هک شدن شبکه بلاک چین

هک شبکه بلاک چین؛ نفوذپذیر یا نفوذناپذیر

هک کردن فناوری بلاک چین در ابتدا ممکن نبود. اما اکنون ما روش های متفاوتی را برای نفوذ در شبکه بلاک چین مشاهده می کنیم.

ارسال شده توسط کریم اقاجانی دی 15, 1402 5 دقیقه زمان کافی برای مطالعه

هک کردن فناوری بلاک چین در ابتدا ممکن نبود. اما اکنون ما روش های متفاوتی را برای نفوذ در شبکه بلاک چین مشاهده می کنیم.

  • هک کردن فناوری بلاک چین در ابتدا ممکن نبود. اما اکنون ما روش های متفاوتی را برای نفوذ در شبکه بلاک چین مشاهده می کنیم.

    زمانی بود که شبکه های بلاک چین شکست ناپذیر تلقی می شد. اما اکنون دیگر نمی توان ادعا کرد که این فناوری در قلعه قوی و نفوذناپذیر خود همچنان به پیشرفت خود ادامه می دهد. هر روز حفره های امنیتی جدیدی در ارزهای رمزنگاری شده و سیستم عامل های قرارداد هوشمند کشف می شود و برخی از این حفره ها در قسمت های اصلی شبکه بلاک چین قرار دارند. بنابراین نگرانی کارشناسان را افزایش می دهد. فوریه 2019 (فوریه 2016) ، چندین کارشناس امنیتی در Coinbase متوجه رفتارهای غیرمعمول در ارزهای رمزپایه کلاسیک اتریوم ، یکی از ارزهای رمزپایه قابل معامله در بستر مبادلات Quinbase شدند. نکته این بود که شبکه کلاسیک بلاک چین اتریوم ، از جمله تاریخچه تمام معاملات ، به شدت مورد حمله قرار گرفت.

    مهاجم به نحوی کنترل قدرت محاسبه شبکه را به دست آورد و از آن برای بازنویسی تاریخ معاملات استفاده کرد. در نتیجه ، شرایط ایجاد شده به مهاجم اجازه می دهد چندین بار یک ارز رمزنگاری شده خرج کند. این نوع حملات با نام Double Spending شناخته می شود. در حمله به Classic Atrium ، هکر حملاتی را با تعدادی ارز رمزنگاری شده به ارزش 1.1 میلیون دلار انجام داد. کوینبیس ادعا کرد که در واقع هیچ ارز رمزنگاری شده ای از هیچ حسابی سرقت نشده است. اما یکی دیگر از صرافی های معروف ، Gate.io ، اعتراف کرد که به اندازه Coinase خوش شانس نبوده و در نتیجه حملات حدود 200،000 دلار دارایی کاربران را از دست داده است. اما در یک اتفاق عجیب ، مهاجم چند روز بعد نیمی از پول های سرقت شده را پس داد.

    یک سال قبل از حملات ، سناریوی وحشتناک فقط نظری بود. اما 51٪ حمله به Classic Atrium یکی از پیچیده ترین حملات در شبکه بلاک چین اخیر است که خطرات احتمالی این فناوری نوپا را افزایش داده است. در مجموع ، هکرها از سال 2017 تاکنون 2 میلیارد دلار از ارزهای رمزنگاری شده سرقت کرده اند. البته این مبلغ فقط شامل مواردی می شود که عموماً منتشر می شوند. حملات تنها به هکرهای فرصت طلب محدود نمی شود و اکنون گروه های سازمان یافته جرایم سایبری نیز مسئول برخی از حملات هستند. داده های اخیر Chainalysis نشان می دهد که تنها دو گروه ، که به نظر می رسد هر دو هنوز فعال هستند ، ممکن است مسئول سرقت 1 میلیارد دلار Ramzarz از مبادلات باشند.

    جای تعجب نیست که شبکه بلاک چین برای سارقین جذابیت خاصی دارد. زیرا معاملات کلاهبرداری برخلاف سیستم مالی سنتی غیرقابل تشخیص است. علاوه بر این ، همانطور که بلاک چین دارای ویژگی های امنیتی منحصر به فردی است ، می تواند آسیب پذیری های خاصی نیز داشته باشد. بنابراین ، اگر کسی ادعا کند که فناوری بلاک چین شکست ناپذیر و غیرقابل نفوذ است ، سخت است که اشتباه کنیم.

