Hiter prehod skrbi glede kibernetske varnosti s Web2 na Web3 

Čas branja: 9 min

Podjetja Web3, ki želijo svojim obstoječim izdelkom dodati izvorne funkcije web2, si danes želijo veliko sprejetja Web3. Toda počakajte, kaj prinaša revolucija web3 na mizo?

Da bi razumeli vitalnost, ki jo ima Web3, sledimo napredku, ki so ga v preteklih letih dosegle spletne iteracije. 

Web1 – popularno imenovan kot statični splet, ne olajša interakcije, vendar so podjetja ustvarila statične strani za uporabo vsebine. Nato se je razvil Web2, ki ponuja prostor za interakcijo uporabnikov s svobodo dodajanja in ustvarjanja vsebine na spletnih platformah. 

Naslednja faza zorenja je, ko je nadzor nad podatki predan uporabnikom, pri čemer nobena centralizirana stran nima nadzora nad uporabniškimi informacijami. To označuje zore web3!

Vredno si je vzeti trenutek in si ogledati varnostne preobrazbe, da bi bolje razumeli infrastrukturo različnih spletnih različic.

Web1 je uporabil plast varnih vtičnic (SSL) za vzpostavitev varne komunikacije med brskalniki in strežniki. Posredniki Web2, kot so Google, Facebook itd., ki so imeli dostop do uporabniških informacij, so sprejeli Transport Layer Security (TLS). 

Medtem ko se varnost Web3 ne zanaša na plasti baze podatkov, temveč pametne pogodbe upravljajo z logiko in stanjem izvajanja. Prenos nadzora podatkov v roke uporabnika je prinesel decentralizacijo, kar je zahtevalo povsem novo raven varnostnih sprememb. 

Zdaj je čas, ko se poudarek seli s Web2 na Web3. Zaradi tega je za večjo jasnost potrebna izčrpna varnostna analiza obstoječega interneta Web2 v primerjavi z novo najdenim web3. 

Namen tega bloga je podrobno poudariti varnostni del. Samo vstopimo!

Pomisleki glede kibernetske varnosti v Web2 

Druga generacija spleta, ki je predstavljala prehod s statičnih spletnih strani na dinamični splet, je pripeljala do odprte komunikacije med spletnimi skupnostmi. Z improvizacijami v funkcionalnosti so se v Web2 pojavile številne težave.

Čeprav je Web3 daleč pred web2 v vseh pogledih, je pomembno, da pobrišete prah web2 varnost razumeti, kako se podobni napadi poskušajo izvajati na web3, kar povzroča kršitve varnosti. 

Arhitekturne plasti kibernetske varnosti Web2

In tako gremo – glavne varnostne ranljivosti Web2. 

Pomanjkanje kontrol za preverjanje pristnosti: Web2 deli pravice nad vsebino številnim uporabnikom in ne posebej izbranemu številu pooblaščenih oseb. Tako ima to zelo dobro možnost za manj izkušenega uporabnika, da negativno vpliva na celoten sistem.

Napadalec se lahko na primer prijavi na spletno mesto in se preobleče v preverjenega uporabnika, da bi objavil lažne informacije in izvajal nepristne administrativne dejavnosti.

Goljufija z zahtevami med spletnimi mesti: Uporabnik obišče spletno stran, ki se zdi običajna, a znotraj katere je zlonamerna koda, ki usmerja na nenamerno spletno stran. Primer tega je ranljivost v Twitterju, ki je lastnikom spletnih mest omogočila pridobivanje Twitter profilov uporabnikov, ki obiščejo njihovo spletno stran. 

Lažno predstavljanje je največji glavobol v vseh časih in je najbolj razširjeno v web2 in web3, čeprav se vzorec napada lahko nekoliko razlikuje. Napadi lažnega predstavljanja se ne zanašajo na šibkost programske opreme, ampak napadalci tukaj izkoriščajo pomanjkanje ozaveščenosti uporabnikov. 

Na splošno napadalec žrtvi pošlje e-poštno sporočilo, v katerem zahteva občutljive podatke. To vodi do tega, da žrtev pristane na goljufivih spletnih mestih, kar ima za posledico učinkovite rezultate napadov lažnega predstavljanja.

