Web 3.0 dünyası bu risklerle geliyor!

Kullanıcılar, kuruluşlar, devletler ve işletmeler için yepyeni fırsatların kapısını aralayan Web 3.0, artan güvenlik tehditlerini de beraberinde getiriyor. Cisco Orta Doğu ve Afrika Siber Güvenlik Direktörü Fady Younes, “İnternetin metaverse’e dönüşümüyle birlikte kullanıcılar, kuruluşlar, devletler ve işletmeler için yepyeni fırsatlar ve özelliklerin kapıları aralanıyor. Tüm bu olanaklara karşılık Web 3.0, korsanların ve suçluların kullanabileceği güvenlik tehditlerini de içeriyor. Cisco Talos araştırma ekibi; kripto para, blok zincir teknolojisi, merkezi olmayan dağıtılmış uygulama ve dosya depolaması nedeniyle ortaya çıkan en yaygın güvenlik sorunlarını öne çıkarmak için ayrıntılı bir çalışma yaptı” bilgisini verdi. Cisco Talos, Web 3.0 ortamında ortaya çıkan en önemli 5 güvenlik riskini şöyle sıraladı:

ENS alanları: Dijital paranın artan popülaritesi sonucunda Ethereum Name Service (ENS) alanları daha çok kullanılmaya başlandı. ENS alanları, ilişkili kripto para cüzdan adresini bulmak için kullanılan bir ad. Bu da popüler alan adlarının üçüncü kişiler tarafından ticari marka yapılması ve satışını sağlamakta. Sonuç olarak, bir ENS alanı sahibini, kullanıcıları yasal bir kuruluşla görüştüklerine inandıracak şekilde bu adı kullanmaktan hiçbir şey alıkoyamaz. Ayrıca bu ENS alanları cüzdan adreslerini gösterir, dolayısıyla herkes dilediği zaman bu adla ilişkili cüzdanın içeriğini inceleyebilir.

Sosyal mühendislik: Yeni bir teknolojiye uyarlama genellikle sosyal mühendislik tehdidiyle gelmekte ve de bu durum Web 3.0’da da farklı değil. Web 3.0 kullanıcılarını etkileyen güvenlik olaylarının büyük çoğunluğu, cüzdanların kopyalanması gibi sosyal mühendislik saldırılarından kaynaklanmakta. Kullanıcılar “seed phrase”lerini (özel anahtarı) paylaşmaları konusunda son derece dikkatli olmalıdır. Bir kripto para cüzdanının kaybolması veya zarar görmesi durumunda bir kullanıcı, aslında özel anahtarları olan ve 12 – 24 sözcükten oluşan “seed phrase”i kullanarak cüzdanlarını ve içindeki her şeyi kurtarabilir. Seed phrase’i bilen herkes, kripto para cüzdanını kopyalayıp kendisine aitmiş gibi kullanabilir. Bu nedenle, kripto para veya NFT çalmak isteyen birçok siber suçlu bir kullanıcının asıl kelime grubunu hedef alır.

Sahte müşteri temsilcileri: Kullanıcıları seed phrase’lerinden ayırmak için saldırganların kullandığı bir diğer yöntem de kullanıcıların Twitter veya Discord sunucu isteklerine yanıt veren bir müşteri temsilcisi gibi davranmak. Saldırganlar, “yardım” sunma bahanesiyle kullanıcılarla iletişime geçerek, seed phrase’lerini paylaşmalarını sağlayabilir.

Whale hesaplar: Whale (Balina) hesaplar, yüksek tutarda kripto para veya NFT içeren, yüksek profilli kripto para hesaplarıdır. Bazı tahminlere göre 40.000 “whale” hesap tüm NFT’lerin %80’ine sahiptir ve bu sebeple siber güvenlik suçluları için ideal bir hedeftir. Dolandırıcılar, birçok küçük yatırımcının bu whale’lerin cüzdanlarını izlediğini bilir ve kendi sahte projelerine yatırım yapmaları için sosyal mühendislik uygulamasına başvurur. Çoğu yasal NFT projesi, akıllı sözleşmeleri için kaynak kodlarını serbestçe yayınlar. Bu proje kodunun yayınlanmamış olması, olası yatırımcılar için bir kırmızı bayrak olmalıdır.

Akıllı sözleşmelerdeki açıklar: Bazı saldırganlar yasal akıllı sözleşmelerdeki açıkları kullanmaya odaklanırken bazıları da farklı bir yaklaşım benimseyerek kötü niyetli akıllı sözleşme kodu biçiminde blok zincire yerleştirilen kendi zararlı yazılımlarını yazar. Kötü amaçlı akıllı sözleşmeler, tüm standart akıllı sözleşme fonksiyonlarına sahiptir, ancak beklenmedik şekilde hareket eder.