Web 2 สู่ Web 3 ความเสี่ยงที่เพิ่มขึ้น?
การพัฒนาอินเทอร์เน็ตได้เปลี่ยนแปลงวิถีชีวิตของเรามาหลายทศวรรษ จาก Web ซึ่งเป็นอินเทอร์เน็ตยุคเริ่มแรกที่เน้นการอ่านข้อมูลแต่เพียงอย่างเดียว และได้มีการพัฒนาจนเป็น Web ที่มีการโต้ตอบและการสร้างเนื้อหาโดยผู้ใช้เองแต่ยังคงมีตัวกลางหรือผู้ให้บริการ Platform เป็นเจ้าของ แต่ในปัจจุบันเรากำลังเข้าสู่ยุคใหม่ที่เรียกว่า Web 3 ซึ่งเน้นการกระจาย (Decentralized) Web หรืออำนาจและการควบคุมข้อมูลโดยผู้ใช้เอง
วิวัฒนาการของอินเทอร์เน็ตจาก Web2 ไปสู่ Web3 ได้นำมาซึ่งการเปลี่ยนแปลงที่สำคัญในวิธีการจัดเก็บ จัดการ และรักษาความปลอดภัยของข้อมูล แม้ว่าแพลตฟอร์มทั้งสองจะมีความเสี่ยงด้านความปลอดภัยร่วมกันบางประการ แต่ความแตกต่างในสถาปัตยกรรมและเทคโนโลยีของพวกเขาได้ก่อให้เกิดช่องโหว่และความท้าทายใหม่ๆ บทความนี้จะเปรียบเทียบความเสี่ยงด้านความปลอดภัยที่เกี่ยวข้องกับ Web 2 และ Web 3 โดยเน้นความแตกต่างที่สำคัญและผลกระทบต่อผู้ใช้
Web 2
Web 2 เป็นยุคที่อินเทอร์เน็ตเปลี่ยนจากการเป็นแหล่งข้อมูลที่ผู้ใช้เพียงแค่รับข้อมูล (Read-Only) มาเป็นแพลตฟอร์มที่ผู้ใช้สามารถสร้างและแบ่งปันเนื้อหาได้ (Read-Write) การมีส่วนร่วมของผู้ใช้ในการสร้างเนื้อหาและการแลกเปลี่ยนความคิดเห็นผ่านแพลตฟอร์มต่างๆ ซึ่ง Web 2 เน้นการโต้ตอบระหว่างผู้ใช้และเว็บไซต์หรือแอปพลิเคชันให้ผู้ใช้สามารถมีปฏิสัมพันธ์กับเว็บไซต์ผ่านการโพสต์คอมเมนต์, การกดไลก์, การแชร์ข้อมูล และการร่วมมือในโครงการต่างๆ
การโต้ตอบนี้ทำให้เว็บไซต์มีความสดใหม่และดึงดูดผู้ใช้มากขึ้น แต่ Web 2 เป็นระบบที่ข้อมูลถูกควบคุมและจัดการโดยองค์กรหรือบริษัทขนาดใหญ่ เช่น Google, Facebook, และ Amazon ซึ่งทำให้มีการควบคุมข้อมูลอยู่ในมือของไม่กี่หน่วยงาน และข้อมูลของผู้ใช้ถูกควบคุมโดยบริษัทและแพลตฟอร์มต่างๆ ซึ่งสามารถเข้าถึงและใช้ข้อมูลเหล่านั้นได้ตามที่ต้องการ เช่น การนำข้อมูลหรือพฤติกรรมการใช้งานของผู้ใช้ในการทำการตลาด
ในการเข้าใช้งานระบบของ Web2 เน้นการตรวจสอบสิทธิ์ที่ใช้ระบบการจัดการศูนย์กลาง โดยมีองค์กรหรือแพลตฟอร์มเป็นผู้ควบคุมข้อมูลและกระบวนการต่างๆ เช่น การตรวจสอบสิทธิ์ด้วยชื่อผู้ใช้และรหัสผ่าน ผู้ใช้ต้องลงทะเบียนบัญชีผู้ใช้ด้วยชื่อผู้ใช้ (Username) และรหัสผ่าน (Password) เพื่อเข้าถึงบริการหรือข้อมูลที่ต้องการ หรือการใช้งาน การใช้บริการ IdP ให้ผู้ใช้สามารถเข้าถึงแอปพลิเคชันด้วยการลงชื่อเข้าใช้ผ่านผู้ให้บริการที่ทำหน้าที่เป็น IdP เช่น Google, Facebook, หรือ Apple เป็นต้น
Web 3