Celovitost informacij: Zagotavljanje celovitosti podatkov je ključni element varnosti, saj zavajajoče informacije ustvarijo učinek, ki ni nič manj vdor. 

Na primer, Wikipedia, stran, ki jo uporablja dokaj veliko število ljudi, je pomotoma objavila prezgodnjo smrt senatorja Kennedyja. Tovrstni netočni podatki bi povzročili večje izkrivljanje pri uživanju verodostojne vsebine s spleta.

Nezadostna protiavtomatizacija: Programirljivi vmesniki Web2 so hekerjem olajšali avtomatizacijo napadov, kot so napadi CSRF in avtomatizirano pridobivanje uporabniških informacij. Uhajanje informacij, kjer so občutljivi podatki nenamerno objavljeni na spletnih mestih, je prav tako pogosto v web2. 

Web3 Glaze

Ko smo preučili varnostne grožnje Web2, poglejmo, kako je cilj web3 rešiti ovire, povezane s podatki, in popeljati internet naprej v njegovem delovanju. 

Web3 je uporabnikom odprl široko areno priložnosti za monetizacijo in interakcijo z vrstniki brez potrebe po posrednikih. Omrežja veriženja blokov in pametne pogodbe predstavljajo večino decentralizacije, ki jo prinaša nova faza internetne revolucije. 

Odstranitev osrednje nadzorne točke v Web3 zoži povezane napade in tako prispeva k večji varnosti od tiste, ki je trenutno tam. Druga prednost je znižanje stroškov z znižanjem deleža, ki gre posrednikom.

Ker daje prednost interakciji enakovrednih, daje dodaten nadzor nad podatki, ki jih želijo pridobiti. Poleg tega so podatki tukaj šifrirani z upoštevanjem varnosti in zasebnosti, tako da nobena informacija nenamerno ne uhaja drugim osebam. 

Pomisleki glede kibernetske varnosti v Web3 

Web3 ni več tuj koncept, saj je že trdno zasidran v širši javnosti. V nekaterih državah celo virtualne valute podpirajo in izdajajo digitalne valute centralne banke (CBDC). 

Očitno divja rast pomeni tudi nove varnostne grožnje. Razumejmo nastajajoče grožnje Web3. 

Arhitekturna plast kibernetske varnosti Web3

Verodostojnost informacij – vprašanje

V decentralizirani infrastrukturi za upravljanje podatkov ostajata svetost in izvirnost informacij uganka. Odgovornosti za točnost informacij ni, zato je lahko tudi največji vir lažnih informacij.

Ranljivosti verige blokov – neizogibne 

Vozlišča nadzorujejo omrežja blockchain. Toda ko več kot 51 % verige blokov nadzorujejo zlonamerni akterji, postane vedno tako varna veriga blokov dovzetna za manipulacije, kar vodi do ropov kriptovalut in tatvin denarja. 

Grožnje lažnega predstavljanja – zimzeleni vdor

Kot smo že omenili, grožnje lažnega predstavljanja niso nič novega, vendar bo njihova uporaba v web3 verjetno povzročila velike izgube. Koncept je enak, pri čemer so zlonamerne povezave poslane uporabnikom prek e-pošte in lažnih objav s povezavami, objavljenimi na kanalih družbenih medijev, kot so Discord, Instagram, Twitter itd.

Tukaj je nekaj primerov lažnega predstavljanja. Leta 2021 so bile kriptovalute oropane iz 6000 računov strank pri Coinbase, NFT-ji uporabnikov OpenSea v vrednosti 1.7 milijona dolarjev so bili izgubljeni zaradi napadov z lažnim predstavljanjem, vdrli so v profile slavnih, da bi posredovali povezave z lažnim predstavljanjem itd. in tako naprej so občasno na naslovnicah novic. 

Preproge: Dogodki vlečenja preprog so tesneje povezani s projekti DeFi, pri katerih razvojna ekipa nenadoma zapusti vlagatelje tako, da odvzame vso svojo likvidnost. Neraziskovanje veliko o projektu ali FOMO spodbudi vlagatelje, da pozneje vlagajo v nelegitimne projekte in ugotovijo, da so njihova sredstva v nekaj trenutkih izginila. 

