حرکت سریع نگرانی های امنیت سایبری از Web2 به Web3 

وقت خواندن: 9 دقیقه

امروزه شرکت‌های Web3 که می‌خواهند ویژگی‌های بومی web2 را به محصولات موجود خود اضافه کنند، به‌دنبال پذیرش بسیاری از Web3 هستند. اما صبر کنید، انقلاب web3 چه چیزی را روی میز می آورد؟

برای درک حیاتی که Web3 دارد، بیایید پیشرفت به دست آمده توسط تکرارهای وب در طول سال ها را ردیابی کنیم. 

Web1 – که عموماً به عنوان وب استاتیک نامیده می شود، تعامل را تسهیل نمی کند، اما شرکت ها صفحات ایستا را برای مصرف محتوا ایجاد می کنند. سپس Web2 تکامل یافت و زمینه را برای تعامل کاربران با آزادی اضافه کردن و ایجاد محتوا در پلتفرم های وب فراهم کرد. 

مرحله بعدی بلوغ جایی است که کنترل داده ها به کاربران واگذار می شود، بدون اینکه هیچ طرف متمرکزی اطلاعات کاربر را در اختیار نداشته باشد. این نشان دهنده طلوع وب 3 است!

برای درک بهتر زیرساخت نسخه های مختلف وب، ارزش آن را دارد که لحظه ای به تحولات امنیتی نگاه کنید.

Web1 از یک لایه سوکت ایمن (SSL) برای برقراری ارتباط امن بین مرورگرها و سرورها استفاده کرد. واسطه های Web2 مانند گوگل، فیس بوک و غیره که به اطلاعات کاربر دسترسی داشتند، امنیت لایه حمل و نقل (TLS) را اتخاذ کردند. 

در حالی که امنیت Web3 به لایه های پایگاه داده متکی نیست، بلکه قراردادهای هوشمند را برای مدیریت منطق و وضعیت اجرا قرار می دهد. قرار دادن کنترل داده ها در دست کاربر، تمرکززدایی را وارد بازی کرد، بنابراین سطح جدیدی از اصلاحات امنیتی را خواستار شد. 

اکنون زمانی است که تاکید از Web2 به Web3 منتقل می شود. این امر نیاز به انجام یک تجزیه و تحلیل امنیتی جامع از اینترنت موجود Web2 در مقابل web3 تازه یافته شده برای وضوح بهتر را ضروری می کند. 

این وبلاگ قصد دارد بخش امنیتی را به طور مفصل برجسته کند. بیایید فقط وارد شویم!

نگرانی های امنیت سایبری در Web2 

نسل دوم وب، که انتقال از صفحات وب استاتیک به وب پویا را نشان می داد، منجر به ایجاد ارتباط باز بین جوامع وب شد. با بداهه پردازی ها در عملکرد، بسیاری از مسائل در Web2 ظاهر شد.

اگرچه Web3 در همه جنبه ها بسیار جلوتر از وب 2 است، مهم است که گرد و غبار را پاک کنید امنیت وب 2 برای درک اینکه چگونه حملات مشابه در web3 آزمایش می شوند و باعث نقض امنیت می شوند. 

لایه های معماری امنیت سایبری Web2

و بنابراین به اینجا می‌رویم – آسیب‌پذیری‌های امنیتی برتر Web2. 

عدم وجود کنترل های احراز هویت: Web2 حقوق مربوط به محتوا را بین بسیاری از کاربران و نه به طور خاص به تعداد منتخبی از افراد مجاز توزیع می کند. بنابراین، این شانس بسیار خوبی را برای هر کاربر کم‌تجربه‌ای می‌دهد تا بر سیستم کلی تأثیر منفی بگذارد.

به عنوان مثال، یک مهاجم می‌تواند وارد سایت شود و خود را به عنوان یک کاربر احراز هویت برای ارسال اطلاعات جعلی و انجام فعالیت‌های اداری غیرمعتبر پنهان کند.