    در چند سال گذشته ، در میان انفجار انواع ارزهای رمزنگاری شده ، متوجه شدیم که این فناوری در عمل نیز مورد حمله قرار می گیرد و ضعف های اساسی را نشان می دهد. کشف نقاط ضعف اساسی می تواند راه را برای رشد و آینده شبکه های بلاک چین و دارایی های دیجیتال هموار کند. در ادامه ، نقاط ضعف بلاک چین را معرفی کرده و نحوه مسدود کردن شبکه بلاک چین را توضیح می دهیم.

    طریقه هک شبکه بلاک‌چین

    نحوه هک شبکه بلاک‌چین

    قبل از صحبت در مورد هک شبکه بلاک چین ، بیایید برخی از مفاهیم کلیدی را تعریف کنیم. بلاک چین یک پایگاه داده رمزگذاری شده است که شبکه ای از رایانه ها را ایجاد می کند و هر رایانه نسخه به روز آن را برای شبکه با سایر رایانه ها ذخیره می کند. پروتکل های بلاک چین قوانینی هستند که به رایانه های گره ای می گویند چگونه تراکنش های جدید را احراز هویت کرده و به پایگاه داده اضافه کنند. با استفاده از رمزنگاری ، نظریه بازی و اقتصاد ، این پروتکل انگیزه ای را برای گره ها فراهم می کند تا به جای تلاش برای حمله و منافع شخصی ، به سمت امنیت شبکه حرکت کرده و به تلاش خود پاداش دهند. برای دریافت. این سیستم وقتی همه چیز سر جایش است بسیار امن می شود و تلاش برای افزودن یک تراکنش جعلی به آن بسیار دشوار و گران خواهد بود و همچنین تراکنش های معتبر را در کسری از ثانیه تأیید می کند.

    این قابلیت ها فناوری بلاک چین را برای بسیاری از صنایع و سازمان ها جذاب کرده است. بیایید با موسسات مالی شروع کنیم. موسسات بزرگی مانند Fidelity Investments و Intercontinental Exchange قصد ارائه خدمات مبتنی بر بلاک چین را دارند و صاحب بورس نیویورک تصمیم گرفته است که شبکه های بلاک چین را در سیستم های مالی موجود مسدود کند. حتی بانک های مرکزی در تلاش هستند تا از بلاک چین به عنوان ارز ملی دیجیتالی استفاده کنند.

    در سال 2019 ، صاحب ارزهای رمزپایه Zcash اعلام کرد که به طور مخفیانه یک نقص رمزنگاری جزئی را که به طور تصادفی در پروتکل ایجاد شده بود ، برطرف کرده است. مهاجم می تواند از این نقص برای تولید تعداد نامحدود Zcash جعلی استفاده کند. خوشبختانه هیچ هکری نتوانست این نقص را تشخیص دهد و از آن استفاده کند. ناگفته نماند که Zcash یک ارز رمزنگاری شده است که از ریاضیات بسیار پیشرفته و پیچیده استفاده می کند تا بستری امن را برای انجام معاملات خصوصی برای کاربران خود فراهم کند.

    پروتکل تنها بخشی نیست که باید ایمن باشد. برای مبادله گذرواژه یا راه اندازی یک گره در شبکه ، کاربر باید از نرم افزار سرویس گیرنده ای استفاده کند که ممکن است آسیب پذیر باشد. سپتامبر 2018 (سپتامبر 1397) توسعه دهندگان نرم افزار itcoin Core ، itcoin Core ، مخفیانه نقص فنی را برطرف کردند که به هکر اجازه می داد بیش از مقدار سکه مجاز سیستم تولید کند.

    از ابتدای سال 2019 ، مهمترین هک ها و حملات در Ramzarz هنوز در شبکه بلاک چین صورت نگرفته بود و هکرها بر مبادلاتی تمرکز کردند که وب سایت های آنها به دلیل ضعف در اقدامات اولیه امنیتی آسیب پذیرترین آنها تلقی می شد. اما در ژانویه 2019 ، با حمله پیچیده و پرهزینه به بلاک چین کلاسیک اتریوم ، اخبار امنیتی اصلی روی این موضوع متمرکز شد و برای اولین بار با حمله 51 درصد مواجه شد.

