A kiberbiztonsági aggályok gyors átállása a Web2-ről a Web3-ra 

Olvasási idő: 9 jegyzőkönyv

Napjainkban a Web3 alkalmazásának nagy részét keresik a Web2-cégek, akik web3 natív funkciókat szeretnének hozzáadni meglévő termékeikhez. De várjunk csak, mit hoz a web3 forradalom az asztalra?

Ahhoz, hogy megértsük a Web3 életerejét, kövessük nyomon a webiterációk által elért fejlődést az évek során. 

Web1 – közismertebb nevén statikus web, nem segíti elő az interakciót, de a cégek statikus oldalakat hoztak létre tartalomfogyasztás céljából. Ezt követően fejlődött ki a Web2, amely lehetőséget kínál a felhasználók interakciójára, és szabadon hozzáadhat és létrehozhat tartalmat webes platformokon. 

Az érés következő szakasza az, amikor az adatok feletti irányítást a felhasználók kezébe adják, anélkül, hogy központosított felek birtokolnák a felhasználói információkat. Ez jelzi a web3 hajnalát!

Érdemes egy pillanatra áttekinteni a biztonsági átalakításokat, hogy jobban megértsük a különböző webes verziók infrastruktúráját.

A Web1 Secure Socket Layer (SSL) segítségével biztonságos kommunikációt létesített a böngészők és a szerverek között. A Web2 közvetítői, mint például a Google, a Facebook stb., akik hozzáfértek a felhasználói információkhoz, átvették a Transport Layer Security (TLS) védelmét. 

Míg a Web3 biztonsága nem az adatbázis-rétegekre támaszkodik, hanem az intelligens szerződésekkel kezeli a végrehajtás logikáját és állapotát. Az adatkezelés a felhasználó kezébe adása a decentralizációt hozta játékba, ami egy teljesen új szintű biztonsági módosítást igényelt. 

Itt az idő, amikor a hangsúly a Web2-ről a Web3-ra kerül. Ez szükségessé teszi a meglévő Web2 internet és az újonnan talált web3 átfogó biztonsági elemzését a jobb átláthatóság érdekében. 

Ennek a blognak a célja, hogy részletesen kiemelje a biztonsági részt. Menjünk csak be!

Kiberbiztonsági aggályok a Web2-ben 

A web második generációja, amely a statikus weboldalakról a dinamikus webre való átmenetet jelentette, nyílt kommunikációhoz vezetett a webes közösségek között. A funkcionalitás improvizációival számos probléma merült fel a Web2-ben.

Bár a Web3 minden tekintetben messze megelőzi a web2-t, fontos, hogy leporolja a port web2 biztonság hogy megértsük, hogyan próbálnak ki hasonló támadásokat a web3-on, ami biztonsági megsértéseket okoz. 

A Web2 kiberbiztonság építészeti rétegei

És hát íme – a web2 legfontosabb biztonsági rései. 

Hitelesítési ellenőrzések hiánya: A Web2 a tartalomra vonatkozó jogokat sok felhasználónak osztja ki, nem pedig meghatározott számú jogosult személynek. Így ez nagyon jó esélyt ad minden kevésbé tapasztalt felhasználó számára, hogy negatívan befolyásolja az egész rendszert.

Például egy támadó bejelentkezhet a webhelyre, és hitelesített felhasználónak álcázza magát, hogy hamis információkat tegyen közzé, és nem hiteles adminisztrációs tevékenységeket hajtson végre.

Webhelyek közötti kéréssel kapcsolatos csalás: A felhasználó felkeresi azt a webhelyet, amely normálisnak tűnik, de amelyen belül található a rosszindulatú kód, amely nem kívánt webhelyre irányít. Példa erre a Twitter biztonsági rése, amely előnyben részesítette a webhelytulajdonosokat, hogy kimásolják a webhelyüket felkereső felhasználók Twitter-profilját. 

Az adathalászat mindig a legnagyobb fejtörést okozza, és a web2-ben és a web3-ban a legszélesebb körben használatos, bár a támadási minta kissé eltérhet. Az adathalász támadások nem a szoftver gyengeségén alapulnak, hanem a támadók itt kihasználják a felhasználói tudatosság hiányát. 

Általában a támadó e-mailt küld az áldozatnak, amelyben bizalmas információkat kér. Ez ahhoz vezet, hogy az áldozat csalárd oldalakon landol, ami hatékony eredményeket eredményez az adathalász támadásoknál.

