0
0
A lista de empresas que aceitam pagamentos em criptomoedas continua se expandindo, para que os clientes possam comprar quase tudo o que quiserem: eletrônicos, diplomas universitários e cappuccinos. Ao mesmo tempo, o mercado de tokens não fungíveis (NFTs) dispara, com novos artistas se tornando milionários e nomes mais estabelecidos como Snoop Dogg, Martha Stewart e Grimes capitalizando a tendência.
Criptomoedas e NFTs estão na agenda de muitas organizações enquanto discutem as ramificações do Web3 e as oportunidades que ela apresenta. Essa nova grande mudança na evolução da internet promete descentralizar nosso mundo digital, oferecendo aos usuários mais controle e um fluxo mais transparente de informações.
Entre as indústrias, as empresas estão dando o melhor para se adaptar ao novo paradigma. Mas os CISOs têm uma longa lista de preocupações, começando com fraudes de segurança cibernética e identidade, riscos de segurança de mercado, gerenciamento de chaves e dados e privacidade.
A criptomoeda de qualquer forma, incluindo nfts, tem um conjunto de ameaças e preocupações de segurança que podem não ser familiares para a maioria das empresas. “Isso requer uma série de novos procedimentos operacionais, cria exposição a um novo conjunto de sistemas (blockchains públicos) e implica riscos que muitas empresas estão menos familiarizados”, diz Doug Schwenk, CEO da Digital Asset Research.
A forma como os CISOs pensam sobre esses problemas pode afetar usuários e parceiros de negócios. “Os compromissos têm um impacto financeiro imediato na empresa ou em seus usuários e/ou coletores de NFT”, diz Eliya Stein, engenheira sênior de segurança da Confiant.
Estes são os dez riscos de segurança mais significativos que as criptomoedas e NFTs apresentam aos CISOs.
1. Integrar protocolos blockchain pode ser complexo
O blockchain é uma tecnologia relativamente nova. Como resultado, incorporar protocolos blockchain em um projeto torna-se um pouco difícil. “O principal desafio associado ao blockchain é a falta de consciência da tecnologia, especialmente em setores que não sejam bancários, e uma falta generalizada de compreensão de como ela funciona”, segundo um relatório da Deloitte. “Isso está dificultando o investimento e a exploração de ideias.”
As empresas devem avaliar cada cadeia apoiada cuidadosamente para a maturidade e adequação. “A adoção de um protocolo [blockchain] que está em um estágio inicial pode levar a riscos de inatividade e segurança, enquanto os protocolos de estágio posterior atualmente têm taxas de transação mais altas”, diz Schwenk. “Após a seleção de um protocolo para apoiar o uso desejado (como pagamentos), pode não haver qualquer suporte disponível do patrocinador. É muito mais como adotar o código aberto, onde determinados provedores de serviços podem ser necessários para perceber plenamente o valor.”
2. Mudança nas normas de propriedade de ativos
Quando alguém compra um NFT, não está realmente comprando uma imagem, porque armazenar fotos no blockchain é impraticável devido ao seu tamanho. Em vez disso, o que os usuários adquirem é algum tipo de recibo que os aponta para essa imagem.
O blockchain armazena apenas a identificação da imagem, que pode ser um hash ou uma URL. O protocolo HTTP é frequentemente usado, mas uma alternativa descentralizada para isso é o Sistema de Arquivos Interplanetários (IPFS). As organizações que optarem pelo IPFS precisam entender que o nó IPFS será administrado pela empresa que vende o NFT, e se essa empresa decidir fechar a loja, os usuários podem perder o acesso à imagem a que o NFT aponta.
“Embora seja tecnicamente possível recarregar um arquivo para o IPFS, é improvável que um usuário regular seja capaz de fazer isso porque o processo é complexo”, diz o pesquisador independente de segurança Anatol Prisacaru. “No entanto, a parte boa é que, devido à natureza descentralizada e sem permissão, qualquer pessoa pode fazer isso — não apenas os desenvolvedores do projeto.”
3. Riscos de segurança no mercado
Embora os NFTs sejam baseados na tecnologia blockchain, as imagens ou vídeos associados a eles podem ser armazenados em uma plataforma centralizada ou descentralizada. Muitas vezes, por conveniência, o modelo centralizado é escolhido, pois facilita a interação dos usuários com os ativos digitais. A desvantagem disso é que os marketplaces NFT podem herdar as vulnerabilidades do Web2. Além disso, enquanto as transações bancárias tradicionais são reversíveis, as que estão na blockchain não são.