    هک بلاک چین ؛ قانون 51 درصد

    قانون ۵۱ درصد بلاک چین

    حساسیت به حمله 51 درصد در اکثر ارزهای رمزنگاری شده ذاتی تلقی می شود. شیوع 51٪ آسیب پذیری حمله به این دلیل است که اکثر شبکه های بلاک چین تراکنش ها را بر اساس پروتکل Pow یا “اثبات کار” تأیید می کنند. در این فرایند ، که به استخراج نیز معروف است ، گره ها مقدار زیادی قدرت محاسباتی را صرف می کنند تا ثابت کنند اجازه می دهند اطلاعات تراکنش جدید به پایگاه داده اضافه شود.

    علاوه بر این ، قبل از اینکه به توضیح حمله 51 درصد بپردازیم ، باید با مفهوم هاردفورک آشنا شویم. به طور خلاصه ، Hardfork یک نسخه به روز از نرم افزار بلاک چین است که با پروتکل اصلی بلاک چین سازگار نیست. بنابراین باعث جدا شدن بلوک های مختلف از شبکه اصلی و تشکیل دو شبکه مجزا و موازی و ایجاد بلوک ها و تراکنش های جدید بر اساس پروتکل های معتبر آنها می شود. به عنوان مثال ، می توان به سختی ذخیره سازی بیت کوین کش اشاره کرد ، که منجر به تولد این ارز رمزنگاری شده از دل بیت کوین شد.

    طبق قانون 51، ، اگر یک استخراج کننده بتواند به نحوی کنترل 51 of از قدرت استخراج شبکه بلاک چین را در دست بگیرد ، می تواند سایر کاربران را فریب دهد تا پاداشی ارسال کنند و سپس نسخه دیگری از بلاک چین ایجاد کنند که در آن پاداش هرگز پرداخت نمی شود. این اتفاق نیفتاد. این نسخه جدید شبکه Fork نام دارد. مهاجمی که بیشترین قدرت استخراج را کنترل می کند ، می تواند چنگال جدید را به عنوان نسخه معتبر شبکه تأیید کرده و رمزهای عبور مشابه را برای سایر کاربران مجددا ارسال کند.

    در عین حال ، خبر خوب این است که انجام این حمله و سوء استفاده از قانون 51 in در بلاکچین های پرهزینه هزینه بر است. بر اساس وب سایت Crypto51 ، هزینه اجاره قدرت استخراج کافی برای حمله به بیت کوین در سال 2019 بیش از 260،000 دلار در ساعت برآورد شده است. با این تفاسیر ، هرچه رتبه بندی در محبوب ترین ارزهای رمزنگاری شده پایین تر باشد ، هزینه حملات کمتر خواهد بود. همچنین ، کاهش ناگهانی ارزش ارزهای رمزنگاری شده می تواند عامل دیگری در کاهش هزینه حمله باشد. از آنجا که ارزش ارزهای رمزنگاری شده کاهش می یابد ، بسیاری از ماینرها دستگاه های خود را خاموش می کنند و در نتیجه امنیت شبکه کاهش می یابد.

    در اواسط سال 2018 (ژوئن 1397) ، هکرها شروع به استفاده از حمله 51٪ به مجموعه ای از سکه های کوچک مانند Verge ، Monacoin و itcoin Gold کردند و در نتیجه آن حملات ، بیست میلیون دلار از کاربران سرقت کردند. در پاییز آن سال ، مهاجمان 100 هزار دلار ارز رمزنگاری شده Vertcoin را به سرقت بردند. حمله به Classic Atrium ، که بیش از یک میلیون دلار برای هکرها هزینه داشت ، اولین حمله به یک ارز رمزنگاری شده در بین 20 ارز رمزنگاری شده برتر در حوزه بلاک چین است.

    دیوید واریک ، بنیانگذار پلتفرم ذخیره سازی فایل مبتنی بر بلاک چین Sia ، پیش بینی می کند که حملات 51 درصد بیشتر و تشدید می شود و صرافی ها احتمالاً ضرر مضاعف خواهند داشت. به گفته واریک ، یکی از موضوعاتی که به این روند دامن می زند ، ظهور بازارهای ناامنی است که به هکرها اجازه می دهد قدرت محاسباتی مورد نیاز برای انجام حمله را اجاره کنند. دیوید واریک می گوید: “دفاتر مبادله در نهایت باید سختگیرانه تر و حساس تر باشند تا تصمیم بگیرند از چه رمزگذاری پشتیبانی می کنند یا نه.”

