Web3 a bezpieczeństwo - jak dbać o bezpieczeństwo z Web3

Blockchain
22.12.23

Dzięki wykorzystaniu decentralizacji i technologii blockchain, Web3 ma wynieść rozwój internetu na nowy wyższy poziom. Wdrożenie tych technologii wiąże się jednak również z nowymi zagrożeniami. Cyberprzestępcy dostosowują się do ewoluującego świata technologii, znajdując nowe sposoby na wykorzystanie produktów i usług funkcjonujących w przestrzeni Web3, jak na przykład smart kontrakty, kryptowaluty, czy NFT. Tylko w 2022 roku hakerzy ukradli kryptowaluty o równowartości dwóch miliardów.

Jak zadbać o bezpieczeństwo w sieci Web3? Jakich rodzajów ryzyka i wyzwań warto być świadomym? O tym właśnie opowiemy w naszym artykule.

Czym jest bezpieczeństwo w sieci Web3?

Web3 rozwiązuje wiele bolączek będących nieodłączną częścią technologii Web2. Niemniej jednak nie oznacza to, że ta transformacja niesie ze sobą wyłącznie korzyści. Web3 również ma swoje słabe punkty, a przy tym dziedziczy wiele problemów po Web2.

Użytkownicy Web3 i oparte na tej technologii projekty muszę się liczyć z różnymi zagrożeniami. Wektorów ataku jest wiele, ale też sporo jest sposobów, które pozwalają się przed nimi zabezpieczyć.

Web3 przechowuje dane w sposób zdecentralizowany, szyfrując je, aby uniemożliwić ingerencję bez zgody uprawnionej sieci. Na przykład, zmiana danego bloku w łańcuchu bloków jest trudna i sporo kosztuje. Zmiana jednego bloku automatycznie powoduje zmianę czy powiązanym z nim innym bloku. To rodzaj reakcji łańcuchowej – jedna zmiana pociąga za sobą zmiany na całej sieci blockchain. Wprowadzenie takich zmian nie jest niemożliwe, jednak wymaga szerokiego konsensusu na całej sieci, a poza tym wymaga znacznych zasobów.

Wyzwania związane z bezpieczeństwem w sieci Web3

Anonimowość w sieci Web3.0

Zwolennicy Web3 podkreślają, że anonimowość to jeden z kluczowych elementów tej technologii. Weźmy przykład kryptowalut. W ich przypadku portfele i transakcje użytkowników są widoczne na bloku, ale nie zdradzają tożsamości ich właścicieli. Zapewnia to prywatność, ale jednocześnie stanowi wyzwanie w kontekście bezpieczeństwa w związku z niepewnymi KYC/AML czy rejestrowaniem adresów IP transakcji przez węzły. Na przykład, w przypadku kradzieży środków z portfela kryptowalutowego, namierzenie odpowiedzialnej za nią osoby jest bardzo trudne. To, że połączenie portfela z tożsamością danej osoby jest takim wyzwaniem, pozwala hakerom kraść bez ponoszenia odpowiedzialności.

Skuteczna detekcja oszustw w Web3 staje się w rezultacie skomplikowanym procesem śledzenia przepływu środków między portfelami. Narzędzia chroniące prywatność utrudniają śledzenie transakcji, ale narzędzia analityczne dla sieci blockchain mogą przewidywać, namierzać i wizualizować ataki na dany łańcuch bloków. Z tego względu stanowią kluczowy element systemu zabezpieczeń każdego zdecentralizowanego projektu.

W przyszłości, ramy prawne będą prawdopodobnie uwzględniać takie zabezpieczenia jak Know Your Customer (KYC), i Anti-Money Laundering (AML). Pozwoli to zredukować liczbę oszustw w zdecentralizowanym internecie. „Exit scams” to najpopularniejszy wektor ataku w Web3, jednak rosnąca transparentność projektów zmniejsza jego prawdopodobieństwo. Problemy, które niesie ze sobą anonimowość internetu trzeciej generacji, wciąż są nowe i czekają na rozwiązania, jednak nie brakuje technologii, które wydają się obiecujące w tym kontekście – jak na przykład zdecentralizowana tożsamość.

