دورانی که همگان شبکه زنجیره بلوکی را هکناپذیر میدانستند، سپری شده و دیگر هیچ کارشناس امنیتی با قاطعیت نمیتواند اعلام دارد که این فناوری سد محکمی در برابر هکرها ایجاد میکند. هر روز رخنههای امنیتی جدیدی در زیرساختهای رمزارزها و قراردادهای هوشمند شناسایی میشوند که برخی از آنها در بخش پایه شبکه زنجیره بلوکی قرار دارند که نگرانی فعالان این حوزه را به همراه داشته است. اولین بار در سال 2020 میلادی کارشناسان امنیتی شرکت Coinbase موفق به شناسایی رفتارهای عجیبی در رمزارز اتریوم کلاسیک شدند که یکی از رمزارزهای قابل معامله در پلتفرم صرافی کوینبیس است. بررسیهای بیشتر نشان داد که شبکه زنجیرهبلوکی اتریوم کلاسیک که تاریخچه تمام تراکنشها را نگهداری میکرد با حملههای شدیدی روبرو شده است. در این حمله هکرها موفق شده بودند کنترل بیش از نیمی از شبکه (51 درصد) را به دست آوردند و از آن برای بازنویسی دوباره تاریخچه تراکنشها استفاده کنند، بهطوری که موفق شدند یک رمزارز را برای چند مرتبه استخراج کنند. کارشناسان این حمله را دوبار خرج کردن (Double Spending) نامگذاری کردند. در حمله به اتریوم کلاسیک، هکرها توانستند به حسابها و کیف پولهایی به ارزش 1.1 میلیون دلار دست پیدا کند. البته شرکت کوینبیس اعلام کرد هیچ رمزارزی از هیچ کیف پول و حسابی به سرقت نرفته است. در نمونه دیگری، صرافی معروف Gate.io خبر داد که نزدیک به دویست هزار دلار از داراییهای مشتریانش در اثر یک حمله هکری به سرقت رفته است، اما به فاصله چند روز هکرها نیمی از مبلغ به سرقت رفته را به حساب مشتریان باز گرداندند.
حملههای پیچیده با هدف کنترل و دسترسی به زنجیره ارتباطی
تقریبا یک سال قبل از پیادهسازی این حملههای مخرب، فرضیه پیادهسازی چنین حملههایی از سوی کارشناسان امنیتی مطرح شد، اما هیچگاه اثبات مفهومی آن انجام نشد، اما بهنظر میرسد، همان فرضیه کافی بود تا سرنخهای جدی در اختیار هکرها قرار دهد. حملهای که بتواند 51 درصد کنترل اتریوم کلاسیک را در اختیار هکرها قرار دهد یکی از پیچیدهترین حملههایی است که سالهای اخیر پیرامون شبکه زنجیره بلوکی به وقوع پیوسته و نشان میدهد این شبکه در برابر مخاطرات امنیتی آسیبپذیر است. از سال 2017 میلادی تا اکنون هکرها توانستهاند نزدیک به دو میلیارد دلار رمزارز از صرافیها سرقت کنند، البته این رقم تنها به صرافیهایی اشاره دارد که بهطور رسمی این خبر را منتشر کردهاند. حملههای سایبری تنها از جانب هکرها نیست و گروههای سازمانیافته نیز برخی حملههای هکری را مدیریت میکنند. پژوهشی که شرکت Chainalysis انجام داده نشان میدهد حملههای گسترده و پیچیده توسط گروههای سازمانیافتهای انجام میشود که منابع و زیرساختها مناسب در اختیار دارند. به عقیده پژوهشگران، هکرها به دلیل اینکه تراکنشهای کلاهبردارانه برعکس سیستمهای مالی سنتی به راحتی ردیابی نمیشوند به آن علاقهمند شدهاند. در شرایطی که زنجیره بلوکی، قابلیتهای امنیتی خاص خود را دارد، آسیبپذیریهای خاص خود را نیز دارد که متفاوت از زیرساختهای رایج است. بنابراین دیگر هیچ کارشناسی با صراحت نمیگوید که زنجیره بلوکی یک فناوری هکناپذیر و نفوذناپذیر است. در چند سال گذشته انواع مختلفی از رمزارزها به بازار عرضه شدهاند که برخی از آنها جدید بودند، در حالی که برخی دیگر مشتق شده از نمونههای شناخته شده بودند. با اینحال، در تمامی موارد این ارزهای دیجیتالی با حملههای سایبری مختلفی روبرو شدند که ضعفهای زیربنایی آنها را آشکار کرد. در نگاه اول هک شدن زنجیره بلوکی، دلهرهآور است، اما شناسایی ضعفها کمک میکند در آینده شبکههای زنجیره بلوکی و داراییهای دیجیتالی قدرتمندتری پیادهسازی کنیم.