تقلب در درخواست بین سایتی: کاربر از وب سایتی بازدید می کند که عادی به نظر می رسد اما کد مخربی که به وب سایت ناخواسته هدایت می شود در آن قرار دارد. نمونه‌ای از این آسیب‌پذیری در توییتر است که صاحبان سایت‌ها را برای استخراج پروفایل‌های توییتر کاربرانی که از وب‌سایتشان بازدید می‌کنند، ترجیح می‌دهد. 

فیشینگ بزرگترین سردرد در همه زمان ها است و به طور گسترده در web2 و web3 استفاده می شود، اگرچه الگوی حمله ممکن است کمی متفاوت باشد. حملات فیشینگ به ضعف نرم افزاری متکی نیستند، اما مهاجمان از عدم آگاهی کاربر در اینجا سوء استفاده می کنند. 

به طور کلی، مهاجم یک ایمیل برای قربانی ارسال می کند و اطلاعات حساس را می خواهد. این منجر به فرود قربانی در سایت های کلاهبرداری می شود و در نتیجه نتایج موثری برای حملات فیشینگ به همراه دارد.

یکپارچگی اطلاعات: اطمینان از یکپارچگی داده ها یک عنصر مهم امنیتی است زیرا اطلاعات گمراه کننده تأثیری ایجاد می کند که کمتر از یک هک نیست. 

به عنوان مثال، ویکی‌پدیا، سایتی که توسط تعداد نسبتاً کافی از مردم استفاده می‌شود، به اشتباه مرگ سناتور کندی را پیش از موعد اعلام کرد. این نوع داده های نادرست باعث اعوجاج بیشتری در مصرف محتوای معتبر از وب می شود.

ضد اتوماسیون ناکافی: رابط های قابل برنامه ریزی Web2 به هکرها کمک می کند تا حملات را آسان تر خودکار کنند، مانند حملات CSRF و بازیابی خودکار اطلاعات کاربر. نشت اطلاعات که در آن داده های حساس به طور ناخواسته در سایت ها منتشر می شوند نیز در web2 رایج است. 

لعاب Web3

با نگاهی به تهدیدات امنیتی Web2، بیایید دریابیم که چگونه رویکرد وب 3 با هدف رفع موانع مربوط به داده ها و پیشبرد اینترنت در عملکرد آن است. 

Web3 برای کاربران عرصه وسیعی از فرصت‌ها را برای کسب درآمد و تعامل با همتایان خود بدون نیاز به واسطه باز کرده است. شبکه‌های بلاک چین و قراردادهای هوشمند بیشتر تمرکززدایی را تشکیل می‌دهند که در مرحله جدید انقلاب اینترنتی به وجود آمده است. 

حذف نقطه کنترل مرکزی در Web3 حملات مرتبط را محدود می کند و بنابراین به افزایش امنیت نسبت به آنچه در حال حاضر وجود دارد کمک می کند. مزیت دیگر کاهش هزینه ها با کاهش سهمی است که نصیب واسطه ها می شود.

از آنجایی که از تعامل همتا به همتا حمایت می کند، کنترل بیشتری بر روی داده هایی که می خواهند به دست آورند می دهد. همچنین، داده‌های اینجا با در نظر گرفتن امنیت و حریم خصوصی رمزگذاری شده‌اند، بنابراین هیچ اطلاعاتی به‌طور تصادفی به هیچ طرف دیگری درز نمی‌کند. 

نگرانی های امنیت سایبری در Web3 

Web3 دیگر مفهومی بیگانه نیست، زیرا قبلاً در بین عموم مردم جا افتاده است. در برخی کشورها، حتی ارزهای مجازی نیز توسط ارزهای دیجیتال بانک مرکزی (CBDC) پشتیبانی و منتشر می شوند. 

ظاهراً رشد بی رویه به معنای آوردن تهدیدهای امنیتی جدید نیز است. بیایید تهدیدات نوظهور Web3 را درک کنیم. 