“Um servidor comprometido pode apresentar ao usuário informações enganosas que o enganam para executar transações que drenarão sua carteira”, diz Prisacaru. Mas colocar tempo e esforço suficientes para fazer a implementação corretamente pode proteger contra ataques, especialmente quando se trata de usar uma plataforma descentralizada.
“Quando implementado adequadamente de forma descentralizada, um mercado comprometido não deve ser capaz de roubar ou alterar os ativos de um usuário; no entanto, alguns marketplaces cortam os cantos e sacrificam a segurança e a descentralização para mais controle”, diz Prisacaru.
4. Fraude de identidade e golpes de criptomoedas
Golpes de criptomoedas são comuns, e muitas vezes podem ter um grande número de vítimas. “Os golpistas permanecem regularmente no topo dos lançamentos altamente esperados da NFT e geralmente têm dezenas de sites de mineração fraudulentos prontos para promover em conjunto com o lançamento oficial”, diz Stein. Os clientes que são vítimas desses golpes são muitas vezes alguns dos mais leais, e essa experiência ruim pode potencialmente afetar a forma como eles percebem a marca. Então, protegê-los é crucial.
Muitas vezes, os usuários recebem e-mails maliciosos dizendo-lhes que comportamento suspeito foi notado em uma de suas contas. Eles são solicitados a fornecer suas credenciais para verificação de conta para resolver isso. Se o usuário cair nessa, suas credenciais ficam comprometidas. “Qualquer marca que tentasse entrar no espaço NFT se beneficiaria de alocar recursos para monitoramento e mitigação desses tipos de ataques de phishing“, diz Stein.
5. Pontes blockchain são uma ameaça crescente
Diferentes blockchains têm moedas diferentes e estão sujeitos a regras diferentes. Por exemplo, se alguém tem bitcoin, mas quer gastar Ethereum, precisa de uma conexão entre as duas blockchains que permite a transferência de ativos.
Uma ponte blockchain, às vezes chamada ponte transversal, faz exatamente isso. “Devido à sua natureza, geralmente eles não são implementados estritamente usando contratos inteligentes e dependem de componentes off-chain que iniciam a transação na outra cadeia quando um usuário deposita ativos na cadeia original”, diz Prisacaru.
Alguns dos maiores hacks de criptomoedas envolvem pontes transversais, incluindo Ronin, Poly Network, Wormhole. Por exemplo, no hack contra a blockchain de jogos Ronin no final de março de 2022, os atacantes receberam US$ 625 milhões em Ethereum e USDC. Além disso, durante o ataque da Poly Network em agosto de 2021, um hacker transferiu mais de US$ 600 milhões em tokens para várias carteiras de criptomoedas. Felizmente, neste caso, o dinheiro foi devolvido duas semanas depois.
6. O código deve ser exaustivamente testado e auditado
Having good code should be a priority from the beginning of any project. Prisacaru argues that developers should be skilled and willing to pay attention to detail. Otherwise, the risk of falling victim to a security incident increases. For instance, in the Poly Network attack, the attacker exploited a vulnerability between contract calls.
Para evitar um incidente, as equipes devem realizar testes minuciosos. A organização também deve contratar um terceiro para fazer uma auditoria de segurança, embora isso possa ser caro e demorado. As auditorias oferecem uma revisão sistemática do código para ajudar a identificar as vulnerabilidades mais conhecidas.
Claro, verificar o código é necessário, mas não suficiente, e o fato de uma empresa ter feito uma auditoria não garante que eles estão fora de problemas. “Em uma blockchain, os contratos inteligentes geralmente são altamente compostáveis e, muitas vezes, seus contratos interagirão com outros protocolos”, diz Prisacaru. “As empresas, no entanto, só têm controle sobre seu próprio código, e interagir com protocolos externos aumentará os riscos.”
Tanto pessoas físicas quanto jurídicas podem explorar outro caminho para a gestão de riscos: o seguro, que ajuda as empresas a reduzir o custo de contratos inteligentes ou hacks de custodiante.
7. Gerenciamento de chaves
“No fundo, a criptografia é apenas uma gestão de chaves privadas”, diz Schwenk. “Isso soa simples para muitas empresas, e os CISOs podem muito bem estar cientes das questões e das melhores práticas.”