Web3 a transparentność

Projekty Web3 zazwyczaj wdrażają ideę transparentności poprzez otwarte księgi i praktyki open-source. Transparentność sprzyja bezpieczeństwu sieci Web3, tworząc samoregulujące się środowisko, w którym trudniej jest ukryć nielegalną aktywność. Ponadto, w związku z tym, że kod i aktywność na łańcuchu bloków jest widoczna dla każdego, łatwiej można zweryfikować projekty pod kątem ewentualnych problemów, niewystarczających zabezpieczeń czy zawirusowanego kodu.

Niemniej jednak ta nowa formuła otwiera drzwi dla nowych rodzajów ataków. Sprawdzenie kodu projektowego pod kątem słabych punktów wymaga czasu, ekspertyzy i motywacji. Efekty takich działań użytkownicy mogą również wykorzystywać dla własnych korzyści, niekoniecznie w dobrej intencji. Teraz gdy ekosystem Web3 rośnie w bezprecedensowym tempie, a wraz z nim rozwijają się technologie takie jak mosty, flash loans czy decentralized exchanges, problem ten staje się jeszcze bardziej widoczny.

Centralizacja vs Decentralizacja w Web3.0

Choć Web3 niesie ze sobą wiele zalet, wiąże się również z zagrożeniami, jednym, z których jest właśnie centralizacja. Ryzyko centralizacji stanowi jeden z najczęstszych wektorów ataku. Decentralizacja to fundament ekosystemu Web3, zarówno na poziomie technologii, jak i idei mu przyświecających, jednak wiele projektów w teorii zakładających zdecentralizowaną strukturę, w praktyce okazuje się nosić znamiona centralizacji. Dzieje się tak z różnych względów. Często górę biorę technologiczne ograniczenia, zmieniające założenia projektu. Może też być to wynikiem czystej wygody. Trzeba jednak pamiętać, że taka „droga na skróty” przeciera szlaki dla cyberprzestępców.

Dobrym przykładem ryzyka centralizacji może być zagrożenie związane z zarządzaniem uprzywilejowanym dostępem. Hakerzy wykorzystują ten wektor ataku, aby zyskać dostęp członków zespołu projektu celem dotarcia do wartościowych zasobów. Tak było w przypadku niedawnego Ronin Network Hack, kiedy to haker za pośrednictwem ataku pishingowego (czyli wyłudzając dostęp do danych) zdobył prywatne hasła do sieci i opróżnił protokół z 625 milionów dolarów.
Rosnąca decentralizacja to odpowiedź na to wyzwanie. Można do niej dążyć poprzez dystrybucję kontroli dostępu wśród większej liczby węzłów na sieci, czy przekazanie sprawowanej przez zespół kontroli nad siecią projektu społeczności. Audyty zapobiegają ryzyku centralizacji podobnie jak narzędzie analityczne dla sieci blockchain, które pomagają zespołem projektowym monitorować smart kontrakty.

Kluczowe zagrożenia bezpieczeństwa w Web3

Choć w wielu aspektach środowisko Web3 jest bezpieczniejsze niż Web2, Ono również ma swoje słabsze strony, jak każda technologia. Niektóre z nich wynikają ze sposobu, w jaki architektury Web3 i Web2 współpracują ze sobą. Inne z kolei mają źródło w sposobie funkcjonowania sieci blockchain oraz IPFS. Zależność internetu trzeciej generacji od mechanizmu konsensusu może dodatkowo utrudniać rozwiązywanie tych problemów.

Brak szyfrowania i weryfikacji dla zapytań API

Aplikacje Web3 często polegają na niezweryfikowanych zapytaniach API, co stwarza pewne ryzyko zagrożeń. W teorii, Web3 jest kompletnie zdecentralizowanym środowiskiem, a każdy węzeł do niego przynależący ma bezpośrednią styczność z przechowywanymi danymi. Niemniej jednak, w praktyce jest nieco inaczej – większość aplikacji Web3 nadal polega na technologiach internetu poprzedniej generacji, z którymi użytkownicy mogą łatwo wchodzić w interakcje.

Na ten moment zapytania API w Web3 nie są zabezpieczone kluczem kryptograficznym. Naraża je to na ataki typu on-path czy ryzyko przechwycenia danych.

