如今，越來(lái)越多的企業(yè)接受加密貨幣支付，因此客戶可以購(gòu)買幾乎所有他們想要的東西：例如電子產(chǎn)品、支付學(xué)費(fèi)和卡布奇諾咖啡。與此同時(shí)，不可替代代幣(NFT)市場(chǎng)規(guī)模也正在快速擴(kuò)展，一些新潮藝術(shù)家成為百萬(wàn)富翁，例如Snoop Dogg、Martha Stewart和Grimes等知名人士也在利用這一趨勢(shì)。

加密貨幣和NFT在許多企業(yè)的議程上討論Web3的影響及其帶來(lái)的機(jī)會(huì)?；ヂ?lián)網(wǎng)發(fā)展的這一新的重大轉(zhuǎn)變有望使人們的數(shù)字世界去中心化，為用戶提供更多的控制權(quán)和更透明的信息流。

在各行各業(yè)，很多企業(yè)都在盡最大努力適應(yīng)新的模式。但首席信息安全官有很多擔(dān)憂，主要面臨的問(wèn)題是網(wǎng)絡(luò)安全和身份欺詐、市場(chǎng)安全風(fēng)險(xiǎn)、密鑰和數(shù)據(jù)管理以及隱私。

任何形式的加密貨幣(包括NFT)，都存在一系列大多數(shù)企業(yè)可能不熟悉的威脅和安全問(wèn)題。研究機(jī)構(gòu)Digital Asset Research公司首席執(zhí)行官Doug Schwenk表示：“它需要許多新的操作程序暴露于一套新的系統(tǒng)(公共區(qū)塊鏈)，并帶來(lái)企業(yè)不太熟悉的許多風(fēng)險(xiǎn)?！?/p>

首席信息安全官對(duì)這些問(wèn)題的看法可能會(huì)影響用戶和業(yè)務(wù)合作伙伴。Confiant公司高級(jí)安全工程師Eliya Stein說(shuō)，“數(shù)據(jù)泄露會(huì)對(duì)企業(yè)或其用戶或NFT收集者產(chǎn)生直接的財(cái)務(wù)影響?！?/p>

以下是加密貨幣和NFT給首席信息安全官帶來(lái)的十個(gè)重大的安全風(fēng)險(xiǎn)。

1.集成區(qū)塊鏈協(xié)議可能很復(fù)雜

區(qū)塊鏈?zhǔn)且环N相對(duì)較新的技術(shù)。因此，將區(qū)塊鏈協(xié)議整合到項(xiàng)目中變得有點(diǎn)困難。調(diào)研機(jī)構(gòu)德勤公司的一份報(bào)告稱：“與區(qū)塊鏈相關(guān)的主要挑戰(zhàn)是缺乏對(duì)該技術(shù)的認(rèn)識(shí)，尤其是在銀行業(yè)以外的領(lǐng)域，并且普遍缺乏對(duì)其運(yùn)作方式的了解。這阻礙了投資和想法的探索?！?/p>

企業(yè)應(yīng)仔細(xì)評(píng)估每個(gè)受支持鏈的成熟度和適用性。Schwenk說(shuō)，“采用處于早期階段的區(qū)塊鏈協(xié)議可能會(huì)導(dǎo)致停機(jī)和安全風(fēng)險(xiǎn)，而后期協(xié)議目前具有更高的交易費(fèi)用。在選擇支持所需用途(例如支付)的協(xié)議之后，贊助商可能無(wú)法提供任何支持。這更像是采用開(kāi)源代碼，可能需要特定的服務(wù)提供商的服務(wù)才能充分實(shí)現(xiàn)價(jià)值?！?/p>

2.資產(chǎn)所有權(quán)規(guī)范變化

當(dāng)有人購(gòu)買NFT時(shí)，他們實(shí)際上并沒(méi)有購(gòu)買圖像，因?yàn)閷D片存儲(chǔ)在區(qū)塊鏈中是不切實(shí)際的。與其相反，用戶獲得的是某種將他們指向該圖像的收據(jù)。

