Kripto para sektörü iki cephede varoluşsal bir tehditle karşı karşıya: ImmuniWeb tarafından test edilen 2.138 web uygulaması ve 146 mobil uygulamanın hiçbiri kuantum sonrası şifrelemeyi desteklemiyor ve 7,8 milyondan fazla kullanıcı kaydı halihazırda karanlık ağda dolaşıyor.
Rakipler gelecekteki “Şimdi Hasat Et, Daha Sonra Şifresini Çöz” saldırıları için şifrelenmiş verileri istiflerken, sektörün NIST’in Modül Kafes Tabanlı Anahtar Kapsülleme Mekanizması (ML-KEM) standardını benimsemedeki başarısızlığı, yaklaşmakta olan bir krizin sinyalini veriyor. Eylem olmadan şifrelenmiş işlemler kuantum bilgisayarlar tarafından açığa çıkarılabilir.
Araştırmada en güvenli üç borsa arasında yer alan Coinbase, UPbit ve Crypto.com gibi aykırı değerler, güçlü güvenliğin elde edilebileceğini kanıtlıyor. Her biri, test edilen tüm kategorilerde en az genel güvenlik bulgusuna sahip oldu; bu da güçlü uygulama güvenliğinin yüksek riskli, yüksek büyümenin olduğu ortamlarda bile mümkün olduğunu gösteriyor.
Kuantum kör noktaları borsaları tamamen açık bırakıyor
Test edilen borsaların hiçbiri, NIST tarafından yayınlanan yeni kuantum sonrası şifreleme standardı olan ML-KEM’i desteklemiyor. Sektör genelinde tamamen yokluğu, önümüzde uzun bir göçün olduğunu gösteriyor. Buna ek olarak, borsaların neredeyse üçte biri hâlâ TLS 1.0 ve 1.1 gibi güncel olmayan protokolleri destekliyor ve bu da şifrelenmiş trafiğin müdahaleye açık hale gelmesine neden oluyor.
TLS’de kuantum sonrası şifreleme (PQC) desteği
Yapay zeka odaklı tehditler ve kalıcı zayıflıklar
Araştırma aynı zamanda otomatik kazıma, kimliğe bürünme ve altyapı haritalaması da dahil olmak üzere yapay zeka kaynaklı tehditlere karşı artan güvenlik açığını da gösteriyor. Borsaların %45’inde, siteleri bot faaliyetlerine ve keşiflere açık bırakan bir web uygulaması güvenlik duvarı yoktu.
Aynı zamanda pek çok kişi gelişimi hızlandırmak için GenAI’ya yöneliyor. Ancak güvenlik gözetimi veya kodlama standartları olmadan bu, sessiz risklere yol açar ve saldırı yüzeyleri oluşturur.
Bu sorunlardan bazıları yeni ortaya çıkarken, diğerleri sektörün gözden kaçırmaya devam ettiği kalıcı sorunlardır. Bunlar şunları içerir:
- Web uygulamalarının %74’ü eski yazılım veya kitaplıkları kullanıyor
- %67 oranında GDPR uyumluluğu başarısız oldu
- %25’i kamuya açık olarak bilinen güvenlik açıklarına sahiptir
- Yüksek riskli kusurlar içeren mobil uygulamaların %24’ü
- Şifrelenmemiş HTTP yoluyla veri aktaran 5 mobil uygulamadan 1’i
Gizlilik uygulaması da benzer şekilde eksikti. Test edilen borsaların %40’ının görünür bir gizlilik politikası yoktu ve üçte birinden fazlası kullanıcının izni olmadan izleme çerezleri yerleştirdi; bu da onları özellikle düzenlenmiş pazarlarda yasal cezalar ve itibar kaybı riskiyle karşı karşıya bırakıyor.
Bazı cesaret verici ilerleme işaretleri
Araştırma ayrıca bazı cesaret verici sonuçları da ortaya çıkardı. Web sunucularının yaklaşık %78’i TLS güvenlik uygulaması için “A” puanı aldı; bu da birçok borsanın şifreleme konusunda doğru yönde ilerlediğini gösteriyor. Web uygulamalarının %52’si, düzenleyici gerekliliklere uyum sağlama konusunda ilerleme kaydedildiğini gösteren “A” gizlilik notunu aldı.
Benzer şekilde, ana web sitelerinin %56,8’i temel web uygulaması güvenliğinde “A” aldı; zayıflıkların çoğu ikincil alt alanlarda veya eski bileşenlerde kümelendi. Bu bulgular, sektörün önünde önemli çalışmalar olmasına rağmen halihazırda güçlü güvenlik uygulamalarının kanıtlanmış örneklerinin mevcut olduğunu gösteriyor.
Araştırmada ortaya çıkan riskin üstesinden gelmek için araştırmacılar kripto para borsalarının şunları yapmasını öneriyor:
- Risk tabanlı, kurumsal çapta uygulama güvenliği programları uygulayın
- Geliştirmede tasarım gereği gizlilik ve varsayılan olarak güvenlik ilkelerini uygulayın
- GenAI destekli kodlama için yönetişim çerçeveleri oluşturun
- Şifreleme protokollerine geçin ve kuantum sonrası kriptografik geçişe hazırlanmaya başlayın
“Güvenlik olaylarının ve veri ihlallerinin kripto şirketlerinin müşterilerine ciddi zararlar verebileceği göz önüne alındığında, yatırım önceliklerini yeniden gözden geçirmeleri ve siber güvenlik programlarına daha fazla dikkat etmeleri önemlidir. Daha fazla harcamanın mutlaka daha akıllıca harcamak anlamına gelmediğini belirtmek gerekir. Kapsamlı bir risk değerlendirmesine dayalı bir siber güvenlik stratejisine sahip olmak, bütünsel ve çok disiplinli bir yaklaşım sağlamak için siber güvenliği, hukuk ve iş profesyonellerini masaya getirmek çok önemlidir. kurumsal siber güvenlik yönetimine. Aksi takdirde bir şirket mevcut siber güvenlik bütçesini üç katına çıkarabilir ancak yine de bir veri ihlalinin kurbanı olacaktır. Benzer şekilde, çalışanların eğitimine sürekli yatırım yapmak çok önemlidir, aksi takdirde en son siber savunma mekanizmaları bile çok az değer katacak veya hiç değer getirmeyecektir,” dedi ImmuniWeb Baş Mimarı ve CEO’su Dr. Ilia Kolochenko.