آشنایی با نقاط ضعف وب 3
وب 3 آینده دنیای فناوری را رقم میزند اما از طرفی محبوبیت این نسخه از وب به عنوان یک مسیر حمله جدید برای مهاجمان سایبری هم رو به افزایش است. بنابراین پیش از اینکه دیر شود، سازمانها نباید از حفاظت از دادههای مشتریان غافل شوند.
Marcus Hutchins، هکری که حالا تبدیل به یک کارشناس امنیت سایبری شده میگوید: «اگرچه ظهور فناوریهای جدید و بهبودیافته نشانه پیشرفت است اما لزوماً فناوریهای جدید همیشه منجر به پیشرفت نمیشوند. در رابطه با حرکت از وب 2 به وب 3، این هکر شفافسازی کرده که چگونه این تغییرات جدید باعث شکلگیری مسیرهای حمله جدیدی میشود.
به روزرسانیهای اخیر با هدف بهبود و ارتقا امنیت طراحی شدند. با توجه به ویژگیهای فناوری بلاکچین و ماهیت ناشناس آن، این نسخه از وب از ایمنی بیشتری نسبت به نسخههای قبلی برخوردار است. هکرها به راحتی نمیتوانند از این شبکهها سوءاستفاده کنند و حتی در صورت انجام این کار هم، فعالیتهایشان ثبت میشوند».
از طرفی ایجاد این تغییرات و اصلاحات منجر به ایجاد نگرانیهای جدیدی شدهاند. برای مثال جنبه امن وب 3 که شامل احراز هویت بلاک چینی در محصولاتی مثل والتهای رمز ارز است میتواند منجر به بروز مشکلات امنیتی مهم برای مشتریان و کسبوکارها شود.
یک هکر سابق، روشهای حمله جدید را توضیح داد
Hutchins در ویدئویی که یکسری از نقاط ضعف امنیتی وب 3 را توضیح داده، میگوید: «وب 3 منجر به ایجاد یک سطح حمله جدید بسیار عظیم شده و حتی هکرها امکان اجرای حمله 51 درصد را هم دارند. در این حمله، مهاجمانی که کنترل بیش از 50 درصد از بلاکچین را تحت اختیار میگیرند میتوانند کل شبکه را کنترل کنند.
Hutchens میگوید: «مشکل بعدی مربوط به قراردادهای هوشمندی است که در وب 2 وجود ندارد. قراردادهای هوشمند، نرمافزارهایی هستند که روی بلاکچین ذخیره میشوند و در صورت بروز شرایطی از پیش تعیین شده، این قراردادها به صورت خودکار اجرا میشوند. از قراردادهای هوشمند برای اجرای توافقنامه بدون واسطه و اتوماسیونسازی جریان کار استفاده میشود. هک قراردادهای هوشمند منجر به ایجاد یک سطح حمله جدید میشود.
اگرچه تاکنون این فناوری جدید هک نشده ولی نباید فرض کنیم که همواره ایمن است. همه فناوریها مستعد آسیبپذیری و اکسپلویت هستند. عدم توجه به آنها صرفاً از این جهت که به عنوان یک گزینه امن معرفی شدهاند، ممکن است منجر به ایجاد بروز ریسکهای جدید و جبرانناپذیری برای سازمان و مشتریانتان شوند.
وب 3 دقیقا چیست؟
این اصطلاح برای اولین بار حدوداً یک دهه پیش توسط گوین وودف، طراح یکی از اولین و موفقترین رمز ارزهای جهان به نام اتریوم ابداع شد. وب 2 یک فناوری غیرمتمرکز است که بر اساس بلاکچین ساخته شده و به کاربران امکان میدهد کنترل دادههای خود را در اختیار داشته باشند و قرار است جایگزین تعاملات اینترنتی با پلتفرمهای سنتی شود.
هدف وب 3 این است که کاربران را به عنوان مسئول اصلی محتوا در نظر گرفته و با این روش، تجربیات کاربری را ارتقا دهد. در این نسخه از وب، نیازی به وجود پلتفرمهای شخص ثالث برای انتشار محتوا وجود ندارد. بنابراین کاربران کنترل دادههای خود را در اختیار دارند و میتوانند به راحتی از طریق آنها درآمدزدایی کنند بجای اینکه این اطلاعات به دیگران فروخته شده و افرادی دیگر کسب درآمد کنند. از حریم خصوصی افراد نیز حفاظت میشود.