區(qū)塊鏈僅存儲(chǔ)圖像的標(biāo)識(shí)，可以是哈希值或URL。經(jīng)常使用HTTP協(xié)議，但其去中心化的替代方案是星際文件系統(tǒng)(IPFS)。選擇IPFS的企業(yè)需要了解IPFS節(jié)點(diǎn)將由銷售NFT的公司運(yùn)行，如果該公司決定關(guān)閉商店，用戶可能無(wú)法訪問(wèn)NFT指向的圖像。

獨(dú)立安全研究員Anatol Prisacaru說(shuō)，“雖然在技術(shù)上可以將文件重新上傳到IPFS，但用戶不太可能這樣做，因?yàn)檫@個(gè)過(guò)程很復(fù)雜。然而，一個(gè)很好的方面是，由于去中心化和無(wú)需許可的性質(zhì)，任何人都可以做到這一點(diǎn)，不僅僅是項(xiàng)目開(kāi)發(fā)人員?！?/p>

3.市場(chǎng)安全風(fēng)險(xiǎn)

雖然NFT基于區(qū)塊鏈技術(shù)，但與之相關(guān)的圖像或視頻可以存儲(chǔ)在集中式或分散式平臺(tái)上。通常為了方便，將會(huì)選擇集中式模型，因?yàn)樗褂脩舾菀着c數(shù)字資產(chǎn)進(jìn)行交互。這樣做的缺點(diǎn)是NFT市場(chǎng)可以繼承Web2的漏洞。此外，雖然傳統(tǒng)的銀行交易是可逆的，但區(qū)塊鏈上的交易卻不是。

Priscaru說(shuō)，“受損的服務(wù)器可能會(huì)向用戶提供誤導(dǎo)性信息，誘使用戶執(zhí)行交易，從而盜取其資金。”但是，投入足夠的時(shí)間和精力來(lái)正確實(shí)施可以防止攻擊，尤其是在使用去中心化平臺(tái)時(shí)。

Priscaru說(shuō)，“當(dāng)以去中心化的方式正確實(shí)施時(shí)，受損的市場(chǎng)不能竊取或更改用戶的資產(chǎn);然而，一些市場(chǎng)會(huì)偷工減料，犧牲安全性和去中心化以獲得更多控制權(quán)，”

4.身份欺詐和加密貨幣詐騙

加密貨幣詐騙事件很常見(jiàn)，而且通常會(huì)有大量受害者。Stein說(shuō)，“網(wǎng)絡(luò)欺詐者經(jīng)常關(guān)注備受期待的NFT版本，并且通常有數(shù)十個(gè)詐騙網(wǎng)站準(zhǔn)備好與正式發(fā)布同步進(jìn)行推廣?！背蔀檫@些騙局受害者的客戶通常是最忠誠(chéng)的客戶，這種糟糕的體驗(yàn)可能會(huì)影響他們對(duì)企業(yè)的看法。因此，保護(hù)它們至關(guān)重要。

在通常情況下，用戶會(huì)收到惡意電子郵件，告訴他們?cè)谄渲械囊粋€(gè)帳戶中發(fā)現(xiàn)了可疑行為。他們被要求提供賬戶驗(yàn)證的憑證以解決這個(gè)問(wèn)題。如果用戶因此而上當(dāng)，他們的憑據(jù)就會(huì)受到損害。Stein說(shuō)，“任何試圖進(jìn)入NFT領(lǐng)域的品牌都將受益于分配資源來(lái)監(jiān)控和緩解這些類型的網(wǎng)絡(luò)釣魚(yú)攻擊?！?/p>

