیران ارشد امنیت اطلاعات از مشکلات و اصول توصیه شده در این زمینه آگاه باشند».

برای مدیریت کلید، چندین راهکار مختلف وجود دارد. یکی از آنها استفاده از والت‌های سخت‌افزاری مثل ترزور و لجر است. این والت‌ها یکسری دستگاه USB هستند که کلیدهای رمزنگاری را تولید و بر روی عنصر امن خودشان ذخیره می‌کنند تا از دسترسی هکرها به کلیدهای خصوصی با استفاده از یک ویروس یا در پشتی (حتی در صورت دسترسی به کامپیوتر شما) پیشگیری نمایند.

مدل چند امضایی سازوکار دفاعی دیگری است که امکان استفاده از آن به همراه والت‌های سخت‌افزاری وجود دارد. Prisacaru می‌گوید: «والت چند امضایی در اصل یک والت با قابلیت پشتیبانی از قراردادهای هوشمند است که تراکنش‌های آن باید توسط چند مالک تأیید شوند. برای مثال ممکن است یک والت 5 مالک داشته و امضای حداقل 3 مالک برای ارسال هر تراکنش ضروری است. به این ترتیب هکرها باید برای به خطر انداختن چنین والتی، بیش از یک نفر را هک کنند».

8. آموزش کارمندان و کاربران

سازمان‌هایی که مایل به استفاده از فناوری‌های وب 3 هستند، برای تعامل با بلاک‌چین‌های مختلف نیاز به استفاده از ابزارهای جدید دارند. بنابراین آنها باید آموزش‌های لازم را در رابطه با استفاده از این تجهیزات به کارمندان‌شان بدهند. Aaron Higbee هم‌ بنیانگذار و مدیر ارشد فناوری شرکت Cofense می‌گوید: «شاید تراکنش‌های ارزهای دیجیتال مشابه تراکنش‌های سنتی به نظر برسند اما ابزارها و افزونه‌های مرورگری که در این دنیا باید از آنها استفاده کرد با آنچه که تیم‌های اقتصادی به استفاده از آن خو گرفته‌اند، متفاوت است».

اگرچه همه مشاغل باید به حملاتی مثل فیشینگ مبتنی بر ایمیل توجه داشته باشند اما احتمال هدف‌گیری کارمندانی که با ارزهای دیجیتال کار می‌کنند بیشتر است. هدف از ارایه چنین آموزش‌هایی کسب اطمینان از پیروی همه اعضای تیم از اصول توصیه شده و افزایش درک آنها نسبت به امنیت سایبری است. Oded Vanunu مدیر تحقیق آسیب‌پذیری محصولات در شرکت Check Point می‌گوید: «متوجه یک خلأ بزرگ در اطلاعات افراد در این زمینه شده است. این خلاء می‌تواند برای بعضی از شرکت‌ها بسیار مشکل آفرین باشد. سازمان‌هایی که مایل به استفاده از فناوری‌های وب 3 هستند باید درک کنند که این پروژه‌ها نیاز به یک بررسی امنیتی کامل و عمیق دارند. طراحان چنین پروژه‌هایی هم باید اطلاعات امنیتی کاملی داشته و با اعداد و ارقام و پیامدهایی که ممکن است ایجاد گردند، آشنا باشند».

بعضی از سازمان‌هایی که مایل به مدیریت کلیدی به صورت خصوصی نیستند تصمیم به استفاده از یک سیستم متمرکز می‌گیرند. این سیستم متمرکز ممکن است آنها را در برابر مشکلات امنیتی وب 2 آسیب‌پذیر کند. بنا به گفته Vanunu: «شرکت‌ها جهت بکارگیری فناوری‌های وب 3 در وب 2 باید یک بررسی امنیتی عمیق انجام داده و اصول امنیتی لازم را پیاده‌سازی کنند».

9. ماندگاری توکن‌های تعویضناپذیر و برنامه‌های کاربردی غیرمتمرکز وب 3

بسیاری از سازمان‌ها محصولاتی که بیش از این مورد نیازشان نیست را رها می‌کنند اما ممکن است امکان انجام این کار برای دارایی‌هایی با پشتوانه بلاک‌چین وجود نداشته باشد. Stein می‌گوید: «نباید توکن‌های NFT را مثل یک تلاش یکباره برای بازاریابی در نظر گرفت. اگر خود NFT بر روی زنجیره نباشد، شرکت مربوطه باید تا ابد اقدامات مربوط به رسیدگی و مراقبت از آن را انجام دهد. در صورت موفقیت پروژه مدنظر، شرکت باید اقدامات زیادی برای پیشگیری از کلاهبرداری و مراقبت از کاربران خودش انجام دهد».

یکی از همین پروژه‌های موفق، پروژه‌ای است که توسط دولت اوکراین راه‌اندازی شد. در این پروژه که بر اساس وقایع جنگ این کشور طراحی شده توکن‌های تعویض‌ناپذیر مخصوصی فروخته می‌شود. Mykhailo Fedorov وزیر تحول دیجیتال و معاون نخست وزیر اوکراین در توئیتی نوشت: «این پروژه در راستای زنده نگه داشتن یاد این جنگ و به پاس هویت و آزادی اوکراین راه‌اندازی شده است». علاقمندان به توکن‌های تعویض‌ناپذیر واکنش مثبتی به این حرکت نشان داده و اعلام کردند که قصد دارند همزمان با خرید تکه‌ای از تاریخ از اوکراین حمایت کنند. البته این افراد انتظار دارند که این پروژه همیشه سرپا و زنده بماند.

10. بلاک‌چین، همیشه ابزار مناسبی نیست

فناوری‌های جدید همچنان دارای جذابیت‌های خاص و بی‌شماری هستند اما سازمان‌ها باید پیش از پیوستن به این موج از خودشان بپرسند که آیا این فناوری مشکلی از آنها را حل می‌کند و آیا زمان مناسبی برای استفاده از این فناوری رسیده است یا خیر. پروژه‌های مبتنی بر بلاک‌چین قابلیت ایجاد تغییرات مثبتی را در سازمان‌ها دارند اما ممکن است حداقل در مراحل اولیه منجر به مصرف شدید منابع گردند.

Schwenk می‌گوید: «ارزیابی نسبت ریسک به سود بخش مهمی از این تصمیم‌گیری است و تأمین منابع مناسب برای حفظ امنیت آن حیاتی می‌باشد. ممکن است هنوز قضاوت درباره نسبت ریسک به سود این فناوری‌های جدید ممکن نباشد و شاید برای شرکت‌ها راحت‌تر باشد که به این موضوع توجهی نداشته و مثل همه به این موج ملحق گردند».

برای مطالعه سایر مقالات در حوزه امنیت سایبری اینجا کلیک کنید.

منبع: csoonline

خروج از نسخه موبایل