زنجیره بلوکی بانک اطلاعاتی رمزنگاری شدهای است که شبکهای از کامپیوترها آنرا پیادهسازی میکنند و هر یک نسخه بهروز شده بانکاطلاعاتی را ذخیرهسازی میکنند تا شبکه انسجام خوبی پیدا کند و الگوی زنجیرهای بودن شبکه حفظ شود.
در این معماری، مفهومی بهنام پروتکل زنجیره بلوکی وجود دارد که مجموعه خطمشیهایی است که نحوه اتصال گرههای شبکه (کامپیوترها) به یکدیگر و انجام تراکنشهای جدید و اضافه کردن آنها به پایگاه داده را تعریف میکند. این پروتکل از الگوریتمهای رمزنگاری و مبانی علم اقتصاد برای تعریف درست گرهها و حفظ امنیت شبکه استفاده میکند و سعی میکند کاربران را ترغیب کند که اگر قوانین را رعایت کنند پاداشهای مناسبی دریافت میکنند. این سیستم تنها زمانی در امنیت کامل قرار میگیرد که همه ملزومات در مکان درست خود قرار گیرند، در این حالت تلاش برای اضافه کردن تراکنش جعلی به شبکه کار پیچیده و هزینهبری خواهد بود، زیرا در هر ثانیه تراکنشهای معتبری به شبکه اضافه میشوند که شانس هکرها برای وارد کردن تراکنش جعلی به شبکه را به حداقل میرساند. قابلیتهای این چنینی باعث شده تا فناوری زنجیره بلوکی برای سازمانها، صنایع بزرگ و شرکتهای فعال در حوزه زنجیره تامین جذاب به نظر برسد. یکی از این صنایع بزرگ، موسسات مالی هستند. موسسههای مالی بزرگ مثل Intercontinental Exchange و Fidelity Investments در نظر دارند خدمات مبتنی بر زنجیره بلوکی را عرضه کنند و چندی قبل مدیرعامل بورس اوراق بهادار نیویورک اعلام کرد در نظر دارد شبکههای زنجیره بلوکی را به بورس وارد کند. جالب آنکه بانکهای مرکزی برخی از کشورها به شکل محدود از زنجیره بلوکی به عنوان مکانیزم دسترسی به رمزارز ملی دیجیتال استفاده کردهاند. بزرگترین نقطه ضعف زنجیره بلوکی در حوزه کاری موسسات مالی پیچیدگی محاسباتی است. تجربه نشان داده که هر چه سامانه زنجیره بلوکی پیچیدهتر شود، ضریب خطا و اشتباه در هنگام راهاندازی آن بیشتر میشود. در سال 2020 میلادی شرکت مالک رمزارز Zcash اعلام کرد به شکل پنهانی موفق به شناسایی نقطه ضعفی در الگوی رمزنگاری شده که به شکل تصادفی در پروتکل ایجاد شده است. آسیبپذیری که به هکرها اجازه میداد به شکل نامحدود Zcash تقلبی ایجاد کنند. بد نیست بدانید که Zcash رمزارزی است که پیشرفتهترین محاسبات ریاضی و پیچیدهترین زیرساختهای فنی را به خدمت میگیرد تا انجام تراکنشهای خصوصی کاربرانش در امنیت بالایی قرار بگیرند. پروتکل رمزنگاری تنها معیاری نیست که باید امنیت زیادی داشته باشد. برای مبادله رمزارز یا راهاندازی یک گره در شبکه، کاربر باید از نرمافزار کلاینتی استفاده کند که ممکن است آسیبپذیر باشد. تابستان سال 2020 میلادی، توسعهدهندگان نرمافزار کلاینت بیتکوین (Bitcon Core) توانستند به دور از دید رسانهها، یک آسیبپذیری