    نقص فنی قرارداد هوشمند (Smart-Contract)

    پس از 51 درصد حملات ، نقص فنی نیز در قرارداد هوشمند مشاهده شد. تیمی از محققان امنیتی در حال بررسی پیامدهای آسیب پذیری های امنیتی جدید کشف شده در بلاک چین هستند. از قضا ، داستان شکل گیری دهلیز کلاسیک می تواند نقطه شروع خوبی برای درک این آسیب پذیری باشد. بنابراین ، ابتدا برخی از مفاهیم را مرور می کنیم.

    قرارداد هوشمند یک برنامه کامپیوتری است که بر روی شبکه بلاک چین اجرا می شود و برای خودکارسازی حرکت ارزهای رمزنگاری شده طبق قوانین و شرایط از پیش تعیین شده استفاده می شود. این فناوری کاربردهای زیادی دارد. از جمله تسهیل قراردادهای حقوقی واقعی یا معاملات مالی پیچیده. یکی دیگر از کاربردهای قرارداد هوشمندی که در اینجا با آن سر و کار داریم ، توانایی ایجاد یک مکانیسم رای دهی است که از طریق آن همه سرمایه گذاران صندوق سرمایه گذاری جسورانه قادر خواهند بود در مورد نحوه خرج کردن پول تصمیم گروهی بگیرند.

    چنین صندوقی که به عنوان مرکز غیرمتمرکز (DAO) شناخته می شود ، در سال 2016 با سیستم بلاک چین اتریوم راه اندازی شد. مدت کوتاهی پس از به قدرت رسیدن ، هکر توانست بیش از 60 میلیون دلار دارایی ارزهای رمزنگاری شده به دست آورد. هکر با استفاده از نقص پیش بینی نشده در قرارداد هوشمند که توسط DAO مدیریت می شود ، حمله را انجام داد. در اصل ، این نقص فنی به هکر اجازه می دهد تا در هر زمان بدون نیاز به گزارش دریافت پول از طریق سیستم ، از سایر حساب ها درخواست پول کند.

    همانطور که این حمله نشان داده است ، وجود اشکالات در قراردادهای هوشمند شرایط اضطراری منحصر به فردی ایجاد می کند. در نرم افزارهای سنتی ، با نصب وصله می توان اشکالات را برطرف کرد. اما در دنیای بلاک چین کار چندان ساده ای نیست. زیرا تراکنش های بلاک چین برگشت ناپذیر هستند. به گفته پیتر سانکوف ، محقق در ETH زوریخ و یکی از بنیانگذاران ChainSecurity ، یک استارتاپ امنیتی هوشمند برای قرارداد ، استفاده از قراردادهای هوشمند مانند پرتاب یک سفینه فضایی است. بنابراین ، جایی برای خطای نرم افزاری وجود ندارد.

    اگرچه نمی توان یک قرارداد هوشمند را با نصب وصله امنیتی تعمیر کرد ، اما برخی از قراردادها را می توان با استفاده از قراردادهای هوشمند اضافی برای تعامل با قرارداد قبلی ارتقا داد. توسعه دهندگان همچنین می توانند سوئیچ های متمرکز روی شبکه را طراحی کنند تا در صورت حمله یا نفوذ هکرها ، کلیه فعالیت ها متوقف شود. البته ، پول سرقت شده قبل از فعال شدن سوئیچ قابل بازیابی نیست. تنها راهی که شاید بتوان پول از دست رفته را بازیابی کرد ، بازنویسی تاریخچه شبکه برای بازگشت بلاک چین به شرایط قبل از حمله است. بنابراین ، باید یک چنگال جدید بلاک چین ایجاد شود و همه افراد فعال در شبکه باید با استفاده از چنگال جدید به جای نسخه قبلی موافقت کنند.

