بله ، بلاکچین قابل هک است

امنیت سایبری مرا وادار به گریه می کند

عکسبرداری زنده از هک Equifax

ما در دوره ای از نقض منظم اطلاعات با مشخصات بالا و نگرانی از امنیت و حریم خصوصی اطلاعات دیجیتال ، با وجود زیرساخت های قدیمی اینترنت که به وضوح نمی تواند مانع از حملات پیچیده سایبری باشد ، وجود دارد. از Equifax گرفته تا WannaCry ، توهم امنیت سایبری در مقابل چشمان ما حل می شود.

بیشتر و بیشتر ، اخبار مربوط به هک یا قرار گرفتن در معرض اطلاعات شخصی آشکار می شود. بیشتر و بیشتر ، مشخص می شود که کسانی که کلید داده هایمان را به آنها سپرده ایم ، از این داده ها سو mis استفاده می کنند و به اعتماد ما خیانت می کنند. واضح تر می شود که سیستم های متمرکز که تا اینجا ما را به دست آورده اند ، برای محافظت از حرکت ما به جلو کافی نیستند.

فناوری بلاکچین قول می دهد با از بین بردن اعتماد موجود در ذخیره سازی و دسترسی به محتوای دیجیتالی ما ، این مشکلات را برطرف کند. با انتقال داده ها به لبه های شبکه و استفاده از رمزنگاری قوی برای حفظ کنترل فردی بر این داده ها ، بلاکچین ها هدف قرار دادن قدرت در اختیار کاربران نهایی و سازندگان داده ها است ، نه دستان (به وضوح ناشیانه) داده ها. سیستم عامل هایی که ما برای به اشتراک گذاری داده ها استفاده می کنیم.

بلاکچین ها قابل لغو نیستند

با این حال ، بلاکچین ها به هر اندازه قدرتمند باشند ، از حمله در امان نیستند. هر فناوری دارای نقاط ضعف و بردارهای حمله است و بلاکچین نیز از این قاعده مستثنی نیست. در اینجا ما بردارهای مختلف حمله (به منظور افزایش تهدید) را بررسی خواهیم کرد و نگاهی خواهیم انداخت به چند نمونه از تاریخچه کوتاه اما مهیج ارز رمزپایه تاکنون.

حمله سیبیل

حمله Sybil حمله ای است که در آن تعداد زیادی از گره ها در یک شبکه واحد متعلق به یک طرف هستند و سعی دارند فعالیت شبکه را از طریق طغیان در شبکه با معاملات بد یا دستکاری مجدد در انجام معاملات معتبر مختل کنند..

این حملات تاکنون نظری بوده و در اکثر موارد ممکن است هرگز دیده نشود ، زیرا یکی از تصمیمات اساسی طراحی که هنگام توسعه سیستم ارز رمزنگاری شده اتخاذ می شود ، نحوه جلوگیری از حملات سیبیل است..

بیت کوین از طریق الگوریتم اثبات کار خود از آنها جلوگیری می کند و گره ها را مجبور به صرف منابع (به صورت انرژی) برای دریافت سکه می کند ، بنابراین داشتن اکثریت قریب به اتفاق گره ها را بسیار گران می کند. پروژه های مختلف مقاومت Sybil را به طور متفاوتی اداره می کنند ، اما تقریباً همه از عهده آن برمی آیند.

مسیریابی حمله

حمله مسیریابی ، حمله ای است که با سازش یا همکاری یک سرویس دهنده اینترنت (ISP) امکان پذیر است. گرچه از نظر فنی امکان اجرای گره Bitcoin (یا سکه های دیگر) در هر کجای دنیا وجود دارد ، اما واقعیت فعلی این است که گره ها از نظر ISP هایی که ترافیک اینترنت را به آنجا منتقل می کنند ، نسبتاً متمرکز هستند..

مطابق با پژوهش توسط ETHZurich انجام شده است ، 13 ISP میزبان 30٪ از شبکه Bitcoin هستند ، در حالی که 3 ISP 60٪ از کل ترافیک معاملات را برای شبکه هدایت می کنند. اگر یک ISP خراب شود ، این یک نقطه اصلی شکست است.

یک حمله مسیریابی با رهگیری ترافیک اینترنت بین سیستم های خودمختار ، گره های سطح بالا در معماری اینترنت ارسال می شود ، که تعداد کمی از آنها برای رهگیری با سهولت نسبی وجود دارد. این پدیده ای است که به طور معمول ، حتی روزانه ، در اینترنت در طبیعت مشاهده می شود و مطمئناً می تواند در برابر بیت کوین یا سایر ترافیک ارزهای رمزپایه مورد استفاده قرار گیرد.