جدی را برطرف کنند که به هکرها اجازه میداد بیشتر از میزانی که سیستم اجازه میداد رمزارز استخراج کنند. تا قبل از سال 2020 بیشتر حملههای سایبری متوجه صرافیها بود، زیرا وبسایتهایی که برای انجام تراکنشهای مالی طراحی کرده بودند آلوده به آسیبپذیریهای جدی بود. با اینحال در ژانویه 2020 میلادی و هنگامی که حمله سنگین و پیچیدهای به زنجیره بلوکی اتریوم کلاسیک وارد شد، هکرها توانستند 51 درصد مالکیت این شبکه را به خود اختصاص دهند و به این شکل بود که همه چیز تغییر پیدا کرد.
قانون 51 درصد و حمله 51 درصد چیست؟
یکی از اصطلاحات تازه ورود به صنعت امنیت سایبری حمله 51 ( Attack 51) است. در دنیای رمزارزها قانون 51 درصد میگوید اگر فردی بتواند کنترل 51 درصد شبکه را به دست گیرد مالک آن خواهد بود و قادر است تغییرات اساسی در پیکربندی شبکه اعمال کند. به همین دلیل هکرها تمام تلاش خود را به خدمت میگیرند تا حملههای 51 درصد را پیرامون رمزارزها ترتیب دهند. فراگیر بودن حمله 51 درصد به این دلیل اتفاق میافتد که شبکههای زنجیره بلوکی تراکنشها را بر مبنای پروتکل گواه اثبات کار (Pow) سرنام Proof of Work تایید میکنند. در این فرآیند که استخراج نامیده میشود، گرهها مجبور هستند بخش قابل توجهی از توان محاسباتی خود را صرف اثبات هویت خود کنند تا بتوانند اطلاعات تراکنشهای جدید را به بانک اطلاعات اضافه کنند. در همین ارتباط مفهوم مهم دیگری وجود دارد که باید در مورد آن مطلع باشید. این مفهوم هاردفورک (Hardfork) است. بهطور خلاصه، هاردفورک نسخه بهروز جدید نرمافزار شبکه زنجیره بلوکی است که با پروتکل زنجیره بلوکی اصلی سازگاری ندارد. همین مسئله باعث میشود تا بلوکهای متفاوتی از شبکه اصلی ایجاد شوند و دو شبکه مجزا و مجازی به وجود آید. کاری که هاردفورک انجام میدهد این است که بلوکها و تراکنشهای جدیدی را بر مبنای پروتکلهای معتبر خود ایجاد میکند. بهطور مثال، میتوان به هاردفورک شدن بیتکوین کش (Bitcoin Cash) اشاره کرد که نسخهای منشعب شده از بیتکوین است. همانگونه که اشاره شد، مطابق با قانون 51 درصد، اگر فردی بتواند کنترل 51 درصد از توان استخراج شبکه زنجیره بلوکی را به دست آورد، قادر است کاربران دیگر را با وعده پاداش فریب دهد و پس از آنکه شرایط مهیا شد نسخه دیگری از زنجیره بلوکی را ایجاد کند و هیچگاه پاداشی به کاربران پرداخت نکند. این نسخه جدید از شبکه را فورک (Fork) نامگذاری کردهاند. افرادی که بیشترین مقدار توان استخراج را کنترل کند، قادر هستند فورک جدیدی را به عنوان نسخهای معتبر از شبکه ایجاد کنند و در ادامه رمزارزهای یکسانی در اختیار کاربران قرار دهند و به این شکل کلاهبرداری کند. با اینحال، این شیوه حمله و سوءاستفاده از قانون 51 درصد در زنجیرههای بلوکی بزرگ به ندرت اتفاق