آشنایی با نقاط ضعف وب 3

وب 3 آینده دنیای فناوری را رقم می‌زند اما از طرفی محبوبیت این نسخه از وب به عنوان یک مسیر حمله جدید برای مهاجمان سایبری هم رو به افزایش است. بنابراین پیش از اینکه دیر شود، سازمان‌ها نباید از حفاظت از داده‌های مشتریان غافل شوند.

Marcus Hutchins، هکری که حالا تبدیل به یک کارشناس امنیت سایبری شده می‌گوید: «اگرچه ظهور فناوری‌های جدید و بهبودیافته نشانه پیشرفت است اما لزوماً فناوری‌های جدید همیشه منجر به پیشرفت نمی‌شوند. در رابطه با حرکت از وب 2 به وب 3، این هکر شفاف‌سازی کرده که چگونه این تغییرات جدید باعث شکل‌گیری مسیرهای حمله جدیدی می‌شود.

به روزرسانی‌های اخیر با هدف بهبود و ارتقا امنیت طراحی شدند. با توجه به ویژگی‌های فناوری بلاک‌چین و ماهیت ناشناس آن، این نسخه از وب از ایمنی بیشتری نسبت به نسخه‌های قبلی برخوردار است. هکرها به راحتی نمی‌توانند از این شبکه‌ها سوءاستفاده کنند و حتی در صورت انجام این کار هم، فعالیت‌هایشان ثبت می‌شوند».

از طرفی ایجاد این تغییرات و اصلاحات منجر به ایجاد نگرانی‌های جدیدی شده‌اند. برای مثال جنبه امن وب 3 که شامل احراز هویت بلاک چینی در محصولاتی مثل والت‌های رمز ارز است می‌تواند منجر به بروز مشکلات امنیتی مهم برای مشتریان و کسب‌وکارها شود.

یک هکر سابق، روش‌های حمله جدید را توضیح داد

Hutchins در ویدئویی که یکسری از نقاط ضعف امنیتی وب 3 را توضیح داده، می‌گوید: «وب 3 منجر به ایجاد یک سطح حمله جدید بسیار عظیم شده و حتی هکرها امکان اجرای حمله 51 درصد را هم دارند. در این حمله، مهاجمانی که کنترل بیش از 50 درصد از بلاک‌چین را تحت اختیار می‌گیرند می‌توانند کل شبکه را کنترل کنند.

Hutchens می‌گوید: «مشکل بعدی مربوط به قراردادهای هوشمندی است که در وب 2 وجود ندارد. قراردادهای هوشمند، نرم‌افزارهایی هستند که روی بلاک‌چین ذخیره می‌شوند و در صورت بروز شرایطی از پیش تعیین شده، این قراردادها به صورت خودکار اجرا می‌شوند. از قراردادهای هوشمند برای اجرای توافقنامه بدون واسطه و اتوماسیون‌سازی جریان کار استفاده می‌شود. هک قراردادهای هوشمند منجر به ایجاد یک سطح حمله جدید می‌شود.

اگرچه تاکنون این فناوری جدید هک نشده ولی نباید فرض کنیم که همواره ایمن است. همه فناوری‌ها مستعد آسیب‌پذیری و اکسپلویت هستند. عدم توجه به آنها صرفاً از این جهت که به عنوان یک گزینه امن معرفی شده‌اند، ممکن است منجر به ایجاد بروز ریسک‌های جدید و جبران‌ناپذیری برای سازمان و مشتریان‌تان شوند.

وب 3 دقیقا چیست؟

این اصطلاح برای اولین بار حدوداً یک دهه پیش توسط گوین وودف، طراح یکی از اولین و موفق‌ترین رمز ارزهای جهان به نام اتریوم ابداع شد. وب 2 یک فناوری غیرمتمرکز است که بر اساس بلاک‌چین ساخته شده و به کاربران امکان می‌دهد کنترل داده‌های خود را در اختیار داشته باشند و قرار است جایگزین تعاملات اینترنتی با پلتفرم‌های سنتی شود.

هدف وب 3 این است که کاربران را به عنوان مسئول اصلی محتوا در نظر گرفته و با این روش، تجربیات کاربری را ارتقا دهد. در این نسخه از وب، نیازی به وجود پلتفرم‌های شخص ثالث برای انتشار محتوا وجود ندارد. بنابراین کاربران کنترل داده‌های‌ خود را در اختیار دارند و می‌توانند به راحتی از طریق آنها درآمدزدایی کنند بجای اینکه این اطلاعات به دیگران فروخته شده و افرادی دیگر کسب درآمد کنند. از حریم خصوصی افراد نیز حفاظت می‌شود.