Információ integritása: Az adatok integritásának biztosítása a biztonság kulcsfontosságú eleme, mivel a félrevezető információk nem kevésbé hackelést okoznak. 

Például a Wikipédia, az elég sok ember által használt oldal, tévedésből idő előtt bejelentette Kennedy szenátor halálát. Az ilyen típusú pontatlan adatok nagyobb torzulást okoznának az internetről származó hiteles tartalom fogyasztásában.

Elégtelen antiautomatizálás: A Web2 programozható felületei megkönnyítették a hackerek számára a támadások automatizálását, például a CSRF-támadásokat és a felhasználói információk automatikus visszakeresését. A web2-ben is gyakoriak azok az információszivárgások, amelyek során érzékeny adatok véletlenül kerülnek közzé az oldalakon. 

Web3 máz

A Web2 biztonsági fenyegetései után nézzük meg, hogy a web3 megközelítése hogyan kívánja megoldani az adatokkal kapcsolatos akadályokat, és hogyan viszi előre az internetet működésében. 

A Web3 a lehetőségek széles színterét nyitotta meg a felhasználók számára a bevételszerzésre és a társaikkal való interakcióra közvetítők nélkül. A blokklánc-hálózatok és az intelligens szerződések adják a legtöbb decentralizációt, amelyet az internetes forradalom új szakasza hozott. 

A központi irányítási pont eltávolítása a Web3-ban leszűkíti a kapcsolt támadásokat, és így hozzájárul a jelenleginél nagyobb biztonsághoz. Egy másik előny a költségek csökkentése a közvetítőkhöz jutó részesedés csökkentésével.

Mivel előnyben részesíti a peer-to-peer interakciót, további ellenőrzést ad a megszerezni kívánt adatok felett. Ezenkívül az itt található adatok a biztonság és az adatvédelem szem előtt tartásával titkosítva vannak, így véletlenül semmilyen információ nem szivárog ki más felekhez. 

Kiberbiztonsági aggályok a Web3-ben 

A Web3 már nem egy idegen fogalom, mivel már szilárdan beépült a szélesebb nyilvánosság körében. Egyes országokban még a virtuális valutákat is a Central Bank Digital Currencies (CBDC) támogatja és bocsátja ki. 

A rohamos növekedés nyilvánvalóan új biztonsági fenyegetéseket is jelent. Ismerjük meg a Web3 újonnan felmerülő fenyegetéseit. 

A Web3 kiberbiztonság építészeti rétege

Az információ hitelessége – kérdés

A decentralizált adatkezelési infrastruktúrában az információ szentsége és eredetisége rejtély marad. Az információk pontosságáért nincs felelősség, így ez lehet a hamis információk legnagyobb forrása is.

Blockchain sebezhetőségek – elkerülhetetlen 

A csomópontok vezérlik a blokklánc hálózatokat. Ám amikor a blokklánc több mint 51%-át rosszindulatú szereplők irányítják, az egyre biztonságosabb blokklánc érzékenysé válik a manipulációra, ami kripto-rabláshoz és pénzlopáshoz vezet. 

Adathalász fenyegetés – örökzöld hack

Amint azt korábban megbeszéltük, az adathalász fenyegetés nem újdonság, de a web3-ban való felhasználása valószínűleg súlyos veszteségeket okoz. A koncepció ugyanaz, ahol a rosszindulatú linkeket e-mailekben és hamis bejelentéseken keresztül küldik el a felhasználóknak a közösségi média csatornákon, például Discordon, Instagramon, Twitteren stb.

Íme néhány adathalász támadás. 2021-ben a Coinbase 6000 ügyfélszámlájáról raboltak ki kriptovalutákat, az OpenSea-felhasználók 1.7 millió dollár értékű NFT-je veszett el adathalász támadások miatt, hírességek profiljait törték fel, hogy adathalász linkeket terjeszthessenek, és így tovább, és így tovább, időnként a hírek címlapjára kerülnek. 

Szőnyeg húzások: A szőnyeglehúzás eseményei szorosabban kapcsolódnak a DeFi projektekhez, ahol a fejlesztőcsapat hirtelen elhagyja a befektetőket, és megvonja teljes likviditását. Ha nem sokat kutat a projektről vagy a FOMO-ról, arra készteti a befektetőket, hogy később illegitim projektekbe fektessenek be, és kiderüljön, hogy pénzük pillanatok alatt elfogy. 