لایه معماری امنیت سایبری Web3

صحت اطلاعات - موضوع سوال

در زیرساخت مدیریت غیرمتمرکز داده، تقدس و اصالت اطلاعات همچنان یک معما باقی مانده است. هیچ پاسخگویی برای صحت اطلاعات وجود ندارد، بنابراین می تواند بزرگترین منبع اطلاعات نادرست نیز باشد.

آسیب پذیری های بلاک چین - اجتناب ناپذیر 

گره ها شبکه های بلاک چین را کنترل می کنند. اما زمانی که بیش از 51 درصد از بلاک چین توسط عوامل مخرب کنترل می شود، بلاک چین همیشه ایمن در معرض دستکاری قرار می گیرد و منجر به سرقت رمزارز و سرقت پول می شود. 

تهدیدات فیشینگ - یک هک همیشه سبز

همانطور که قبلاً گفتیم، تهدیدات فیشینگ چیز جدیدی نیست، اما نحوه استفاده از آن در وب 3 احتمالاً ضررهای سنگینی را به همراه خواهد داشت. مفهوم یکسان است، که در آن لینک های مخرب از طریق ایمیل و اعلامیه های جعلی با لینک های ارسال شده در کانال های رسانه های اجتماعی مانند Discord، Instagram، Twitter و غیره برای کاربران ارسال می شوند.

در اینجا چند نمونه از حملات فیشینگ آورده شده است. در سال 2021، ارزهای رمزنگاری شده از 6000 حساب مشتری در کوین بیس سرقت شد، 1.7 میلیون دلار از NFTهای کاربران OpenSea به دلیل حملات فیشینگ از دست رفت، پروفایل افراد مشهور هک شد تا پیوندهای فیشینگ را به گردش درآورند و غیره هرازگاهی در تیتر اخبار قرار می گیرند. 

کشش فرش: رویدادهای فرش کشی بیشتر با پروژه های DeFi مرتبط است که در آن تیم توسعه به طور ناگهانی سرمایه گذاران را با برداشت تمام نقدینگی خود رها می کند. عدم تحقیق زیاد در مورد پروژه یا FOMO باعث می شود که سرمایه گذاران بعداً در پروژه های نامشروع سرمایه گذاری کنند تا سرمایه خود را در چند لحظه از بین ببرند. 

تهدیدات امنیتی Web3 به ارث رسیده از Web2

با توجه به امنیت وب 2 و وب 3، درس هایی می توان از آسیب پذیری های وب 2 برای محافظت از آینده اینترنت آموخت. با توجه به ماهیت غیرمتمرکز Web3، اطمینان از استحکام قراردادهای هوشمند و پروتکل‌های بلاک چین حیاتی است. 

اما پس از آن، پروژه های web3 هنوز از چارچوب های وب 2 خاصی برای عملکردهای اضافی استفاده می کنند. مهاجمان از این استفاده می کنند و از آسیب پذیری های web2 در فضای وب 3 سوء استفاده می کنند. در اینجا به ذکر چند مورد از چنین اتفاقاتی می پردازیم. 

اکسپلویت گوگل تگ منیجر

KyberSwap، یک صرافی غیرمتمرکز، به دلیل آسیب پذیری مدیر برچسب گوگل (GTM) 265,000 دلار از دست داد. GTM یک سیستم مدیریت برچسب برای افزودن و به روز رسانی برچسب های بازاریابی دیجیتال برای ردیابی و تجزیه و تحلیل سایت است. 

در حادثه KyberSwap، هکر موفق شد از طریق فیشینگ به حساب GTM خود دسترسی پیدا کند و کدهای مخرب را درج کند. و نتیجه یک قسمت جلویی به خطر افتاده است که منجر به از دست دادن دلار شد. علت اصلی عمل فیشینگ است. 

سوء استفاده از سیستم نام دامنه

در سال 2022، یک آسیب‌پذیری وب2 دیگر ضرری معادل 570,000 هزار دلار به Curve Finance، یک صرافی غیرمتمرکز، وارد کرد. این بار مسمومیت حافظه پنهان سیستم نام دامنه (DNS) توسط هکرها بود که کاربران را به جای سایت تأیید شده Curve Finance به یک سایت کپی جعلی هدایت کرد. 