میافتد، زیرا هزینهبر است. پژوهشی که سایت Crypto51 انجام داده نشان میدهد، هزینه اجاره توان پردازشی موردنیاز برای استخراج کافی برای حمله به بیتکوین در سال 2019 میلادی چیزی در حدود 260 هزار دلار در ساعت است. بر مبنای این آمار هرچه به سراغ رمزارزهایی که ارزش کمتری دارند حرکت کنیم، هزینه حمله به آنها به سرعت کاهش پیدا میکند. البته سقوط ناگهانی رمزارزها میتواند هکرها را ترغیب کند تا حمله فوق را پیادهسازی کنند، زیرا با کاهش ارزش رمزارزها بسیاری از استخراجکنندگان دستگاههای ماینینگ خود را خاموش میکنند و در عمل امنیت شبکه کم میشود.
در اواخر سال 2019 میلادی، هکرها از حمله 51 درصدی روی مجموعهای از کوینهای کوچک مثل Verge، Monacoin و Bitcon Gold استفاده کردند و توانستند بیست میلیون دلار از کاربران سرقت کردند. پاییز همان سال، هکرها توانستند بر مبنای همین حمله 100 هزار دلار رمزارز Vertcoin را سرقت کنند. حمله به اتریوم کلاسیک که سودی به ارزش یک میلیون دلار عاید هکرها کرد، اولین حمله به یک رمزارز بزرگ در حوزه زنجیره بلوکی به شمار میرود.
دیوید وریک، یکی از بنیانگذاران زیرساخت ذخیره فایل بر پایه زنجیره بلوکی شرکت Sia معتقد است حملههای 51 درصد تداوم پیدا میکنند و با شدت بیشتری پیادهسازی خواهند شد. بهطوری که صرافیها بابت خسارات ناشی از Double Spending ضررهای زیادی را تجربه میکنند. او بر این باور است یکی از مسائلی که باعث تشدید این حملهها میشود، ظهور بازارهای هشریت است که به هکرها امکان میدهد توان محاسباتی لازم برای اجرای حمله را اجاره کنند. او میگوید: «صرافیها مجبور میشوند در زمینه رمزارزی که قادر به پشتیبانی از آن هستند سیاستهای سختگیرانهای اتخاذ کنند و محتاطانهتر گام بردارند.»
نقص فنی قرارداد هوشمند (Smart Contract)
نقص مهم دیگری که پس از حملههای 51 زنجیره بلوکی را با چالش جدی روبرو میکند، آسیبپذیریهای فنی در قراردادهای هوشمند است. در حال حاضر، گروهی از پژوهشگران در حال بررسی پیامدهای آسیبپذیریهای جدید امنیتی شناسایی شده در زنجیره بلوکی هستند. حمله به اتریویم کلاسیک میتواند نقطه شروع مناسبی برای تحلیل دقیقتر این آسیبپذیریها باشد. قرارداد هوشمند در سادهترین تعریف، یک برنامه کامپیوتری است که روی شبکه زنجیره بلوکی پیادهسازی میشود و برای خودکارسازی حرکت رمزارز بر اساس قوانین و شرایط از پیش تعیین شده استفاده میشود. با اینحال، کاربردهای فناوری فوق گسترده است و میتواند در تسهیل قراردادهای حقوقی واقعی یا تراکنشهای مالی پیچیده نیز استفاده شود. اصلیترین کاربرد قرارداد هوشمند توانایی آن در پیادهسازی مکانیزم رایدهی است که از طریق آن تمام سرمایهگذاران صندوق سرمایهگذاری خطرپذیر میتوانند به شکل گروهی در مورد هزینه کردن سرمایهها تصمیمگیری کنند.