A Web3-től örökölt Web2 biztonsági fenyegetések

Miután a web2 és a web3 biztonságát is érintettük, levonhatunk tanulságokat a web2 sebezhetőségeiből az internet jövőjének védelme érdekében. Feltéve, hogy a Web3 decentralizált, az intelligens szerződések és a blokklánc protokollok robusztusságának biztosítása kritikus fontosságú. 

De a web3-projektek továbbra is kihasználnak bizonyos web2-keretrendszereket további funkciókhoz. A támadók ezt használják ki, és kihasználják a web2 sebezhetőségét. Idézek itt néhány ilyen esetet. 

Google Címkekezelő Exploit

A KyberSwap, egy decentralizált tőzsde 265,000 XNUMX dollárt veszített a Google címkekezelő sebezhetősége (GTM) miatt. A GTM egy címkekezelő rendszer digitális marketingcímkék hozzáadásához és frissítéséhez nyomon követéshez és webhelyelemzéshez. 

A KyberSwap incidens során a hacker adathalászattal elérte GTM-fiókját, és rosszindulatú kódot szúrt be. Az eredmény pedig egy kompromittált kezelőfelület, ami dollárveszteséghez vezetett. A kiváltó ok az adathalászat. 

Domain Name System Exploit

2022-ben egy újabb web2-sérülékenység 570,000 XNUMX dolláros veszteséget okozott a Curve Finance decentralizált tőzsdének. Ezúttal a Domain Name System (DNS) gyorsítótár-mérgezéséről volt szó a hackerek részéről, amely a hitelesített Curve Finance oldal helyett egy hamis másolóoldalra irányította át a felhasználókat. 

A DNS egy olyan eszköz, amely a felhasználókat arra a webhelyre irányítja, amelyet a keresés során beírnak. A Curve Finance webhely másolatának létrehozásával a hacker rávette a felhasználókat, hogy látogassák meg azt, és jóváhagyta őket a rosszindulatú szerződés honlapján. A szerződések pénztárcában való felhasználásának jóváhagyásával a felhasználó pénzeszközei összesen körülbelül 570,000 XNUMX dollárra fogytak el. 

Tehát a legfontosabb, hogy ügyeljen a Web2 biztonsági résére, amikor projekteket indít a web3 terekben. 

Miért kerülnek projektek a Web2-ről a Web3-ra? 

„A Web3 használati eseteit többnyire ajánlatként reklámozzák a már forgalmazott Web2 használati eseteken belül” – mondja egy szakértő. 

Sok felhasználó most nem szeretne egy olyan világban létezni, ahol rossz a felhasználói élmény, hanem teljes mértékben uralja adatait. A web2-es cégek nagyon sok érdekes darabot találnak a Web3-ban, amelyek vonzóbbak a felhasználók számára, és így szeretnének örökölni őket platformjukon. 

Például az olyan márkák, mint a Facebook és a Twitter, bevezetik az NFT-k bevezetését platformjaikon, miután felismerték potenciális felhasználási eseteiket. A jelenlegi tendencia az, hogy a web2-es cégek sokkal inkább ösztönzik a web3 alkalmazását. 

Hallgassa meg, mit mondanak a számok a Web3 biztonság állapotáról

• A Web3 leggyakoribb hackelési technikái továbbra is a szerződéses sebezhetőség kihasználása, amelyek 45.8%-át teszik ki, és a gyorskölcsönzési támadások.
• Csak 2022-ben a rug-pull incidensekből származó veszteségek körülbelül 34,266,403 XNUMX XNUMX dollárt tettek ki, és több adathalász támadást figyeltek meg a Discord szervereken. 
• A megtámadott projektek felét nem ellenőrizték. 

Van más választásunk a kockázatok mérséklésére és a Web3 biztonságának biztosítására?

Miért ne? Rengeteg gyakorlat létezik a biztonsági rések előfordulásának megfékezésére, és ez a legjobb része a Web3-nak. A Web3 már kiemelt szerepet kapott, és sürgető aggályai kiterjesztik a biztonság és a hatékonyság megerősítésének lehetőségeit.

Vegyen részt a tervezési biztonság elveiben

A termék és a keretrendszerek strukturálása során a fejlesztőknek olyan biztonsági beállítottsággal kell rendelkezniük, amelyek minimalizálják a támadási felületeket, a biztonságos alapértelmezéseket, a zéró megbízhatóságú keretrendszereket és így tovább. 

