Sicurezza informatica Web3: le cose stanno andando fuori controllo?

In un post sul blog di BNB Chain all’inizio di ottobre, gli autori hanno annunciato che sono stati rubati circa due milioni di token crittografici BNB. Il valore? Erano oltre $ 560 milioni. A quel tempo, la catena BNB aveva 5,45 miliardi di dollari in asset DeFi (finanza decentralizzata). La piattaforma fa parte di Binance, la criptovaluta più grande del mondo.

La vulnerabilità era nel ponte a catena incrociata. Ciò consente il movimento di criptovalute da una blockchain all’altra. In sostanza, l’hacker è stato in grado di manipolare la blockchain, che ha consentito di coniare un numero enorme di token.

Ma BNB Chain è stata rapida nella sua risposta e ha sospeso le transazioni. Il risultato è stato che la perdita è stata ridotta a circa $ 110 milioni.

Leggi anche: Lo stato delle applicazioni Blockchain nella sicurezza informatica

Hack Web3 in crescita

L’hacking di BNB Chain non è una novità. I massicci hack stanno diventando una parte sempre più comune dell’ecosistema Web3. Ecco alcuni esempi recenti:

  • Axie Infinity: Sky Mavis, con sede a Singapore, è lo sviluppatore di questo gioco online play-to-earn. A marzo, gli hacker sono stati in grado di rubare oltre 500 milioni di dollari in criptovalute. Gli hacker sono stati in grado di ottenere chiavi private, che hanno consentito l’accesso ai nodi di convalida. Sky Mavis ha adottato misure per migliorare la propria sicurezza. La società ha anche raccolto capitali di rischio per aiutare a rimborsare i clienti.
  • The Horizon Bridge: questa piattaforma gestisce le transazioni su diverse blockchain, come Ethereum, Bitcoin e Binance Chain. Alla fine di giugno, Horizon ha rivelato un hack del sistema. Gli hacker hanno rubato circa $ 100 milioni di criptovalute.
  • Nomad: questo vale anche per le transazioni su vari blockchain come USD Coin, Ethereum e Dai. Gli hacker sono riusciti a guadagnare 190 milioni di dollari in criptovalute scambiando i numeri di conto.

Secondo un rapporto di Chainalysis, quest’anno sono stati rubati circa 2,2 miliardi di dollari di criptovaluta nei progetti DeFi (finanza decentralizzata). Le risorse totali su queste piattaforme sono di circa $ 100 miliardi.

“Gli attori delle minacce daranno sempre la priorità agli obiettivi con un elevato guadagno finanziario e c’è un potenziale guadagno inaspettato nel prendere di mira la DeFi con la quantità di denaro che scorre attraverso di essa e il numero crescente di vittime”, ha affermato Tim Choi, VP Product Marketing, Proofpoint. “I rischi sono elevati in quanto si tratta di un settore nuovo e poco regolamentato con molte nuove tecnologie che potrebbero non essere completamente controllate o protette”.

Quindi sì, Web3 è diventato un feroce campo di battaglia per la sicurezza informatica. Allora perché la tecnologia si è rivelata vulnerabile? Quali sono le implicazioni?

Diamo un’occhiata.

L’enigma Web3

La definizione di Web3 è un po’ confusa. Ma questa non dovrebbe sorprendere. Il settore è ancora nelle sue fasi nascenti.

Gavin Wood, cofondatore di Ethereum, ha coniato (scusate il gioco di parole) il termine Web3 nel 2014 (sebbene, all’epoca, lo chiamasse “Web 3.0”). La sua premessa era che l’attuale versione di Internet – di Web2 – era per lo più centralizzata. Gran parte del potere e dell’attività era concentrata su poche piattaforme come Apple, Microsoft, Facebook e così via.

Per Wood, la sua visione per Web3 era per una piattaforma decentralizzata. Molti utenti potrebbero controllare i propri dati. Potevano spostarlo dove volevano. Ci sarebbe anche un modo per la monetizzazione, ad esempio con i token.