چنین صندوقی که بهنام سازمان نامتمرکز خودگردان (DAO) شناخته میشود، سال 2016 با کمک سیستم زنجیره بلوکی اتریوم شروع به کار کرد. با اینحال، پس از گذشت مدت زمان کوتاهی، هکری توانست بیش از 60 میلیون دلار دارایی رمزارز این صندوق را سرقت کند. هکر با بهرهبرداری از آسیبپذیری فنی پیشبینی نشده در قرارداد هوشمندی که DAO را اداره میکرد، موفق به پیادهسازی این حمله شد. در اصل، این آسیبپذیری فنی به هکر اجازه داد بدون ثبت گزارش دریافت پول به وسیله سیستم به درخواست پول از سایر حسابها ادامه دهد.
در نرمافزارهای سنتی، باگها را میتوان با نصب وصله ترمیم کرد، اما در دنیای زنجیره بلوک اینکار پیچیده است، زیرا تراکنشها روی زنجیره بلوکی بازگشتناپذیر هستند. پتر سانکوف از پژوهشگران موسسه ETH Zurich و یکی از بنیانگذاران استارتاپ امنیتی قرارداد هوشمند ChainSecurity میگوید: «استفاده از قرارداد هوشمند شبیه به ارسال سفینه به فضا است، بهطوری که جایی برای خطای نرمافزاری وجود ندارد.»
درست است که امکان وصله کردن قرارداد هوشمند وجود ندارد، اما برخی از قراردادها را میتوان با بهکارگیری قراردادهای هوشمند اضافی ارتقا داد تا با قرارداد قبلی تعامل داشته باشند. توسعهدهندگان میتوانند کلیدهای قطع متمرکز در شبکه طراحی کنند تا در صورت حمله یا نفوذ هکر با کمک آنها تمام فعالیتها را متوقف کنند. با اینحال، پولهایی که قبل از فعال شدن کلید دزدیده میشوند را نمیتوان پس گرفت. بنابراین بهترین راهی که میتوان از طریق آن داراییهای به سرقت رفته را باز گرداند، بازنویسی تاریخچه شبکه است تا زنجیره بلوکی را به شرایط قبل از حمله برگرداند. بنابراین، باید فورک جدیدی از زنجیره بلوکی ایجاد کرد و تمام افراد فعال در شبکه موافقت کنند به جای نسخه قبلی از فورک جدید استفاده کنند.
این روش گزینهای است که توسعهدهندگان اتریوم انتخاب کردند و بیشتر اعضای شبکه و نه تمام اعضا به زنجیره بلوکی جدید مهاجرت کردند و نام اتریوم را برای آن برگزیدند، اما گروه کوچکی از اعضا تصمیم گرفتند از نسخه قبلی استفاده کنند که اکنون بهنام اتریوم کلاسیک شناخته میشود. (نسخه جدید اتریوم نام گرفت و نسخه اولیه که چندسال قبل ساخته شده بود اتریوم کلاسیک نامگذاری شد.) جالب آنکه در ژانویه 2019 میلادی تیم امنیتی شرکت ChainSecurity موفق شد اتریوم را از تکرار حمله DAO نجات دهد. درست یک روز قبل از بهروزرسانی بزرگ نرمافزاری، این شرکت به توسعهدهندگان ارشد اتریوم هشدار داد که پیامد ناخواسته این بهروزرسانی باعث خواهد شد تعدادی از قراردادها در زنجیره بلوکی باقی بماند که در برابر حمله DAO آسیبپذیر هستند و حمله سایبری دیگر به وجود بیاید. بر مبنای این توصیه امنیتی، توسعهدهندگان بهروزرسانی را یک ماه به تاخیر انداختند و در این مدت موفق شدند، آسیبپذیری شناسایی شده توسط این تیم امنیتی را ترمیم کنند.
