Web3’ün savunucuları, merkezi olmayan web’in, temelindeki blok zinciri tabanlı teknoloji sayesinde Web 2.0’a kıyasla daha fazla esneklik ve güvenlik getirdiğini savunuyorlar. Peki bu gerçekten doğru mu? Yazımızda Web3 ve güvenliğe odaklanıyoruz.
İlk olarak 2000’li yılların başında kullanıcı tarafından oluşturulan içerik, zengin kullanıcı arayüzleri ve işbirlikçi hizmetlere odaklanarak ortaya çıkan Web 2.0, kötü amaçlı yazılım, kimlik avı, sosyal mühendislik, sahtekarlık, siteler arası komut dosyası oluşturma, SQL enjeksiyonu ve veri ihlalleri gibi yeni bir güvenlik tehdidi dalgasını da beraberinde getirdi.
Kripto para birimleri, NFT’ler ve DAO’lar gibi çeşitli teknolojileri kapsayan bir terim olan Web3, kesinlikle bu tür tehditleri geçmişte bırakacağı izlenimini veriyor: Web3 sadece insanlara verileri üzerinde daha fazla kontrol sağlamakla kalmıyor, aynı zamanda selefinin birçok kusurunu düzeltmek için blok zinciri gibi dağıtılmış teknolojilere güveniyor.
Ancak gerçekte web3, Web 2.0’dan daha güvenli değildir ve fırsatçı siber suçlular için şimdiden yeni bir oyun alanı yaratmaktadır. Bunun nedeni, internetin ne yapabileceği ve ne için kullanılacağı konusunda bir değişimi temsil etmesine rağmen, internetin temelde nasıl çalıştığını değiştirmemesidir.
Henüz Çok Yeni ve Geliştirilmemiş!
Tamamen merkeziyetsiz olmayı vaat etse de, web3’ün kullanıcıya yönelik bileşenleri, blok zinciri teknolojisi üzerine inşa edilmiş olmasına rağmen, esas olarak API’ler ve uç noktalar gibi Web 2.0 teknolojisi üzerinde çalışmaktadır.
Bu, web3 hizmetlerinin ve merkezi olmayan uygulamaların ya da “dApps” kullanıcılarının işlem yapmak için eski teknolojilere güvenmeye devam ettiği ve sonuçta web3’ün DNS ele geçirmeden siteler arası komut dosyasına kadar selefini rahatsız eden tüm klasik güvenlik sorunlarına karşı savunmasız olduğu anlamına gelir. Web3 şirketleri ayrıca kullanıcılarıyla çoğunlukla e-posta veya çevrimiçi mesajlaşma gibi Web 2.0 teknolojileri aracılığıyla iletişim kurmak zorundadır ve bu teknolojiler de eski güvenlik sorunlarına açıktır.
Belki de şaşırtıcı olmayan bir şekilde, web3 kimlik avı da ortaya çıkmıştır. Saldırganlar daha önce kullanıcının giriş bilgileri gibi bilgilere erişmeye odaklanırken, şimdi dikkatlerini kripto para cüzdanlarına ve kullanıcıların özel anahtarlarına çeviriyorlar.
Veriler, web3 platformlarını kötüye kullanan kimlik avı kampanyalarının 2022’de neredeyse %500 oranında arttığını gösterirken, hata ödül ve güvenlik platformu Immunefi’nin yakın tarihli bir raporu, kripto endüstrisinin 2022’de çeşitli bilgisayar korsanlığı, dolandırıcılık ve dolandırıcılıkla ilgili olaylar nedeniyle 3,9 milyar dolar zarara uğradığını ortaya koydu.
Akıllı sözleşmeler bir blok zinciri üzerinde çalışan kendi kendini yürüten programlardır ve finansal işlemler gibi çeşitli işlevlerin yürütülmesini otomatikleştirmek için kullanılırlar. Bir akıllı sözleşme bir güvenlik açığı içeriyorsa, bir saldırgan tarafından fonları çalmak için istismar edilebilir. Akıllı sözleşmelerdeki hatalar 2021 yılında MonoX’tan 31 milyon dolar çalınmasından da sorumluydu.
Merkezi olmayan uygulamalardaki güvenlik açıkları da önemli bir endişe kaynağıdır: Blok zinciri platformları üzerine inşa edilmiş olsalar da, hizmet reddi (DoS) saldırıları, hack girişimleri ve istismarlar gibi güvenlik risklerine maruz kalmaktadırlar. Güvenlik uzmanları ayrıca zincirler arası köprülerdeki kusurlar ve yönetişim süreçlerine yönelik saldırılar gibi web3 teknolojisine özgü diğer pek çok konuda da alarm vermektedir ve bunların tümünü ele almak için uzmanlık bilgisi ve uzmanlık gerekmektedir.
Ancak bu teknolojilerin yeni olması ve birçok güvenlik uzmanının web3’e şüpheyle yaklaşması, bu alandaki kuruluşların web3’ü güvende tutmak için yeterli becerileri bulmakta zorlanabileceği anlamına geliyor.
Web3, son birkaç yıldır girişimler ve risk sermayesi için temel bir itici güç oldu: Web3 girişimleri 2021’de küresel olarak 29,2 milyar dolarlık rekor bir fon topladı ve bir sonraki yıl bu rakam biraz düşse de 2022’de 21,5 milyar dolar topladılar. Bunu akılda tutarak, girişimlerin web3 teknolojilerini benimsemekte hızlı davranması şaşırtıcı olmayabilir, ancak çoğu muhtemelen potansiyel güvenlik risklerinin farkında değil.
“Yanlış bir tıklama veya gözden kaçan bir güvenlik güncellemesi ağın tehlikeye girmesine, veri ihlaline veya varlıkların çalınmasına neden olabilir. Hem merkezi hem de merkezi olmayan fintech şirketleri, potansiyel siber suçluların sahip olduğu anında para kazanma fırsatları nedeniyle artan bir risk seviyesine sahiptir.”
Web3, sıradan kullanıcılara daha fazla güç vermeyi ve yeni nesil şirketlere, ürünlere, hizmetlere ve deneyimlere ilham vermeyi vaat eden büyük bir potansiyele sahiptir. Ancak, günün sonunda, yazılım yazılımdır ve web3 sadece bizim onu yaptığımız kadar güvenlidir.
