Ci sono sostenitori del web3 che diranno che il web decentralizzato offre maggiore resilienza e sicurezza rispetto al web 2.0 grazie alla sua sottostante tecnologia basata su blockchain.
Il Web 2.0, che ha debuttato per la prima volta nei primi anni 2000 concentrandosi su contenuti generati dagli utenti, ricche interfacce utente e servizi cooperativi, ha portato con sé anche una nuova ondata di minacce alla sicurezza, tra cui malware, phishing, ingegneria sociale, furto di identità, cross-site. scripting, SQL injection e fughe di dati, solo per citarne alcuni.
Web3, un termine che comprende varie tecnologie come criptovalute, NFT e DAO, sembra certamente che renderà tali minacce un ricordo del passato: web3 non solo offre alle persone un maggiore controllo sui propri dati, ma si basa su tecnologie distribuite. , come blockchain, per appianare i numerosi difetti del suo predecessore.
In realtà, tuttavia, il Web3 non è più sicuro del Web 2.0 e sta già creando un nuovo campo di gioco per i criminali informatici opportunisti. Questo perché mentre rappresenta un cambiamento in ciò che Internet può fare e per cui verrà utilizzato, non cambia il modo in cui funziona fondamentalmente.
nuovo e non migliorato
Pur promettendo di essere completamente decentralizzati, i componenti rivolti all'utente di web3 sono principalmente alimentati dalla tecnologia Web 2.0, come le API e gli endpoint di connessione degli artefatti, nonostante siano costruiti sulla tecnologia blockchain. Ciò significa che gli utenti dei servizi web3 e delle applicazioni decentralizzate, o "dApp", continuano a fare affidamento su tecnologie legacy per condurre transazioni e, in ultima analisi, significa che web3 è vulnerabile a tutti i classici problemi di sicurezza che affliggevano il suo predecessore, dal dirottamento DNS allo script traversata. Le aziende Web3 devono anche comunicare con i propri utenti, principalmente attraverso le tecnologie Web 2.0 come la posta elettronica o la messaggistica online, anch'esse soggette a problemi di sicurezza legacy.
Forse non sorprende che si sia verificato anche il phishing web3. Mentre in precedenza gli aggressori si erano concentrati sull'ottenere l'accesso a informazioni come i dettagli di accesso di un utente, ora stanno rivolgendo la loro attenzione ai portafogli di criptovaluta e alle chiavi private degli utenti.
Gli esseri umani saranno sempre vulnerabili alla manipolazione, motivo per cui gli hacker continueranno a utilizzare questa tecnica semplice ma efficace: i dati mostrano che le campagne di phishing che abuso delle piattaforme web3 è aumentato di quasi il 500% nel 2022, mentre un recente rapporto di Immunefi, la piattaforma di bug bounty e sicurezza, ha rivelato che l'industria delle criptovalute ha subito perdite per 3.9 miliardi di dollari nel 2022 a causa di vari incidenti legati a hacking, frodi e truffe.
Ciò è forse meglio evidenziato da diversi importanti attacchi web3 negli ultimi mesi. Uno dei più famigerati è stato un attacco alla rete Ronin di Axie Infinity, in cui gli aggressori hanno rubato 625 milioni di dollari. Secondo quanto riferito, gli hacker, identificati dal governo degli Stati Uniti come Lazarus Group, sostenuto dalla Corea del Nord, hanno preso di mira i dipendenti dello sviluppatore di Axie Infinity Sky Davis con un'offerta di lavoro fasulla tramite LinkedIn.
L'anno scorso, gli aggressori hanno anche violato Nomad, un protocollo di messaggistica interchain, per rubare quasi 200 milioni di dollari in risorse digitali. Secondo i registri di sicurezza, un aggiornamento di uno dei contratti intelligenti di Nomad ha reso più facile per gli utenti falsificare le transazioni, consentendo a un malintenzionato di prelevare fondi che non gli appartenevano.
minacce decentrate
L'hacking di Nomad dimostra che web3 non solo è vulnerabile alle falle di sicurezza esistenti di Web 2.0, ma presenta anche una propria categoria di vulnerabilità, un fatto recentemente evidenziato dal ricercatore di malware Marcus Hutchins in un video sui social in cui afferma che il Web3 è in realtà meno sicuro del Web 2.0.
I contratti intelligenti sono programmi autoeseguibili che vengono eseguiti su una blockchain e vengono utilizzati per automatizzare l'esecuzione di varie funzioni, come le transazioni finanziarie. Se uno smart contract contiene una vulnerabilità, un utente malintenzionato può sfruttarla per rubare fondi. I bug nei contratti intelligenti sono stati anche responsabili del furto di $ 31 milioni di MonoX in 2021.
Anche le vulnerabilità nelle applicazioni decentralizzate sono una delle principali preoccupazioni: anche se sono costruite su piattaforme blockchain, sono soggette a rischi per la sicurezza come attacchi denial-of-service (DDoS), tentativi di hacking ed exploit. Gli esperti di sicurezza hanno anche lanciato l'allarme su molti altri problemi esclusivi della tecnologia web3, come i fallimenti del cross-chain bridging e gli attacchi ai processi di governance, che richiedono conoscenze e competenze specialistiche per essere risolti.
Tuttavia, la novità di queste tecnologie, unita al fatto che molti professionisti della sicurezza sono molto scettici nei confronti di web3, significa che le organizzazioni in questo spazio potrebbero avere difficoltà a trovare le competenze giuste per mantenere la sicurezza web3.
Non è una soluzione per tutto
Web3 è stato un driver chiave per le startup e il capitale di rischio negli ultimi anni: le startup Web3 hanno raggiunto un record a livello globale $ 29,2 miliardi nel 2021, e mentre questo è leggermente diminuito l'anno successivo, hanno comunque incassato $ 21,5 miliardi nel 2022. Con questo in mente, forse non sorprende che le tecnologie web3 siano state rapidamente adottate dalle startup, molte probabilmente ignare dei potenziali vantaggi e rischi per la sicurezza.
Per garantire che non cadano vittime della violazione della sicurezza di web3, è fondamentale che le startup diano la priorità alla sicurezza fin dall'inizio e adottino la metodologia di sicurezza in base alla progettazione. Bogdan Botezatu, direttore della ricerca e della segnalazione delle minacce presso la società di sicurezza informatica Bitdefender, ha affermato che ciò dovrebbe includere la conduzione di valutazioni del rischio durante le fasi di progettazione di prodotti e servizi, seguendo le migliori pratiche per lo sviluppo di software sicuro, come il controllo del codice sorgente, test di penetrazione regolari e assunzioni, o team di sicurezza a contratto (se riescono a trovare le competenze pertinenti).
"Un clic sbagliato o un mancato aggiornamento della sicurezza possono comportare una compromissione della rete, una violazione dei dati o un furto di risorse", ha affermato Botezatu. "Sia le società fintech centralizzate che quelle decentralizzate hanno un livello di rischio più elevato a causa delle opportunità di monetizzazione immediate di cui dispongono i potenziali criminali informatici".
Web3 ha un grande potenziale e promette di dare agli utenti di tutti i giorni più potere e ispirare aziende, prodotti, servizi ed esperienze di prossima generazione. Tuttavia, alla fine della giornata, il software è software e web3 è sicuro come lo pretendiamo.