5.區(qū)塊鏈橋梁是一個(gè)日益嚴(yán)重的威脅

不同的區(qū)塊鏈有不同的加密貨幣，受制于不同的規(guī)則。例如，如果有人擁有比特幣但想使用以太坊，他們需要兩個(gè)區(qū)塊鏈之間的連接，以允許資產(chǎn)轉(zhuǎn)移。

區(qū)塊鏈橋(有時(shí)稱為跨鏈橋)就是這樣做的。Priscaru說(shuō)，“由于它們的性質(zhì)，它們通常沒(méi)有嚴(yán)格使用智能合約來(lái)實(shí)施，而是依賴于鏈外組件，當(dāng)用戶將資產(chǎn)存放在原始鏈上時(shí)，這些組件會(huì)在另一條鏈上啟動(dòng)交易?！?/p>

一些最大的加密貨幣黑客涉及跨鏈橋，其中包括Ronin、Poly Network、Wormhole。例如，在2022年3月對(duì)游戲區(qū)塊鏈Ronin的黑客攻擊中，攻擊者獲得了價(jià)值6.25億美元的以太坊和USDC。此外，在2021年8月的Poly Network攻擊期間，一名黑客將超過(guò)6億美元的代幣轉(zhuǎn)移到多個(gè)加密貨幣錢包中。幸運(yùn)的是，在這種情況下，這些代幣在兩周后被退回。

6.代碼應(yīng)該經(jīng)過(guò)徹底的測(cè)試和審核

擁有良好的代碼應(yīng)該是任何項(xiàng)目開(kāi)始時(shí)的首要任務(wù)。Prisakaru認(rèn)為，開(kāi)發(fā)人員應(yīng)該熟練并愿意關(guān)注細(xì)節(jié)。否則，成為安全事件受害者的風(fēng)險(xiǎn)就會(huì)增加。例如，在Poly Network攻擊中，攻擊者利用了合約調(diào)用之間的漏洞。

為防止事故發(fā)生，團(tuán)隊(duì)?wèi)?yīng)該進(jìn)行徹底的測(cè)試。企業(yè)還應(yīng)該與第三方簽訂合同，進(jìn)行安全審計(jì)，盡管這可能會(huì)很昂貴且耗時(shí)。審計(jì)提供系統(tǒng)的代碼審查，以幫助識(shí)別已知的漏洞。

當(dāng)然，檢查代碼是必要的，但還不夠，企業(yè)進(jìn)行審計(jì)的事實(shí)并不能保證他們沒(méi)有麻煩。Prisakaru說(shuō)，“在區(qū)塊鏈上，智能合約通常是高度可組合的，而且通常情況下，這個(gè)合約會(huì)與其他協(xié)議交互。然而，企業(yè)只能控制自己的代碼，與外部協(xié)議交互會(huì)增加風(fēng)險(xiǎn)?！?/p>

個(gè)人和企業(yè)都可以探索另一種風(fēng)險(xiǎn)管理途徑：保險(xiǎn)。它可以幫助企業(yè)降低智能合約或托管的成本。

7.密鑰管理

Schwenk說(shuō)，“加密在本質(zhì)上只是私鑰管理。這對(duì)許多企業(yè)來(lái)說(shuō)聽(tīng)起來(lái)很簡(jiǎn)單，首席信息安全官可能很清楚這些問(wèn)題和最佳實(shí)踐?！?/p>

有幾種可訪問(wèn)的密鑰管理解決方案。其中之一是Trezor、Ledger或Lattice1等硬件錢包。這些是USB設(shè)備，可在其安全元件上生成和存儲(chǔ)加密材料，防止攻擊者訪問(wèn)私鑰，即使他們可以訪問(wèn)他人的計(jì)算機(jī)，例如使用病毒/后門。

另一道防線是多重簽名，可以與硬件錢包一起使用。Prisakaru說(shuō)，“在它的基礎(chǔ)上，多重簽名是一個(gè)智能合約錢包，它要求交易得到其許多所有者的確認(rèn)。例如，可能有五個(gè)所有者，并且需要至少三個(gè)人簽署交易才能發(fā)送交易。這樣，攻擊者就必須讓多人參與進(jìn)來(lái)才能使受害者的錢包泄露?！?/p>