Web 3 เป็นวิวัฒนาการขั้นต่อไปของอินเทอร์เน็ตที่มุ่งเน้นการกระจายอำนาจ (Decentralization) และการให้ผู้ใช้มีอำนาจควบคุมข้อมูลและการใช้งานต่างๆ อย่างแท้จริง ผ่านการใช้เทคโนโลยีบล็อกเชน (Blockchain) และเครือข่ายเพียร์ทูเพียร์ (Peer-to-Peer) ความตั้งใจของ Web3 คือการสร้างระบบอินเทอร์เน็ตที่เปิดกว้าง โปร่งใส และมีความยุติธรรมมากขึ้น ซึ่งไม่ต้องพึ่งพาตัวกลางหรือศูนย์กลางควบคุมในรูปแบบของเว็บไซต์ที่ต้องการที่จะกำจัดศูนย์กลางที่ควบคุมและใช้งานข้อมูลออกไป และนำแนวทางการไม่มีตัวกลาง (Decentralized Web) เข้ามาในการพัฒนาเว็บไซต์ เพื่อให้การควบคุมหรือความเป็นเจ้าของข้อมูลนั้น ถูกควบคุมโดยหน่วยงานหรือกลุ่มคนกลุ่มใดกลุ่มหนึ่ง
ซึ่งระบบกระจายอำนาจทำให้ข้อมูลการใช้งานของผู้ใช้งานจะอยู่ในมือของผู้ใช้เท่านั้น ทุกคนมีสิทธิ์มีเสียงในการพัฒนาเหมือนเป็นหนึ่งในเจ้าของแพลตฟอร์มนั้น ๆ อย่างเท่าเทียมกัน และการใช้งาน Web3 นั้นยังไม่จำเป็นต้องระบุตัวตนหรือข้อมูลส่วนบุคคลในการเข้าใช้งาน ใน Web 3 ผู้ใช้จะเป็นเจ้าของและควบคุมข้อมูลของตนเองอย่างแท้จริง โดยใช้คีย์ส่วนตัว (Private Key) ในการเข้าถึงและจัดการข้อมูลของตน ซึ่งต่างจาก Web 2 ที่ผู้ให้บริการหรือแพลตฟอร์มต่างๆ จะเป็นผู้ควบคุมข้อมูล
"Web3" ได้ถูกพูดถึงครั้งแรกโดย Gavin Wood ผู้ร่วมก่อตั้ง Ethereum ในปี 2014 โดยได้ระบุว่า Web3 นั้นเป็นระบบนิติกรรมออนไลน์ที่กระจายอยู่บนบล็อกเชน และในปี 2021 ที่ผ่านมาแนวคิดเกี่ยวกับ Web3 ก็ได้รับความนิยมอย่างมาก
ในการเข้าใช้งานระบบของ Web 3 มีการตรวจสอบสิทธิ์ที่แตกต่างจาก Web 2 อย่างมาก เนื่องจากเน้นการกระจายอำนาจและการควบคุมข้อมูลโดยผู้ใช้เอง โดยใช้เทคโนโลยีบล็อกเชนและกระเป๋าเงินดิจิทัล (Digital Wallet) เป็นหลัก ผู้ใช้ลงชื่อเข้าใช้บริการและแอปพลิเคชันต่างๆ ผ่านกระเป๋าเงินดิจิทัลที่เชื่อมต่อกับบล็อกเชน เช่น MetaMask, Trust Wallet หรือ WalletConnect
การพัฒนาและการใช้งาน Web 3 ยังคงเป็นเรื่องใหม่และมีความซับซ้อน การทำความเข้าใจและการใช้เทคโนโลยีบล็อกเชนและสัญญาอัจฉริยะยังต้องการความรู้และทักษะเฉพาะทาง และการนำ Web 3 มาใช้ในวงกว้างยังคงเป็นความท้าทาย เนื่องจากผู้ใช้ส่วนใหญ่ยังคุ้นเคยกับระบบ Web 2 และการเปลี่ยนแปลงไปสู่ระบบที่ไม่มีศูนย์กลางยังคงต้องใช้เวลาและการปรับตัว ถึงแม้ว่า Web 3 จะช่วยเพิ่มความปลอดภัยในหลายๆ ด้าน แต่ก็ยังมีปัญหาเกี่ยวกับการรักษาความปลอดภัยของคีย์ส่วนตัวและการป้องกันการโจมตีในรูปแบบใหม่ๆ ที่อาจเกิดขึ้น
*ความเสี่ยงที่คงอยู่จาก Web 2 สู่ Web 3
แม้ว่าจะมีความเสี่ยงด้านความปลอดภัยบางประการที่ไม่พบใน Web 2 แต่ยังมีการโจมตีหลายประเภทที่สามารถทำงานได้ทั้งใน Web 2 และ Web 3 เทคโนโลยีใหม่ๆ ของ Web 3 ไม่สามารถป้องกันผู้ใช้จากการโจมตีเหล่านี้ได้อย่างสมบูรณ์