Niezabezpieczone smart kontrakty

Smart kontrakty to przechowywane na blockchainie programy, które są uruchamiane w przypadku realizacji warunków umowy przez jej strony. Jak każde rozwiązanie oparte na kodzie, smart kontrakty mają pewne luki bezpieczeństwa, które mogą doprowadzić do wycieku danych użytkownika. Według badań przeprowadzonych w 2019 roku, źle napisane smart kontrakty Ethereum całościowo narażały na ryzyko aż 4 miliony dolarów w walucie Ether. Problem wciąż pozostaje nierozwiązany, choć coraz więcej wagi przywiązuje się do pisania jakościowego kodu. W 2021 roku, haker przywłaszczył sobie około 31 milionów dolarów cyfrowej waluty od MonoX Finance właśnie dzięki wykorzystaniu luk bezpieczeństwa w źle napisanym smart kontrakcie. W 2002 roku byliśmy świadkiem podobnej katastrofy na znacznie większą skalę – niedoskonały algorytm naraził TerraUSD na straty w wysokości około 50 miliardów dolarów. Niemniej jednak przeprowadzenie pogłębionego audytu przez wyspecjalizowaną firmę znacząco redukuje ryzyko związane z wdrożeniem smart kontraktów.

Kradzież konta lub portfela kryptowalutowego

Ataki na portfele kryptowalutowe czy NFT są dość powszechne. Najczęściej cyberprzestępcy zyskują dostęp do prywatnych haseł lub podstępem skłaniają użytkowników do ich przekazania za pośrednictwem phishingu. Jeśli te prywatne hasła są przechowywane lokalnie na dysku użytkownika, Istnieje również ryzyko fizycznej kradzieży.

Na ten moment większość cyberataków uderza w kryptowaluty, jako że to rynek kryptowalutowy w głównej mierze wykorzystuje zdecentralizowane aplikacje oraz technologie Web3 (choć powoli się to zmienia). W przypadku innych nisz, skutki mogą być równie poważne.

Problemy z prywatnością zdecentralizowanych baz danych

W przeciwieństwie do modelu web 2.0, w którym dostęp do baz danych jest ściśle zabezpieczony, dane na łańcuchu bloków mogą być przechowywane i przetwarzane przez każdy podłączony do niego węzeł. Prowadzi to do szeregu problemów z bezpieczeństwem i prywatnością. Nawet jeśli dane są zanonimizowane, wciąż nie są całkowicie anonimowe.

Ataki na protokoły

Podobnie jak sam Internet, blockchain również ma kilka warstw. Nad łańcuchami bloków nadbudowywane są tak zwany mosty, które umożliwiają transfer danych z jednego bloku do drugiego. One także mogą stać się wektorem ataku. Tak wydarzyło się na przykład w lutym 2022 roku, kiedy to cyberprzestępcy złamali zabezpieczenia mostu Wormhole, kradnąc 320 milionów dolarów w kryptowalucie. Za przykład może posłużyć też Binance, który zawiesił Binance Smart Chain (BSC) właśnie po takim ataku.

Bezpieczeństwo Web3 w przyszłości

Entuzjazm przedsiębiorstw wobec technologii blockchain stale rośnie, co rodzi zapotrzebowanie na odpowiednie zabezpieczenia. Luki bezpieczeństwa mogą Poważnie zagrozić przedsiębiorstwu i nadszarpnąć jego reputację. A ponieważ wiele zdecentralizowanych aplikacji wciąż polega na tradycyjnych aplikacjach Web2 w kontekście frontendu, firmy muszą na ten moment zadbać jednocześnie o bezpieczeństwo rozwiązań bazujących na sieciach tradycyjnych oraz sieciach blockchain.

Ekosystem Web3 nie jest w stanie się rozwijać bez konkretnych rozwiązań, które są w stanie zabezpieczyć jego struktury. Co za tym idzie, specjalistyczne rozwiązania odegrają kluczową rolę w zapewnianiu bezpieczeństwa w internecie trzeciej generacji.

Jeśli uważasz, że artykuł był interesujący i chcesz pogłębić swoją wiedzę na temat Web3, przeczytaj nasz artykuł Czym jest Web3 i na jakiej zasadzie działa?