    در واقع ، این گزینه ای بود که توسط توسعه دهندگان اتریوم انتخاب شد و اکثر اعضای شبکه ، اما نه همه اعضا ، به بلاک چین جدیدی مهاجرت کردند که اکنون با نام اتریوم شناخته می شود. گروه کوچکی از اعضا نیز تصمیم گرفتند در نسخه قبلی که اکنون با نام Classic Atrium شناخته می شود بمانند. تیم امنیتی سانکوف ChainSecurity ژانویه 2019 (دسامبر 1397) بار دیگر دهلیز را از تکرار حمله DAO نجات داد. دقیقاً یک روز قبل از به روز رسانی اصلی نرم افزار ، این شرکت به توسعه دهندگان ارشد اتریوم هشدار داد که پیامدهای ناخواسته این به روز رسانی می تواند مسدود کردن تعدادی از قراردادهای آسیب پذیر در برابر حمله DAO و ایجاد حوادث دیگر باشد. در نتیجه ، توسعه دهندگان به روز رسانی را حداقل یک ماه به تاخیر انداختند.

    به گفته ویکتور فنگ ، بنیانگذار و مدیرعامل شرکت امنیتی بلاک چین Anchain.ai ، اگرچه صدها قرارداد هوشمند اتریوم دارای چنین نقص فنی هستند ، اما دهها هزار قرارداد هوشمند اتریوم از آسیب پذیری های دیگری رنج می برند. از آنجا که کد منبع بلاک چین در شبکه موجود است ، هکرها این اشکالات را پیدا خواهند کرد. به گفته فنگ ، این آسیب پذیری ها با امنیت سایبری سنتی تفاوت قابل توجهی دارد.

    آگوست 2018 (آگوست 1397) شرکت امنیتی AnChain توانست 5 آدرس دهلیز را که با یک حمله پیچیده مرتبط بودند ، شناسایی کند. مهاجمان سعی کردند با شکستن یکی از قراردادها در یکی از شرط بندی های معروف ، حدود 4 میلیون دلار سرقت کنند.

    روش‌های پیشگیری از هک بلاک‌چین

    روش‌های پیشگیری از هک بلاک‌چین

    AnChain.ai یکی از چندین استارتاپی است که هدف آن معرفی خطرات امنیتی برای بلاک چین است. این استارتاپ با کمک هوش مصنوعی می تواند معاملات را کنترل کرده و بر فعالیت های مشکوک نظارت کند. همچنین می تواند کدهای قرارداد هوشمند را اسکن کرده و آسیب پذیری های شناخته شده را تشخیص دهد. شرکت های دیگر مانند ChainSecurity در حال توسعه خدمات مبتنی بر یک روش اثبات شده در علوم کامپیوتر به نام تأیید رسمی هستند. هدف این پروژه انجام آزمایش ریاضی با کمک ریاضی و اثبات این است که کدهای قرارداد هوشمند دقیقاً فرایندی را که سازنده می خواهد اجرا می کنند.

    به گفته سانکوف ، ابزارهای تأیید صحت طی چند سال گذشته به سازندگان قرارداد هوشمند این امکان را داده است تا بسیاری از اشکالات موجود در شبکه را از بین ببرند. البته استفاده از چنین ابزارهایی فرآیندی زمان بر و پرهزینه است که شاید برای اکثر مردم توجیه اقتصادی نداشته باشد. فیلیپ دایان ، Ramzars و محقق قرارداد هوشمند در دانشگاه کرنل ، راه دیگری را برای مبارزه با هک ابداع کرده است. به گفته وی ، راه حل دیگر استفاده از قرارداد هوشمند اضافی برای راه اندازی بلاک چین بر اساس پاداش معرفی اشکال است. به عبارت دیگر ، اگر یک کاربر اشکالی پیدا کند و آن را گزارش کند ، Ramzarz پاداش می گیرد.

    جمع بندی

    در حالی که فناوری بلاک چین همیشه مدعی نفوذ ناپذیری است ، اما گاهی اوقات می تواند در برابر هکرهای حرفه ای یا نقص فنی نرم افزار آسیب پذیر باشد. بنابراین ، مانند هر بخش دیگری از دنیای فناوری ، بلاک چین خاکستری است. امروزه چندین بلاک چین معرفی شده است و دانش ما از رفتار آنها به تدریج در حال تکمیل شدن است.

    میانگین امتیازات ۵ از ۵
    از مجموع ۱ رای