*ช่องโหว่ของบล็อกเชน
แม้ว่าเทคโนโลยีบล็อกเชนจะมุ่งสร้างการบันทึกธุรกรรมที่ไม่สามารถแก้ไขได้ แต่เครือข่ายเหล่านี้ยังคงมีความเสี่ยงต่อการฉ้อโกงและการโจมตีทางไซเบอร์ ผู้ไม่ประสงค์ดีอาจใช้ช่องโหว่ที่รู้จักในบล็อกเชนมาแสวงหาประโยชน์ และในความเป็นจริง การโจมตีเหล่านี้ได้ประสบความสำเร็จในช่วงหลายปีที่ผ่านมา
การโจมตีสามารถมาจากทั้งภายนอกและภายใน ยกตัวอย่างเช่น ในเดือนกุมภาพันธ์ 2022 มูลค่าของ NFTs หลายล้านดอลลาร์ถูกขโมยจากผู้ใช้ตลาด OpenSea ผู้โจมตีใช้ช่องโหว่ใน Wyvern ซึ่งเป็นโปรโตคอลที่ใช้กับสัญญาอัจฉริยะของ NFT ส่วนใหญ่
*ข้อผิดพลาดของผู้ใช้งาน
การโจมตีบล็อกเชนมักจะมุ่งเน้นไปที่ความอ่อนแอพื้นฐานของมนุษย์มากกว่าตัวเทคโนโลยีเอง ฟิชชิ่ง (Phishing) ไม่ใช่แนวคิดใหม่ แต่กลับเป็นประโยชน์ต่อผู้ประสงค์ร้าย เมื่อพวกเขาโจมตีผู้ใช้หรือผู้ดูแลโครงสร้างพื้นฐานของ Web 3
Phishing Email หรือการ Direct Message (DM) ผ่านช่องทาง Social Network ต่างๆ เพื่อหลอกให้เราทำการผูกกระเป๋าหรือหลอกให้เราอนุญาตในการเข้าถึงหรือทำรายการผ่าน Smart Contract ที่ผู้ไม่หวังดีเตรียมไว้เพื่อทำรายงานโอนทรัพย์สินจาก Wallet ของเรา
ในปี 2021 แคมเปญอีเมลฟิชชิ่งขนาดใหญ่ได้ส่งผลกระทบต่อผู้ใช้ Coinbase กว่า 6,000 ราย สองสามเดือนต่อมา แผนการฟิชชิ่งที่ซับซ้อนโดยใช้ข้อเสนอปลอมจาก LinkedIn สามารถดึงสินทรัพย์มูลค่ากว่า 625 ล้านดอลลาร์จากบล็อกเชน Ronin
*ความเสี่ยงที่เพิ่มขึ้น
ความเสี่ยงด้านความปลอดภัยของ Web3 แตกต่างจาก Web 2 เนื่องจากการเปลี่ยนแปลงที่สำคัญในเทคโนโลยีและสถาปัตยกรรม เส้นทางทั้งสองมีความเสี่ยงด้านความปลอดภัยบางประการที่คล้ายกัน แต่ความแตกต่างในสถาปัตยกรรมและเทคโนโลยีของพวกเขาได้นำเสนอช่องโหว่และความท้าทายใหม่ๆ ในการรักษาความปลอดภัย
*ช่องโหว่ของสัญญาอัจฉริยะ (Smart Contract)
ปัจจัยหนึ่งซึ่งทำให้ความเสี่ยงด้านความปลอดภัยของ Web3 แตกต่างจาก Web 2 คือโปรเจกต์ Web 3 นั้นมักจะเกี่ยวเนื่องกับสัญญาอัจฉริยะ (Smart Contract) ซึ่งเป็นสัญญาดิจิทัลที่ถูกเขียนขึ้นในรูปแบบของโค้ดโปรแกรม และทำงานบนบล็อกเชน (Blockchain) เพื่อทำการทำธุรกรรมหรือข้อตกลงต่างๆ โดยอัตโนมัติเมื่อเงื่อนไขที่กำหนดถูกปฏิบัติครบถ้วน ข้อดีของสัญญาอัจฉริยะคือความโปร่งใส และความปลอดภัยที่เกิดจากการทำงานบนเครือข่ายบล็อกเชนที่ไม่สามารถแก้ไขได้ แต่ในขณะเดียวกัน สัญญาอัจฉริยะยังคงมีช่องโหว่ที่อาจถูกใช้โจมตีได้เช่นกัน