وب 3 یک تفاوت بنیادی با وب 2 دارد. وب 2 متمرکز بر خواندن و نوشتن محتوا است در حالی که وب 3 با هدف تولید محتوا و افزایش اعتماد ارائه شده است. این اعتماد باید در راستای بهبود حریم خصوصی و امنیت باشد در حالی که حقیقت چیز دیگری است.
اگرچه بلاکچین منجر به تقویت زیرساختها در برابر حملات سایبری میشود اما کمکی به مقابله با همه ریسکها از جمله مواردی که مختص این نسخه از وب هستند نمیکند. Forrester درباره این فناوری جدید تحقیق کرده و 2 مشکل مهم را در وب 3 شناسایی کرده است. در حال حاضر این نسخه از وب تحت سلطه افراد فرصتطلب و سرمایهگذاران رمز ارزها و سایر داراییهای دیجیتال بخصوص توکنهای تعویضناپذیر (NFT[1]) قرار دارد که همگی در محیطی فاقد نظارتهای قانونی فعالیت میکنند. مسئله بعدی این است که اصول کلی وب 3 برای اکوسیستم کنونی وب قابل اعمال نیستند.
براساس گزارش Forrester، نرمافزارهای کاربردی وب 3 از جمله NFT فقط در برابر حمله آسیبپذیر نیستند. خود این نرمافزارها به دلیل ماهیت توزیع شده بلاکچین نسبت به نسخههای سنتی باعث گسترش بیشتر سطح حمله میشوند». این نرمافزارهای کاربردی هدف اصلی مهاجمان هستند چون توکنهای دیجیتال، ارزش مادی دارند و کدی که در بلاکچین اجرا میشود، به راحتی قابل دسترس است. سیستمهای امنیتی که از زیرساختهای سازمانها حفاظت میکنند، در این اکوسیستم وجود ندارد. کافیست هکرها مهارتهای فنی لازم را داشته باشند تا به اهدافشان برسند. Martha Bennett معاون رئیس و تحلیلگر ارشد Forrester میگوید: «سورس کدها معمولاً در دسترس همه هستند چون از قراردادهای هوشمند با کدهای خصوصی استقبال چندانی نمیشود. رویکرد کلی وب 3، بر مبنای استفاده از کدهای باز است».
برقراری توازن بین تجربیات کاربری و نگرانیهای امنیتی
در دنیای وب 3 والتهای[2] دیجیتال نقش مهمی در حفظ امنیت و حریم خصوصی دارند. همانطور که کیف پول معمولی حاوی محتویات شخصی مثل کارت شناسایی و مقادیر نقدی باارزش است، کیف پول مجازی هم شامل چنین اطلاعاتی است با این تفاوت که در این مدل کاربر باید تصمیم بگیرد که محتوای کیف پول مثل نوع رمز ارز یا اطلاعات هویتی توسط چه شخص یا نهادی تعیین شود.
انتظار سازمانها این است که وب 3 با قرار دادن کنترل در اختیار کاربران به بهبود روابط با مشتریان و ایجاد وفاداری بین مشتریان و برندها کمک کند. دههها رخنه اطلاعاتی، سرقت هویت و افشای اطلاعات تأثیر قابل توجهی بر روابط بین مشتریان و شرکتها گذاشته است.
البته بین کیف پول دیجیتال و کیف پول واقعی یک تفاوت مهم وجود دارد. اگر کیف پول معمولی شما گم شود، شاید فقط پول نقدیتان را از دست بدهید اما میتوانید کارت اعتباری، گواهینامه رانندگی و سایر مدارک هویتی را دوباره دریافت کنید. در رابطه با والت دیجیتال شرایط متفاوت است چون در صورت دسترسی هکر به کلید والت، همه موجودی آن برای همیشه از دست خواهد رفت. در وب 3 بخشی برای رسیدگی به کلاهبرداری و گزارش چنین حوادثی وجود ندارد.
در مجموع، مهاجمان سایبری همواره به دنبال راههایی برای دستیابی به منافع خود هستند. این افراد راهکارهایی برای نفوذ به وب 3 و در هم شکستن تدابیر امنیتی بلاکچین پیدا میکنند. همین حالا هم مهاجمان استفاده از ارزهای دیجیتال را ترجیح میدهند و در وب 3، پول تبدیل به عضو مهمی از زیرساخت میشود. از آنجا که تاکنون هیچ سیستم امنیتی خارجی برای وب 3 و دادههای آن ساخته نشده، ممکن است انگیزه هکرها برای در هم شکستن امنیت این نسخه وب افزایش پیدا کند.
[1] non-fungible token
[2] کیف پول مجازی
منبع: securityintelligence