8.員工和用戶教育

想要集成Web3技術(shù)的企業(yè)需要培訓(xùn)他們的員工，因?yàn)樾枰碌墓ぞ邅?lái)在不同的區(qū)塊鏈上進(jìn)行交易。Cofense公司聯(lián)合創(chuàng)始人兼首席技術(shù)官Aaron Higbee說(shuō)，“數(shù)字資產(chǎn)商務(wù)對(duì)傳統(tǒng)電子商務(wù)來(lái)說(shuō)似乎很熟悉，但在這個(gè)新世界中需要精通的工具和瀏覽器插件與財(cái)務(wù)團(tuán)隊(duì)習(xí)慣的完全不同?！?/p>

雖然每個(gè)企業(yè)都需要擔(dān)心基于電子郵件的網(wǎng)絡(luò)釣魚(yú)攻擊，但處理數(shù)字資產(chǎn)的員工可能會(huì)更頻繁地成為攻擊目標(biāo)。培訓(xùn)的目的是確保團(tuán)隊(duì)中的每個(gè)人都遵循最新的最佳實(shí)踐，并且對(duì)安全有很好的理解。Check Point公司產(chǎn)品漏洞研究負(fù)責(zé)人Oded Vanunu表示，他注意到在加密貨幣方面的知識(shí)存在“巨大差距”，這可能會(huì)使某些公司的事情有點(diǎn)混亂。他說(shuō)，“想要集成Web3技術(shù)的企業(yè)需要了解這些項(xiàng)目必須有深入的安全審查和安全理解，這意味著他們必須了解可能發(fā)生的數(shù)字和影響?！?/p>

一些不想進(jìn)行私鑰管理的企業(yè)決定使用集中式系統(tǒng)，這使他們?nèi)菀资艿絎eb2安全問(wèn)題的影響。Vanunu說(shuō)，“我敦促如果他們將Web3技術(shù)集成到他們的Web2中，這必須是一個(gè)需要實(shí)施深入的安全審查和安全最佳實(shí)踐的項(xiàng)目。”

9.NFT和Web3去中心化應(yīng)用的持久性

許多企業(yè)將淘汰不再滿足其需求的產(chǎn)品，但如果做得好，這通常不適用于區(qū)塊鏈支持的資產(chǎn)。Stein說(shuō)，“NFT不應(yīng)被視為一次性的營(yíng)銷工作，如果NFT本身不在供應(yīng)鏈上，那么企業(yè)現(xiàn)在就必須來(lái)保持它的永久性。如果該項(xiàng)目取得巨大成功，那么該公司就承擔(dān)了一項(xiàng)重大任務(wù)，為這些NFT的收集者提供災(zāi)難性或詐騙等方面的支持?！?/p>

10.區(qū)塊鏈并不總是正確的工具

新技術(shù)總是令人興奮，但在實(shí)現(xiàn)飛躍發(fā)展之前，企業(yè)應(yīng)該詢問(wèn)他們是否真正解決了問(wèn)題，以及是否是采用它們的正確時(shí)機(jī)?；趨^(qū)塊鏈的項(xiàng)目有可能使企業(yè)運(yùn)營(yíng)變得更好，但它們也可能消耗資源，至少在初始階段是這樣。

Schwenk說(shuō)，“權(quán)衡風(fēng)險(xiǎn)/回報(bào)將是決策的重要組成部分，并且適當(dāng)?shù)貫榘踩ぷ魈峁┵Y源，無(wú)論是采用還是持續(xù)進(jìn)行都是至關(guān)重要的。對(duì)這些新風(fēng)險(xiǎn)/回報(bào)的判斷可能不是核心能力，而且很容易陷入與加密貨幣相關(guān)的炒作中?！?/p>