ในมุมของผู้ใช้งานนั้น การเลือกใช้งานระบบหรือ Platform Web3 มีความสำคัญมาก ซึ่งจะต้องพิจารณาถึงความน่าเชื่อถือของ Platform และทีมผู้พัฒนา และ Platform ควรจะต้องได้รับการตรวจสอบความปลอดภัยหรือ Audit จาก Auditor ที่มีความน่าเชื่อถือเป็นหลักเพราะเป็นความเสี่ยงของระบบนั้นเป็นสิ่งที่ผู้ใช้งานไม่สามารถควบคุมได้เอง จึงจำเป็นต้องหลีกเลียงความเสี่ยงดังกล่าง
*การสูญหายของ Private key
การสูญหายของ Private key เป็นปัญหาที่มีผลกระทบอย่างมากต่อผู้ใช้ระบบบล็อกเชนและการเข้ารหัสลับ การป้องกันการสูญหายของ Private key เมื่อผู้ใช้สูญเสีย Private key จะไม่สามารถเข้าถึงกระเป๋าเงินดิจิทัล (Digital Wallet) ที่เก็บสินทรัพย์เช่น Bitcoin, Ethereum หรือ NFTs ซึ่งหมายความว่าทรัพย์สินเหล่านั้นจะถูกล็อคอยู่ในบล็อกเชนโดยไม่สามารถเรียกคืนได้ตลอดการ ซึ่งเป็นปัญหาที่สร้างความเสียหายกับผู้ใช้งานอย่างมาก
กรณีศึกษาหนึ่งที่ถูกกล่าวถึงบ่อยครั้ง ในเรื่องของการสูญหายของการสูญหายของ Private key คือ Case ของ เจมส์ ฮาวเวลล์ ผู้อยู่อาศัยในอังกฤษ ได้ทิ้งฮาร์ดไดรฟ์ที่บรรจุ Key ในการเข้าถึง Wallet ที่มี Bitcoin จำนวน 7,500 BTC โดยไม่ได้ตั้งใจ ซึ่งมีมูลค่าปัจจุบันกว่า 258 ล้านดอลลาร์หรือคิดเป็นเงินถึงเกือบ 10,000 ล้านบาท แม้จะพยายามค้นหาหลายครั้งในที่ทิ้งขยะในนิวพอร์ต เวลส์ แต่ก็ยังไม่พบฮาร์ดดิสก์ดังกล่าว
*สรุป
ไม่ว่าจะเป็นเทคโนโลยีใน Web 2 หรือ Web 3 ก็ล้วนแล้วแต่มีความเสี่ยงทางด้านความปลอดภัยทั้งสิ้น ซึ่งบางส่วนก็มีความคล้ายคลึงกันในลักษณะของความเสี่ยงและบางส่วนก็มีความแตกต่าง ซึ่งเป็นสิ่งที่ผู้ใช้งานทุกคนจะต้องเรียนรู้และศึกษาเพื่อให้รู้เท่าทันภัยความเสี่ยงต่างๆ ที่เราต้องรับมือเพื่อให้การใช้งานทั้ง Web 2 และ Web 3 มีความปลอดภัยในการใช้งาน
บทความโดย : Valix Consulting (https://fb.com/ValixConsulting) บริษัทที่ปรึกษาและตรวจสอบความปลอดภัย Smart Contract (Aduit) และ Web3 Security Assesment ทั้งในส่วนของระบบ On-Chain และ Off-Chain โดยมีประสบการณ์ในการให้บริการตรวจสอบทั้ง Project ของไทยและ Project ระดับ Global
อ้างอิง:
https://cystack.net/blog/security-in-web3
https://blockchainmagazine.net/differences-between-web2-and-web3-security/
https://www.halborn.com/blog/post/how-web3-security-differs-from-web2-security
https://www.techdemand.io/insights/tech/overcoming-web-3-0-security-issues-safeguarding-the-decentralized-future/
https://www.coolwallet.io/blog/bitcoin-lost-private-key-horror-stories/
https://blog.bitpanda.com/en/tales-lost-bitcoin-wallets-digital-gold-digital-dust
https://www.valix.io
https://secure-d.tech
กราฟิก: ณัฐชนน พูนชัย (Boom)