DNS ابزاری است که کاربران را به سایتی که در جستجوی خود تایپ می کنند هدایت می کند. هکر با ایجاد یک نسخه از سایت Curve Finance، کاربران را فریب داد تا از آن بازدید کنند و آنها را مجبور به تایید قرارداد مخرب در صفحه اصلی کنند. با تأیید استفاده از قراردادها در کیف پول، وجوه کاربر به طور کلی به حدود 570,000 دلار کاهش یافت. 

بنابراین، نکته مهم این است که هنگام راه‌اندازی پروژه‌ها در فضاهای web2، مراقب آسیب‌پذیری امنیتی Web3 باشیم. 

چرا پروژه ها از Web2 به Web3 وارد می شوند؟ 

یک کارشناس می‌گوید: «موردهای استفاده از Web3 عمدتاً به‌عنوان پیشنهادهایی در داخل موارد استفاده از Web2 که قبلاً در حال توزیع هستند، تبلیغ می‌شوند. 

بسیاری از کاربران اکنون ترجیح می دهند در دنیایی با UX بد زندگی نکنند، بلکه کنترل کامل داده های خود را داشته باشند. شرکت‌های Web2 در حال یافتن بخش‌ها و قطعات جالب زیادی در Web3 هستند که برای کاربران جذاب‌تر است و بنابراین می‌خواهند آنها را در پلتفرم‌های خود به ارث ببرند. 

به عنوان مثال، برندهایی مانند فیس بوک و توییتر با درک موارد استفاده بالقوه خود، پذیرش NFT ها را در پلتفرم های خود معرفی می کنند. روند فعلی این است که شرکت‌های Web2 پذیرش وب3 را بسیار بیشتر می‌کنند. 

بشنوید که اعداد در مورد وضعیت امنیت Web3 چه می‌گویند

• متداول‌ترین تکنیک‌های هک در Web3 همچنان بهره‌برداری از آسیب‌پذیری قراردادی است که 45.8 درصد را شامل می‌شود و حملات وام‌های فلش را تشکیل می‌دهند.
• خسارات ناشی از حوادث قالیبافی تنها در سال 2022 به حدود 34,266,403 دلار رسید و موارد بیشتری از حملات فیشینگ در سرورهای Discord مشاهده شد. 
• نیمی از پروژه های مورد حمله حسابرسی نشده اند. 

آیا ما انتخابی برای کاهش خطرات و تضمین امنیت Web3 داریم؟

چرا که نه؟ روش‌های زیادی برای مهار رخنه‌های امنیتی وجود دارد، و این بهترین بخش در مورد Web3 است. Web3 قبلاً برجستگی خود را نشان داده است و نگرانی های مبرم آن دامنه تقویت امنیت و اثربخشی را گسترش می دهد.

درگیر اصول امنیت بر اساس طراحی

در حین ساختاردهی محصول و چارچوب‌ها، توسعه‌دهندگان باید ذهنیت امنیتی برای به حداقل رساندن سطح حمله، پیش‌فرض‌های ایمن، چارچوب‌های بدون اعتماد و غیره داشته باشند. 

توجه به پویایی بازار Web3

Web3 فراتر از فناوری است و شامل چندین پویایی قانونی، فرهنگی و اقتصادی است که باید قبل از القای تنظیمات و ادغام های خاص در نظر گرفته شوند.

همکاری اطلاعات با منابع امنیتی پیشرو در صنعت

همکاری با همتایان صنعت یا شرکت در برنامه های مدیریت ریسک سایبری به افزایش آگاهی برای کاهش تهدیدهای نوظهور کمک می کند. راهنمایی های امنیتی منتشر شده در سیستم عامل های منبع باز مانند GitHub یا OODA Loop را می توان به خوبی مورد استفاده قرار داد. 