Varnostne grožnje Web3, podedovane iz Web2

Ko smo se dotaknili varnosti web2 in web3, se je treba naučiti iz ranljivosti web2, da bi zaščitili prihodnost interneta. Glede na decentralizirano naravo Web3 je zagotavljanje robustnosti pametnih pogodb in protokolov blockchain ključnega pomena. 

Toda projekti web3 še vedno uporabljajo določena ogrodja web2 za dodatne funkcije. Napadalci to izkoriščajo in izkoriščajo ranljivosti web2 v prostoru web3. Tukaj navajam nekaj primerov takih dogodkov. 

Izkoriščanje Google Tag Manager

KyberSwap, decentralizirana borza, je izgubila 265,000 $ zaradi ranljivosti Googlovega upravitelja oznak (GTM). GTM je sistem za upravljanje oznak za dodajanje in posodabljanje oznak digitalnega trženja za sledenje in analizo spletnega mesta. 

V incidentu KyberSwap je hekerju uspelo dostopati do njegovega računa GTM prek lažnega predstavljanja in vstaviti zlonamerno kodo. In rezultat je ogrožen sprednji del, ki je privedel do izgube v dolarjih. Osnovni vzrok je dejanje lažnega predstavljanja. 

Izkoriščanje sistema domenskih imen

Leta 2022 je še ena ranljivost web2 decentralizirani borzi Curve Finance prinesla 570,000 USD izgube. Tokrat je šlo za zastrupitev predpomnilnika sistema domenskih imen (DNS) s strani hekerjev, ki je uporabnike preusmerila na lažno posnemano spletno mesto namesto na overjeno spletno mesto Curve Finance. 

DNS je orodje, ki uporabnike usmeri na spletno mesto, ki ga vnesejo pri iskanju. Z ustvarjanjem replike spletnega mesta Curve Finance je heker uporabnike prevaral, da so ga obiskali, in jih prisilil, da odobrijo zlonamerno pogodbo na domači strani. Po odobritvi uporabe pogodb v denarnicah so bila uporabnikova sredstva izčrpana na skupaj približno 570,000 $. 

Torej, zaključek je, da bodite pozorni na varnostno ranljivost Web2 med zagonom projektov v prostorih web3. 

Zakaj projekti prehajajo iz Web2 v Web3? 

"Primeri uporabe Web3 se večinoma promovirajo kot ponudbe znotraj primerov uporabe Web2, ki so že v distribuciji," pravi strokovnjak. 

Veliko uporabnikov zdaj raje ne živi v svetu s slabim uporabniškim vmesnikom, ampak ima raje popoln nadzor nad svojimi podatki. Podjetja Web2 najdejo v Web3 veliko zanimivih delčkov, ki so bolj privlačni za uporabnike in jih zato želijo podedovati na svojih platformah. 

Blagovne znamke, kot sta Facebook in Twitter, na primer uvajajo uporabo NFT-jev na svojih platformah, saj so spoznale njihove potencialne primere uporabe. Trenutni trend je, da podjetja Web2 veliko bolj spodbujajo sprejemanje Web3. 

Poslušajte, kaj imajo povedati številke o stanju varnosti Web3

• Najpogostejši hekerski tehniki v Web3 sta še vedno izkoriščanje ranljivosti pogodbe, ki predstavlja 45.8 %, in napadi na hitro posojilo.
• Samo leta 2022 so izgube zaradi incidentov s potegom preproge znašale približno 34,266,403 $, v strežnikih Discord pa so opazili še več primerov lažnega predstavljanja. 
• Polovica napadenih projektov ni bila revidirana. 

Ali imamo izbiro za zmanjšanje tveganj in zagotavljanje varnosti Web3?

Zakaj ne? Obstaja veliko praks za omejitev pojavov kršitev varnosti in to je najboljše pri Web3. Web3 je že zaznamoval svojo pomembnost, njegovi pereči pomisleki pa širijo možnosti za krepitev varnosti in učinkovitosti.

