CISO必须面对的十大NFT和加密货币安全风险。与此同时,非同质化代币(NFT)市场也在迅速扩张,一些潮流艺术家成为百万富翁,史努比狗狗、玛莎斯图尔特和格兰姆斯等大牌也顺势而为。加密货币和NFT已列入许多企业的议程,讨论Web3的影响及其带来的机遇。互联网发展的这一新的重大转变有望分散人们的数字世界,为用户提供更多控制权和更透明的信息流。在各行各业中,许多企业都在尽最大努力适应新范式。但CISO有很多担忧,其中最主要的是网络安全和身份欺诈、市场安全风险、密钥和数据管理以及隐私。对于任何形式的加密货币,包括NFT,都存在大多数企业可能不熟悉的一系列威胁和安全问题。研究公司数字资产研究公司首席执行官DougSchwenk表示:“它需要很多新的操作程序才能接触到一套新的系统(公共区块链),并引入了很多企业不熟悉的风险。”.首席信息安全官员如何看待这些问题可能会影响用户和业务合作伙伴。Confiant的高级安全工程师EliyaStein表示,“数据泄露可能会对企业或其用户或NFT收集者产生直接的财务影响。”以下是加密货币和NFT给首席信息安全官带来的十大安全风险。1.集成区块链协议可能很复杂区块链是一项相对较新的技术。因此,将区块链协议集成到项目中变得有点困难。根据研究公司德勤的一份报告,“与区块链相关的主要挑战是缺乏对该技术的认识,尤其是在银行业之外,并且普遍缺乏对其运作方式的了解。这阻碍了对想法的投资和探索。”组织应仔细评估每个受支持链的成熟度和适用性。Schwenk说:“在早期阶段采用区块链协议可能会导致停机和安全风险,而后期协议目前的交易费用更高。选择支持所需用途的协议后,例如支付,赞助商可能无法提供任何支持。这更像是采用开源代码,可能需要特定服务提供商的服务才能充分实现价值。”2.资产所有权规范的变化当有人购买NFT时,他们实际上并不是在购买图像,因为图像将被存储在区块链中是不切实际的。相反,用户得到的是某种将他们指向该图像的收据。区块链只存储图像的标识,可以是哈希值或URL。HTTP协议经常被使用,但它的去中心化替代方案是星际文件系统(IPFS)。选择IPFS的企业需要了解IPFS节点将由销售NFT的公司运营,如果该公司决定关闭商店,用户可能无法访问NFT指向的图像。独立安全研究员AnatolPrisacaru表示,“虽然在技术上可以将文件重新上传到IPFS,但由于过程的复杂性,用户不太可能这样做。但是,一个好的方面是,由于去中心化和无需许可从本质上讲,任何人都可以做到,而不仅仅是项目开发人员。”3.市场安全风险NFT虽然基于区块链技术,但与之相关的图像或视频可以存储在上级的中心化或去中心化平台上。通常,为了方便起见,会选择中心化模型,因为它使用户更容易与数字资产进行交互。这样做的缺点是NFT市场可以继承Web2的漏洞。此外,虽然传统银行交易是可逆的,但区块链上的交易不是。“受损的服务器可能会向用户提供误导性信息,诱使他们执行交易,并窃取他们的资金,”Priscaru说。但是,投入足够的时间和精力正确地实施它可以防止攻击,尤其是当使用去中心化平台时。Priscaru说:“如果以去中心化的方式正确实施,受到损害的市场无法窃取或更改用户的资产;然而,一些市场偷工减料,牺牲安全性和分散性以获得更多控制权,”4.身份欺诈和加密货币诈骗加密货币诈骗很常见,并且往往有大量受害者。Stein表示,“网络诈骗者通常会关注备受期待的NFT发布,并且通常会有数十个诈骗网站准备与官方发布同步进行宣传。”成为这些骗局受害者的客户通常是最忠诚的客户,这种糟糕的体验会影响他们对企业的看法。因此,保护??它们至关重要。通常情况下,用户会收到恶意电子邮件,通知他们在他们的帐户之一上观察到可疑活动。他们被要求提供用于帐户验证的凭据以解决问题。如果用户上当受骗,他们的凭证可能会被泄露。“任何试图进入NFT领域的品牌都将受益于分配资源来监控和减轻这些类型的网络钓鱼攻击,”Stein说。5.区块链桥是一个越来越大的威胁不同的区块链有不同的加密货币,受不同的规则约束。例如,如果有人拥有比特币但想使用以太坊,他们需要两个区块链之间的连接以允许资产转移。