Existem várias soluções acessíveis para gerenciamento de chaves. Uma delas são as carteiras de hardware como Trezor, Ledger ou Rettice1. Estes são dispositivos USB que geram e armazenam o material criptográfico em seus elementos seguros, impedindo que os invasores acessem suas chaves privadas mesmo que tenham acesso ao seu computador, por exemplo, usando um vírus/backdoor.
Outra linha de defesa é a multi-sigs, que pode ser usada em conjunto com hardware wallets. “Em sua base, uma carteira de contrato inteligente é uma carteira de contrato inteligente que exige que as transações sejam confirmadas por vários de seus proprietários”, diz Prisacaru. “Por exemplo, você pode ter cinco proprietários e exigir um mínimo de três pessoas para assinar a transação antes que ela possa ser enviada. Dessa forma, um agressor teria que comprometer mais de uma pessoa para comprometer a carteira.”
8. Educação de funcionários e usuários
As organizações que gostariam de integrar as tecnologias Web3 precisam treinar seus funcionários porque novas ferramentas são necessárias para transacionar nas diferentes blockchains. “O comércio de ativos digitais pode parecer familiar ao e-commerce tradicional, mas as ferramentas e plugins de navegador necessários para serem proficientes neste novo mundo são bem diferentes do que as equipes financeiras estão acostumadas”, diz Aaron Higbee, co-fundador e CTO da Cofense.
Embora todas as empresas precisem se preocupar com ataques de phishing baseados em e-mail, os funcionários que lidam com ativos digitais podem ser alvos com mais frequência. O objetivo do treinamento é garantir que todos na equipe sigam as últimas práticas recomendadas e tenham uma boa compreensão da segurança. Oded Vanunu, chefe de pesquisa de vulnerabilidade de produtos da Check Point, diz que notou “uma grande lacuna” no conhecimento quando se trata de criptomoedas, o que pode tornar as coisas “um pouco caóticas” para certas empresas. “As organizações que gostariam de integrar as tecnologias Web3 precisam entender que esses projetos devem ter revisões profundas de segurança e compreensão de segurança, o que significa que devem entender os números e a implicação que pode acontecer”, diz ele.
Algumas organizações que não querem fazer gerenciamento de chaves privadas decidem usar um sistema centralizado, o que as torna vulneráveis a problemas de segurança da Web2. “Estou pedindo que, se eles estão integrando as tecnologias Web3 em seu Web2, este deve ser um projeto que terá uma revisão profunda de segurança e práticas recomendadas de segurança que precisam ser implementadas”, diz Vanunu.
9. A permanência de NFTs e aplicativos descentralizados web3
Muitas empresas vão deixar de lado produtos que não atendem mais às suas necessidades, mas isso normalmente não está disponível para ativos apoiados por blockchain se eles forem feitos corretamente. “Os NFTs não devem ser tratados como um esforço de marketing único”, diz Stein. “Se a NFT em si não está em cadeia, agora há um ônus para a empresa mantê-la em perpetuidade. Se o projeto se tornar um sucesso selvagem, então a empresa assumiu uma grande tarefa de apoiar os coletores desses NFTs no que diz respeito a percalços, golpes, etc.”
Um projeto viral é o lançado pelo governo ucraniano, que vendeu NFTs com base na linha do tempo da guerra. “O lugar para manter a memória da guerra. E o lugar para celebrar a identidade e a liberdade ucranianas”, segundo um tweet de Mykhailo Fedorov, vice-primeiro-ministro da Ucrânia e ministro da transformação digital. Os entusiastas da NFT reagiram positivamente, dizendo que queriam comprar um pedaço da história e apoiar a Ucrânia. Sua expectativa, porém, é que o projeto seja mantido.
10. Blockchain nem sempre é a ferramenta certa
Novas tecnologias são sempre emocionantes, mas antes de dar o salto, as organizações devem perguntar se elas realmente resolvem o problema, e se é o momento certo para adotá-los. Projetos baseados em blockchain têm o potencial de mudar as empresas para melhor, mas também podem drenar recursos, pelo menos na fase inicial.
“Pesar o risco/recompensa será uma parte importante da decisão, e resourcing adequadamente o esforço de segurança, tanto na adoção quanto em curso, é fundamental”, diz Schwenk. “O julgamento de risco/recompensa por essas novas exposições pode não ser (ainda) uma competência central, e é fácil ficar preso no hype que muitas vezes está associado à criptografia.”
FONTE: CSO ONLINE