وب 3 یک تفاوت بنیادی با وب 2 دارد. وب 2 متمرکز بر خواندن و نوشتن محتوا است در حالی که وب 3 با هدف تولید محتوا و افزایش اعتماد ارائه شده است. این اعتماد باید در راستای بهبود حریم خصوصی و امنیت باشد در حالی که حقیقت چیز دیگری است.

اگرچه بلاک‌چین منجر به تقویت زیرساخت‌ها در برابر حملات سایبری می‌شود اما کمکی به مقابله با همه ریسک‌ها از جمله مواردی که مختص این نسخه از وب هستند نمی‌کند. Forrester درباره این فناوری جدید تحقیق کرده و 2 مشکل مهم را در وب 3 شناسایی کرده است. در حال حاضر این نسخه از وب تحت سلطه افراد فرصت‌طلب و سرمایه‌گذاران رمز ارزها و سایر دارایی‌های دیجیتال بخصوص توکن‌های تعویض‌ناپذیر (NFT[1]) قرار دارد که همگی در محیطی فاقد نظارت‌های قانونی فعالیت می‌کنند. مسئله بعدی این است که اصول کلی وب 3 برای اکوسیستم کنونی وب قابل اعمال نیستند.

براساس گزارش Forrester، نرم‌افزارهای کاربردی وب 3 از جمله NFT فقط در برابر حمله آسیب‌پذیر نیستند. خود این نرم‌افزارها به دلیل ماهیت توزیع شده بلاک‌چین نسبت به نسخه‌های سنتی باعث گسترش بیشتر سطح حمله می‌شوند». این نرم‌افزارهای کاربردی هدف اصلی مهاجمان هستند چون توکن‌های دیجیتال، ارزش مادی دارند و کدی که در بلاک‌چین اجرا می‌شود، به راحتی قابل دسترس است. سیستم‌های امنیتی که از زیرساخت‌های سازمان‌ها حفاظت می‌کنند، در این اکوسیستم وجود ندارد. کافیست هکرها مهارت‌های فنی لازم را داشته باشند تا به اهدافشان برسند. Martha Bennett معاون رئیس و تحلیلگر ارشد Forrester می‌گوید: «سورس کدها معمولاً در دسترس همه هستند چون از قراردادهای هوشمند با کدهای خصوصی استقبال چندانی نمی‌شود. رویکرد کلی وب 3، بر مبنای استفاده از کدهای باز است».

برقراری توازن بین تجربیات کاربری و نگرانی‌های امنیتی

در دنیای وب 3 والت‌های[2] دیجیتال نقش مهمی در حفظ امنیت و حریم خصوصی دارند. همانطور که کیف پول معمولی حاوی محتویات شخصی مثل کارت شناسایی و مقادیر نقدی باارزش است، کیف پول مجازی هم شامل چنین اطلاعاتی است با این تفاوت که در این مدل کاربر باید تصمیم بگیرد که محتوای کیف پول مثل نوع رمز ارز یا اطلاعات هویتی توسط چه شخص یا نهادی تعیین شود.

انتظار سازمان‌ها این است که وب 3 با قرار دادن کنترل در اختیار کاربران به بهبود روابط با مشتریان و ایجاد وفاداری بین مشتریان و برندها کمک کند. دهه‌ها رخنه اطلاعاتی، سرقت هویت و افشای اطلاعات تأثیر قابل توجهی بر روابط بین مشتریان و شرکت‌ها گذاشته است.

البته بین کیف پول دیجیتال و کیف پول واقعی یک تفاوت مهم وجود دارد. اگر کیف پول معمولی شما گم شود، شاید فقط پول نقدی‌تان را از دست بدهید اما می‌توانید کارت اعتباری، گواهینامه رانندگی و سایر مدارک هویتی را دوباره دریافت کنید. در رابطه با والت دیجیتال شرایط متفاوت است چون در صورت دسترسی هکر به کلید والت، همه موجودی آن برای همیشه از دست خواهد رفت. در وب 3 بخشی برای رسیدگی به کلاهبرداری و گزارش چنین حوادثی وجود ندارد.

در مجموع، مهاجمان سایبری همواره به دنبال راه‌هایی برای دستیابی به منافع خود هستند. این افراد راهکارهایی برای نفوذ به وب 3 و در هم شکستن تدابیر امنیتی بلاک‌چین پیدا می‌کنند. همین حالا هم مهاجمان استفاده از ارزهای دیجیتال را ترجیح می‌دهند و در وب 3، پول تبدیل به عضو مهمی از زیرساخت می‌شود. از آنجا که تاکنون هیچ سیستم امنیتی خارجی برای وب 3 و داده‌های آن ساخته نشده، ممکن است انگیزه هکرها برای در هم شکستن امنیت این نسخه وب افزایش پیدا کند.

[1] non-fungible token

[2] کیف پول مجازی

منبع: securityintelligence