区块链桥(有时称为跨链桥)就是这样做的。“由于它们的性质,它们通常不是严格使用智能合约来实现的,而是依赖于当用户将资产存入原始链时在另一条链上发起交易的链下组件,”Priscaru说。一些最大的加密货币黑客攻击涉及跨链桥,包括Ronin、PolyNetwork、Wormhole。例如,在2022年3月对游戏区块链Ronin的黑客攻击中,攻击者获得了价值6.25亿美元的以太坊和USDC。此外,在2021年8月的PolyNetwork攻击期间,一名黑客将超过6亿美元的代币转移到多个加密货币钱包。幸运的是,在这种情况下,令牌在两周后被归还。6.代码应该经过彻底的测试和审计拥有好的代码应该是任何项目开始时的首要任务。根据Prisakaru的说法,开发人员应该技术娴熟并愿意关注细节。否则,成为安全事件受害者的风险就会增加。例如,在PolyNetwork攻击中,攻击者利用了合约调用之间的漏洞。为防止事故发生,团队应进行彻底的测试。组织还应与第三方签订合同以进行安全审计,尽管这可能既费钱又费时。审计提供系统的代码审查以帮助识别已知的漏洞。当然,审查代码是必要的,但还不够,而且企业进行审计的事实并不能保证他们没有麻烦。Prisakaru说,“在区块链上,智能合约通常是高度可组合的,而且很多时候,这个合约会与其他协议进行交互。然而,企业只控制自己的代码,与外部协议交互增加了风险。“个人和企业都可以探索风险管理的另一条途径:保险。它可以帮助企业降低智能合约或托管的成本。7.密钥管理Schwenk表示,“加密本质上只是私钥管理。这对许多企业来说听起来很简单,CISO可能很清楚这些问题和最佳实践。”有几种可访问的密钥管理解决方案。其中之一是硬件钱包,如Trezor、Ledger或Lattice1。这些是USB设备,可以生成和将加密材料存储在其安全元素上,防止攻击者访问私钥,即使他们可以访问他人的计算机,例如使用病毒/后门。另一道防线是多重签名,可与硬件钱包一起使用。Prisakaru说,“在其基础上,多重签名是一种智能合约钱包,需要交易得到其许多所有者的确认。例如,可能有五个所有者,并且至少需要三个人签署交易才能发送.这样,攻击者必须涉及多人才能泄露受害者的钱包。8.员工和用户教育想要集成Web3技术的企业需要培训他们的员工,因为需要新的工具来在不同的区块链上进行交易。Cofense的联合创始人兼首席技术官AaronHigbee表示,“数字资产商务对于传统电子商务来说可能看起来很熟悉,但在这个新世界中需要熟练掌握的工具和浏览器插件与财务团队使用的有很大不同到。“虽然每个企业都需要担心基于电子邮件的网络钓鱼攻击,但处理数字资产的员工可能会更频繁地成为目标。培训的目的是确保团队中的每个人都遵循最新的最佳实践和对安全的良好理解。CheckPoint产品漏洞研究负责人OdedVanunu表示,他注意到加密货币方面的知识存在“巨大差距”,这可能会让一些公司感到困惑。他说,“想要集成Web3技术的企业需要了解,这些项目必须有深入的安全审查和安全理解,这意味着他们必须了解可能发生的数量和影响。“一些不想做私钥管理的企业决定使用集中式系统,这使他们容易受到Web2安全问题的影响。我敦促如果他们将Web3技术集成到他们的Web2中,这一定是实施深度安全的需要9.NFTs和Web3去中心化应用程序的持久性许多企业将淘汰不再满足其需求的产品,但如果做得好,这通常不适用于区块链支持的资产。Stein说,“NFTs不应将其视为一次性营销工作,如果NFT本身不在供应链中,企业现在必须将其永久化。如果该项目取得巨大成功,公司将承担支持收藏家的重大任务这些NFT,无论是灾难性的还是欺诈性的。10.区块链并不总是正确的工具问题以及现在是否是采用它们的合适时机。基于区块链的Chain项目有可能使企业运行得更好,但它们也会消耗资源,至少在初期是这样。Schwenk说:“风险/回报权衡将是决策的重要组成部分,并为安全工作提供适当的资金。”资源,包括采用和持续的资源都是至关重要的。判断这些新的风险/回报可能不是核心能力,而且很容易陷入与加密货币相关的炒作之中。“