Indipendentemente dai meriti di questa visione, la frammentazione della tecnologia è diventata un problema per la sicurezza. Secondo Ryan Lackey, Chief Security Officer presso la compagnia di assicurazioni di criptovalute Evertas: “Ad esempio, un sistema può funzionare in un modo, anche se in modo diverso da quello specificato, in pratica, quindi un utente potrebbe progettare un sistema di affidamento con l’aspettativa che il comportamento alterato continui . Tuttavia, un aggiornamento successivo potrebbe riportarlo a una specifica corrispondente, eventualmente introducendo vulnerabilità in quel sistema di affidamento”.

Oltre ai problemi software, che sono comuni per i contratti intelligenti scritti male, ce ne sono altri come le chiavi private non gestite correttamente e le minacce interne da parte di dipendenti o altre persone con accesso.

Consulta le migliori soluzioni per la prevenzione della perdita di dati (DLP).

Opzioni di sicurezza Web3

Realizzare un hack massiccio non richiede necessariamente una violazione sofisticata. In realtà può essere fatto utilizzando semplici intrusioni e-mail come phishing e spoofing.

Una società di sicurezza informatica che ha sfruttato i propri sistemi per questa categoria è Proofpoint. Sono stati in grado di respingere vari attacchi crittografici e DeFi. “Proofpoint continua a investire nei suoi motori di rilevamento delle minacce incorporando tecnologie come AI/ML che aiutano a fornire quasi il 100% di efficacia nel rilevamento delle minacce”, ha affermato Choi.

Ci sono anche molte startup di sicurezza informatica incentrate sulla sicurezza Web3. Uno dei più notevoli è CertiK. Negli ultimi nove mesi, la società ha raccolto circa 290 milioni di dollari da investitori come SoftBank Vision Fund 2 e Tiger Global. L’azienda è redditizia e i ricavi sono aumentati di 12 volte dal 2021.

La Security Suite di CertiK dispone di strumenti per identificare ed evitare le truffe. Un progetto guadagnerà un badge bronzo, argento o oro in base alla trasparenza e alla legittimità dei membri del team.

“L’auditing è il fulcro della nostra attività”, ha affermato Ronghui Gu, co-fondatore e CEO di CertiK. “Abbiamo un team dedicato di esperti che utilizza sia la revisione manuale che automatizzata per esaminare in modo approfondito gli smart contract e scoprire eventuali vulnerabilità che gli sviluppatori potrebbero aver perso. I nostri strumenti di monitoraggio post-implementazione come Skynet tengono d’occhio i progetti una volta che vengono rilasciati in natura, assicurando che i potenziali rischi vengano rilevati il ​​più rapidamente possibile”.

“Perdere miliardi di dollari all’anno non è un ottimo aspetto per il settore”

-Ronghui Gu, co-fondatore di CertiK

Agli albori dell’e-commerce, a metà degli anni ’90, c’erano molti problemi di sicurezza. Ma l’industria è stata rapida nel rafforzare i sistemi. Senza dubbio, una chiave è stata l’impatto di Amazon.

Web3 è in una fase simile. Ma se il settore vuole prosperare, è sicuramente necessario concentrarsi maggiormente sulla sicurezza. In caso contrario, potrebbe esserci una minaccia esistenziale per l’azienda.

“Non c’è bisogno di addolcire la questione”, ha detto Gu. “Perdere miliardi di dollari all’anno non è un bell’aspetto per il settore. Questo non vuol dire che non ci siano progetti incredibili là fuori che prendono sul serio la sicurezza. Ma c’è una minoranza che è negligente o semplicemente sfortunata e le perdite che subiscono si riflettono negativamente sul Web3 nel suo insieme”.

Scopri i migliori sistemi di gestione delle frodi e strumenti di rilevamento

Leave a Comment

Your email address will not be published. Required fields are marked *