Upoštevajte načela varnosti po zasnovi

Pri strukturiranju izdelka in ogrodij morajo razvijalci imeti varnostno miselnost, da zmanjšajo površine napadov, varne privzete nastavitve, ogrodja ničelnega zaupanja itd. 

Pozornost na tržno dinamiko Web3

Web3 presega tehnologijo in vključuje več pravnih, kulturnih in gospodarskih dinamik, ki jih je treba upoštevati pred uvedbo določenih konfiguracij in integracij.

Sodelovanje obveščevalne službe z vodilnimi varnostnimi viri v panogi

Sodelovanje s kolegi iz panoge ali obiskovanje programov za obvladovanje kibernetskih tveganj pomaga povečati ozaveščenost za ublažitev nastajajočih groženj. Varnostne smernice, objavljene na odprtokodnih platformah, kot sta GitHub ali OODA Loop, je mogoče dobro uporabiti. 

Neodvisna analiza in revizija kode pametne pogodbe

Po zaključku razvojnega procesa je treba opraviti ovrednotenje kode, da se napake odpravijo vnaprej in ne v vročini incidenta. Revizijske storitve posvetiti posebno pozornost vektorjem napadov, zaščiti zasebnosti itd. v kodi, ki jih projektna skupina pri razvoju ponavadi spregleda. 

Kako Quillaudits pomaga varno vstopiti v naslednjo resničnost interneta?

QuillAudits je destinacija na enem mestu za rešitve kibernetske varnosti web3. Obseg ponudbe storitev je obsežno razširjen, da zaščiti projekte in vlagatelje web3 iz vseh zornih kotov. Tukaj je vpogled v poznavanje raznolikih storitev, ki jih nudimo.

Revizije pametnih pogodb

Sledimo celovitemu pristopu k revidiranju pametnih pogodb, razvitih za različne verige blokov, kot so Ethereum, Solana, Polygon itd. Uporabljamo najsodobnejše tehnike za raziskovanje kodo za varnostne napake in potencialne ranljivosti. 

Po pregledu naši strokovnjaki za revizijo delijo podrobno poročilo skupaj z varnostnimi priporočili za premagovanje morebitnih tveganj v pametnih pogodbah. S tem se poveča verjetnost uspeha projekta. 

Skrbnosti

Ker cvetoči prostor Web3 ni dovolj dobro reguliran, so vlečenja preprog precej pogosta in s tem zapuščajo vlagatelje z ničvrednimi žetoni. Naše storitve skrbnega pregleda nudijo zaščito pred vlečenjem preprog s temeljito raziskavo projekta in priporočanjem varnejših naložbenih možnosti.

KYC

Naše storitve KYC vključujejo preverjanje preteklosti za projekt, da potrdimo njegovo legitimnost. S tem lastnikom pomagajo vzpostaviti ugled svojega projekta in ga razkazovati pred svojimi skupnostmi. 

Pogosta vprašanja

Kaj lahko naredi web3, česar web2 ne more?

Najpomembnejša prednost web3 pred web2 je popoln nadzor nad podatki. Web3 odpira uporabnikom široko areno priložnosti za monetizacijo in interakcijo z vrstniki brez potrebe po posrednikih.

Je Web3 varen?

Ker web3 shranjuje informacije v porazdeljeni knjigi, je bolj varen kot katera koli tradicionalna aplikacija. Vendar pa obstajajo grožnje, specifične za web3, ki jih je mogoče ublažiti z upoštevanjem pravilnih praks. Več o tem lahko preberete v blogu.

Katere pomisleke glede web2 obravnava web3?

Čeprav obstaja več prednosti uporabe web2, obstajajo težave, kot so enak dostop, nadzor informacij, težave z avtorskimi pravicami, zasebnostjo, varnostjo itd. Web3 poskuša vse to rešiti s tehnologijo veriženja blokov.

Zakaj je Web3 prihodnost?

Mnogi uporabniki zdaj raje ne živijo v svetu s slabim UX, ampak imajo raje popoln nadzor nad svojimi podatki. Podjetja Web2 najdejo v Web3 veliko zanimivih delčkov, ki so bolj privlačni za uporabnike in jih zato želijo podedovati na svojih platformah. 

2 Ogledov