در شرایطی که صدها قرارداد هوشمند اتریوم آسیبپذیریهای مشابهی دارند، گزارشی که استارتآپ فعال در زمینه تامین امنیت زنجیره بلوکی Anchain.ai منتشر کرده نشان میدهد دستکم دهها هزار قرارداد هوشمند اتریوم به آسیبپذیریهای مختلفی آلوده هستند. با توجه به اینکه کد منبع زنجیره بلوکی روی شبکه در دسترس همگان قرار دارد، هکرها به سرعت قادر به شناسایی آسیبپذیریها هستند. متاسفانه خبر بد این است که آسیبپذیریهای زنجیره بلوکی تفاوتهای عمدهای با آسیبپذیریهای سنتی دنیای امنیت دارند.
چگونه مانع پیادهسازی موفقیتآمیز حمله به زنجیره بلوکی شویم؟
استارتاپ AnChain.ai یکی از شرکتهای فعال در این زمینه است که روی شناسایی و حذف آسیبپذیریهای مرتبط با زنجیره بلوکی متمرکز است. این استارتاپ از یادگیری ماشین برای کنترل تراکنشها و شناسایی رفتارهای مشکوک استفاده میکند. الگوریتمهای هوشمند ساخت این شرکت میتوانند کدهای قرارداد هوشمند را پویش و آسیبپذیریهای شناختهشده را کشف کند. شرکتهای دیگری مثل ChainSecurity نیز در حال بررسی و آزمایش خدمات مبتنی بر تکنیک Formal Verification هستند. این پروژه در نظر دارد از محاسبات ریاضی برای راستیآزمایی استفاده کند و نشان دهد کدهای قراردادهای هوشمند همان فرایندی را اجرا میکنند که سازنده انتظار دارد. ابزارهای راستیآزمایی که توسط برخی از شرکتها در سالهای گذشته به کار گرفته شدهاند به سازندگان قراردادهای هوشمند این امکان را دادهاند تا بخش عمدهای از آسیبپذیریهای موجود در شبکه را شناسایی و برطرف کنند. با اینحال، بهکارگیری این ابزارها به توان پردازشی بالا، منابع مالی کافی و صرف زمان قابل توجه نیاز دارد که برای بیشتر شرکتها توجیه اقتصادی ندارد.
درحالیکه فناوری زنجیره بلوکی با شعار نفوذناپذیر به دنیای فناوری وارد شد، با اینحال در برابر حملههای هکری مصون نیست و به دلیل وجود آسیبپذیری یا نقض در نرمافزارها قربانی هکرها میشود. بنابراین، همانند فناوریهای دیگر، یک بخش خاکستری دارد که شرکتها و رسانهها تمایل چندانی ندارند اشارهای به آن بخش داشته باشند. امروزه، زنجیرههای بلوکی مختلفی معرفی شدهاند که هر یک دانش ما درباره چگونگی کارکرد این فناوری را بهبود بخشیدهاند، اما ایده بدی نیست قبل از ورود یا پیادهسازی این فناوری، ابتدا ملاحظات امنیتی آنرا بررسی کنیم.
ماهنامه شبکه را از کجا تهیه کنیم؟
ماهنامه شبکه را میتوانید از کتابخانههای عمومی سراسر کشور و نیز از دکههای روزنامهفروشی تهیه نمائید.
ثبت اشتراک نسخه کاغذی ماهنامه شبکه
ثبت اشتراک نسخه آنلاین
کتاب الکترونیک +Network راهنمای شبکهها
- برای دانلود تنها کتاب کامل ترجمه فارسی +Network اینجا کلیک کنید.
کتاب الکترونیک دوره مقدماتی آموزش پایتون
- اگر قصد یادگیری برنامهنویسی را دارید ولی هیچ پیشزمینهای ندارید اینجا کلیک کنید.
نظر شما چیست؟