Existem proponentes do web3 que dirão que a web descentralizada oferece maior resiliência e segurança em comparação com a Web 2.0, graças à sua tecnologia subjacente baseada em blockchain.
A Web 2.0, que estreou no início dos anos 2000 com foco em conteúdo gerado pelo usuário, interfaces de usuário avançadas e serviços cooperativos, também trouxe consigo uma nova onda de ameaças à segurança, incluindo malware, phishing, engenharia social, roubo de identidade, cross-site. scripting, injeção de SQL e vazamentos de dados, para citar apenas alguns.
Web3, um termo que engloba várias tecnologias como criptomoedas, NFTs e DAOs, certamente parece que fará com que essas ameaças sejam coisa do passado: web3 não apenas dá às pessoas mais controle sobre seus dados, mas é baseado em tecnologias distribuídas. , como blockchain, para suavizar as muitas falhas de seu antecessor.
Na realidade, porém, a web3 não é mais segura do que a Web 2.0 e já está criando um novo campo de jogo para cibercriminosos oportunistas. Isso ocorre porque, embora represente uma mudança no que a Internet pode fazer e para o que será usada, não muda a maneira como ela funciona fundamentalmente.
novo e não melhorado
Embora prometendo ser totalmente descentralizado, os componentes voltados para o usuário do web3 são alimentados principalmente pela tecnologia Web 2.0, como APIs e endpoints de conexão de artefatos, apesar de serem construídos na tecnologia blockchain. Isso significa que os usuários de serviços web3 e aplicativos descentralizados, ou “dApps”, continuam a depender de tecnologias legadas para realizar transações e, em última análise, significa que o web3 é vulnerável a todos os problemas clássicos de segurança que atormentavam seu antecessor, desde o sequestro de DNS até o script Travessia. As empresas Web3 também precisam se comunicar com seus usuários, principalmente por meio de tecnologias Web 2.0, como e-mail ou mensagens on-line, que também são propensas a problemas de segurança legados.
Talvez sem surpresa, web3 phishing também ocorreu. Embora os invasores tenham se concentrado anteriormente em obter acesso a informações como os detalhes de login de um usuário, agora eles estão voltando sua atenção para as carteiras de criptomoedas e chaves privadas dos usuários.
Os seres humanos sempre serão vulneráveis à manipulação, e é por isso que os hackers continuarão a empregar esta técnica simples, mas eficaz: os dados mostram que as campanhas de phishing que abuso de plataformas web3 aumentou quase 500% em 2022, enquanto um relatório recente da Immunefi, a recompensa de bugs e plataforma de segurança, revelou que a indústria cripto incorreu em perdas de US$ 3.9 bilhões em 2022 devido a vários incidentes relacionados a hacking, fraude e golpe.
Isso talvez seja melhor evidenciado por vários ataques importantes do web3 nos últimos meses. Um dos mais infames foi um ataque à rede Ronin da Axie Infinity, na qual os invasores roubaram US$ 625 milhões. Os hackers, identificados pelo governo dos EUA como o Lazarus Group, apoiado pela Coreia do Norte, teriam como alvo os funcionários do desenvolvedor do Axie Infinity, Sky Davis, com uma falsa oferta de emprego via LinkedIn.
No ano passado, os invasores também violaram o Nomad, um protocolo de mensagens entre cadeias, para roubar quase US$ 200 milhões em ativos digitais. De acordo com os registros de segurança, uma atualização de um dos contratos inteligentes do Nomad tornou mais fácil para os usuários falsificar transações, permitindo que um malfeitor retirasse fundos que não pertenciam a eles.
ameaças descentralizadas
O hack Nomad demonstra que o web3 não é apenas vulnerável a falhas de segurança existentes na Web 2.0, mas também apresenta sua própria categoria de vulnerabilidades, um fato recentemente destacado pelo pesquisador de malware Marcus Hutchins em um vídeo de mídia social no qual ele afirma que a web3 é de fato menos segura que a web 2.0.
Contratos inteligentes são programas autoexecutáveis que rodam em um blockchain e são usados para automatizar a execução de diversas funções, como transações financeiras. Se um contrato inteligente contiver uma vulnerabilidade, um invasor poderá explorá-lo para roubar fundos. Bugs em contratos inteligentes também foram responsáveis pelo roubo de US$ 31 milhões em MonoX em 2021.
Vulnerabilidades em aplicativos descentralizados também são uma grande preocupação: embora sejam construídos sobre plataformas blockchain, eles estão sujeitos a riscos de segurança, como ataques de negação de serviço (DDoS), tentativas de hacking e exploits. Especialistas em segurança também soaram o alarme sobre muitos outros problemas exclusivos da tecnologia web3, como falhas de pontes entre cadeias e ataques a processos de governança, todos os quais exigem conhecimento especializado e experiência para serem resolvidos.
No entanto, a novidade dessas tecnologias, juntamente com o fato de que muitos profissionais de segurança são altamente céticos em relação à web3, significa que as organizações nesse espaço podem ter dificuldades para encontrar as habilidades certas para manter a segurança da web3.
Não é solução para tudo
A Web3 tem sido um fator-chave para startups e capital de risco nos últimos anos: as startups Web3 globalmente levantaram um recorde US$ 29,2 bilhões em 2021, e embora tenha caído um pouco no ano seguinte, eles ainda arrecadaram US$ 21,5 bilhões em 2022. Com isso em mente, talvez não seja surpresa que as tecnologias web3 tenham sido rapidamente adotadas por startups, muitas provavelmente desconhecendo os benefícios potenciais. riscos de segurança.
Para garantir que não sejam vítimas da violação de segurança do web3, é fundamental que as startups priorizem a segurança desde o início e adotem a metodologia de segurança por design. Bogdan Botezatu, diretor de pesquisa e relatórios de ameaças da empresa de segurança cibernética Bitdefender, disse que isso deve incluir a realização de avaliações de risco durante os estágios de design de produtos e serviços, seguindo as melhores práticas para desenvolvimento de software seguro, como auditoria de código-fonte, testes de penetração regulares e contratação, ou equipes de segurança contratadas (se puderem encontrar as habilidades relevantes).
“Um clique errado ou uma atualização de segurança perdida pode resultar em comprometimento da rede, violação de dados ou roubo de ativos”, disse Botezatu. “Tanto as fintechs centralizadas quanto as descentralizadas apresentam um nível mais alto de risco devido às oportunidades imediatas de monetização que os cibercriminosos têm em potencial.”
O Web3 tem muito potencial e promete dar mais poder aos usuários comuns e inspirar empresas, produtos, serviços e experiências da próxima geração. No entanto, no final das contas, software é software e o web3 é tão seguro quanto parece.