Figyelem a Web3 piac dinamikájára

A Web3 túlmutat a technológián, és számos jogi, kulturális és gazdasági dinamikát tartalmaz, amelyeket figyelembe kell venni bizonyos konfigurációk és integrációk bevezetése előtt.

Együttműködés a hírszerzéssel az iparág vezető biztonsági erőforrásaival

Az iparági partnerekkel való együttműködés vagy a kiberkockázat-kezelési programokon való részvétel növeli a tudatosságot a felmerülő fenyegetések mérséklésére. A nyílt forráskódú platformokon, például a GitHubon vagy az OODA Loop-on közzétett biztonsági útmutatás jól használható. 

Az intelligens szerződési kód független elemzése és auditja

A fejlesztési folyamat befejezése után a kód értékelését úgy kell elvégezni, hogy a hibákat ne az incidens hevében, hanem előre kijavítsák. Könyvvizsgálati szolgáltatások fordítson különös figyelmet a kódban található támadási vektorokra, adatvédelemre stb., amelyeket a projektcsapat hajlamos figyelmen kívül hagyni a fejlesztés során. 

Hogyan segít a Quilaudits biztonságosan belépni az internet következő valóságába?

A QuillAudits a web3 kiberbiztonsági megoldásainak egyablakos célpontja. A szolgáltatási kínálat kiterjedt a web3 projektek és a befektetők minden oldalról történő biztonsága érdekében. Íme egy betekintés az általunk nyújtott sokrétű szolgáltatások megismerésébe.

Intelligens szerződések auditja

Átfogó megközelítést követünk a különböző blokkláncokhoz, például Ethereum, Solana, Polygon stb. számára kifejlesztett intelligens szerződések auditálására. A legmodernebb technikákat alkalmazunk a kód a biztonsági hibákra és a lehetséges sebezhetőségekre. 

Az áttekintést követően auditálási szakértőink részletes jelentést osztanak meg biztonsági javaslatokkal az intelligens szerződésekben rejlő lehetséges kockázatok leküzdése érdekében. Ez növeli a projekt sikerének valószínűségét. 

Due Diligence

Mivel a virágzó Web3-teret nem szabályozzák elég jól, a szőnyeghúzások meglehetősen gyakoriak, és ezáltal elhagyják az értéktelen tokenekkel rendelkező befektetőket. Átvilágítási szolgáltatásaink a projekt alapos kutatásával és biztonságosabb befektetési lehetőségek ajánlásával védelmet nyújtanak a szőnyeghúzások ellen.

KYC

KYC szolgáltatásaink magukban foglalják a projekt háttérellenőrzését, hogy elismerjük annak legitimitását. Ez segíti a tulajdonosokat, hogy megalapozzák projektjük hírnevét, és mutassák be őket közösségeik előtt. 

GYIK

Mit tud a web3, amire a web2 nem?

A web3 legjelentősebb előnye a web2-vel szemben az adatok teljes körű ellenőrzése. A Web3 a lehetőségek széles színterét nyitja meg a felhasználók számára a bevételszerzésre és a társaikkal való interakcióra anélkül, hogy közvetítőkre lenne szüksége.

A Web3 biztonságos?

Mivel a web3 információkat tárol az elosztott főkönyvben, biztonságosabbak, mint bármely hagyományos alkalmazás. Vannak azonban a web3-ra jellemző fenyegetések, amelyek a megfelelő gyakorlat követésével mérsékelhetők. Tudjon meg többet erről, ha elolvassa a blogot.

Milyen aggályok merülnek fel a web2 által címzett web3-vel kapcsolatban?

Noha a web2 használatának számos előnye van, vannak olyan problémák, mint az egyenlő hozzáférés, az információk ellenőrzése, a szerzői jogi problémák, az adatvédelem, a biztonság stb. A Web3 ezeket a blokklánc technológiával próbálja megoldani.

Miért a Web3 jövője?

Sok felhasználó ma már nem szeretne egy rossz felhasználói élményt nyújtó világban létezni, hanem teljes mértékben kontrollálja adatait. A web2-es cégek nagyon sok érdekes darabot találnak a Web3-ban, amelyek vonzóbbak a felhasználók számára, és így szeretnének örökölni őket platformjukon. 

2 Nézetek