تجزیه و تحلیل مستقل و حسابرسی کد قرارداد هوشمند

پس از تکمیل فرآیند توسعه، ارزیابی کد باید برای رفع عیوب از قبل انجام شود تا در گرماگرم حادثه. خدمات حسابرسی توجه تخصصی به بردارهای حمله، حفاظت از حریم خصوصی و غیره در کد داشته باشید، که تیم پروژه در حین توسعه از آنها چشم پوشی می کند. 

چگونه Quillaudits به ورود ایمن به واقعیت بعدی اینترنت کمک می کند؟

QuillAudits یک مقصد برای راه حل های امنیت سایبری web3 است. دامنه خدمات ارائه شده به طور گسترده ای برای ایمن سازی پروژه های وب 3 و سرمایه گذاران از همه زوایای گسترده است. در اینجا بینشی در مورد شناخت خدمات متنوعی که ارائه می‌دهیم آورده شده است.

حسابرسی قرارداد هوشمند

ما از یک رویکرد جامع برای حسابرسی قراردادهای هوشمند توسعه یافته برای بلاک چین های مختلف مانند اتریوم، سولانا، پلیگون و غیره پیروی می کنیم. ما از تکنیک های پیشرفته برای بررسی این موضوع استفاده می کنیم. کد برای نقص های امنیتی و آسیب پذیری های احتمالی. 

کارشناسان حسابرسی ما پس از بررسی، گزارش مفصلی را همراه با توصیه های امنیتی برای غلبه بر خطرات احتمالی در قراردادهای هوشمند به اشتراک می گذارند. بدین ترتیب احتمال موفقیت پروژه افزایش می یابد. 

علت سعی و کوشش

از آنجایی که فضای پررونق Web3 به اندازه کافی تنظیم نشده است، قالی‌کشی بسیار رایج است و در نتیجه سرمایه‌گذاران را با توکن‌های بی‌ارزش رها می‌کنند. خدمات دقت لازم ما با انجام تحقیقات کامل در مورد پروژه و توصیه گزینه‌های سرمایه‌گذاری مطمئن‌تر، محافظت در برابر کشیدگی فرش را ارائه می‌کنند.

KYC

خدمات KYC ما شامل بررسی پیشینه پروژه برای تایید قانونی بودن آن است. بدین ترتیب به مالکان کمک می کند تا شهرت پروژه خود را ایجاد کنند و آنها را در مقابل جوامع خود به رخ بکشند. 

پرسش های متداول

وب3 چه کاری می تواند انجام دهد که وب2 نمی تواند؟

مهمترین مزیت وب 3 نسبت به وب 2، کنترل کامل داده ها است. Web3 کاربران را به عرصه وسیعی از فرصت‌ها برای کسب درآمد و تعامل با همتایان خود بدون نیاز به واسطه باز می‌کند.

آیا Web3 امن است؟

از آنجایی که web3 اطلاعات را در دفتر کل توزیع شده ذخیره می کند، از هر برنامه سنتی ایمن تر است. با این حال، تهدیداتی خاص برای web3 وجود دارد که می توان با پیروی از شیوه های صحیح آن را کاهش داد. با مطالعه وبلاگ در این مورد بیشتر بدانید.

نگرانی هایی در مورد وب 2 که وب 3 به آنها می پردازد چیست؟

اگرچه استفاده از web2 چندین مزیت دارد، اما مسائلی مانند دسترسی برابر، کنترل اطلاعات، مسائل مربوط به کپی رایت، حریم خصوصی، امنیت و غیره وجود دارد. Web3 سعی می کند همه آنها را از طریق فناوری بلاک چین حل کند.

چرا Web3 آینده است؟

بسیاری از کاربران اکنون ترجیح می دهند در دنیایی با UX بد زندگی نکنند، بلکه کنترل کاملی بر داده های خود داشته باشند. شرکت‌های Web2 در حال یافتن بخش‌ها و قطعات جالب زیادی در Web3 هستند که برای کاربران جذاب‌تر است و بنابراین می‌خواهند آنها را در پلتفرم‌های خود به ارث ببرند. 

2 نمایش ها