با استفاده از این روش ، یک شبکه ارز رمزنگاری شده می تواند به دو یا چند شبکه جداگانه تقسیم شود و هر دو طرف پارتیشن را در معرض حملات دو برابر هزینه قرار دهد ، زیرا آنها نمی توانند با کل شبکه ارتباط برقرار کنند تا تراکنش ها را تأیید کنند. وقتی سکه در یک طرف شبکه خرج شد و کالاها یا خدمات دریافت شد ، می توان پارتیشن را حذف کرد و طرف شبکه با زنجیره کوتاه تر توسط کل شبکه رد شد و این معاملات از بین رفت..

تا آنجا که می دانیم ، این نوع حمله رخ نداده است و می توان اقدامات لازم را انجام داد تا سکه ها از این رفتار مصون بمانند.

انکار مستقیم خدمات

در حالی که به راحتی می توانید دامنه ای با بک لینک قدرتمند از آن خریداری کنید https://www.spamzilla.io, اما یک حمله Direct Denial of Service (DDoS) می تواند سرور شما را فلج کند. DDoS به سادگی می توان با پر کردن سرور با حجم بالای ترافیک تلاش کرد. این قطعاً یکی از رایج ترین حملاتی است که در طبیعت دیده می شود ، زیرا خرید یک حمله DDoS از هر تعداد “هکر” یا شرکت های نامعتبر نسبتاً آسان است..

به نظر می رسد در مورد یک وب سایت ، حجم عظیمی از درخواست ها به سرور در طی یک دوره زمانی ارسال می شود و از دریافت درخواست های قانونی از منابع مورد نیاز جلوگیری می کند. در مورد گره بیت کوین ، به نظر می رسد حجم عظیمی از معاملات کوچک یا نامعتبر در تلاش برای طغیان شبکه و جلوگیری از پردازش معاملات قانونی است..

شبکه های بزرگی مانند بیت کوین به طور مداوم مورد حمله DDoS قرار می گیرند ، اما تصمیمات طراحی شده در توسعه شبکه بیت کوین برای کاهش خطر تلاش های DDoS عمل می کنند. در برابر یک حمله موفقیت آمیز DDoS ، هیچ تهدیدی برای وجوه سرقت شده یا امنیت به خطر افتاده وجود ندارد ، فقط توقف فعالیت شبکه.

Bitcoin’s Backlog Blues

با این وجود ، اگرچه خطری امنیتی نیست ، اما می توان از این وقفه خدمات برای سایر دستور کارها استفاده کرد. در مورد معاملات “هرزنامه” (DDoSing شبکه با بسیاری از تراکنش ها) و بیت کوین چیزی مانند یک حماسه وجود دارد که از سال 2015 تا 2017 انجام شده است.

در ژوئن سال 2015 ، Coinwallet.eu (که اکنون یک شرکت کیف پول منسوخ شده است) ، “سنجش استرس“شبکه بیت کوین با ارسال هزاران معامله در شبکه برای ایجاد تأثیر بر بحث بحث برانگیز تغییر اندازه بلوک که در آن زمان در جریان بود ، در اظهارات خود اعلام کرد که” برای ایجاد یک پرونده روشن برای افزایش اندازه بلوک با نشان دادن سادگی حمله اسپم در مقیاس بزرگ به شبکه. “

یک ماه بعد ، در آنچه “حمله سیل” نامیده می شود ، همزمان 80،000 تراکنش کوچک در شبکه بیت کوین ارسال شد و ایجاد یک انباشت انبوه شد که فقط با تلاش F2Pool ، یکی از بزرگترین استخرهای استخراج معدن در آن زمان ، پاک شد ، که یک بلوک کامل را به ترکیب همه معاملات اسپم و پاکسازی آنها اختصاص داده است.

در طی سال آینده ، طبق تجزیه و تحلیل LaurentMT ، خالق ابزار تجزیه و تحلیل بیت کوین OXT ، هزاران یا حتی میلیون ها معامله هرزنامه بیشتر (عمدتاً معاملات کوچک و بی فایده که احتمالاً قانونی نبوده اند) ارسال شدند ، مسدود شدند عقب مانده Bitcoin UTXO ، اما این معاملات در بیشتر موارد توسط استخرهای بزرگ استخراج نشده است.

ناگهان ، در نیمه دوم سال 2016 و تقریباً در همان زمان ، استخرهای بزرگ استخراج معدن در آن زمان شروع به پذیرش این معاملات هرزنامه به بلاک کردند ، باعث کاهش بازده معاملات قانونی می شود درست زمانی که بحث در مورد اندازه بلوک دوباره افزایش می یابد و بسیاری از آنها شنیده می شد که استخرها در کنار “بزرگ مسدود کننده ها” بر روی مسدود کننده های کوچک قرار دارند.

شبکه بیت کوین از این زمان به بعد پاکسازی کرده است و در حالی که طرفداران بزرگ توجه خود را به Bitcoin Cash جلب کرده اند ، پروژه ای است که جیان وو (بنیانگذار Bitmain بزرگترین صاحب قدرت هیت بیت کوین تاکنون) کاملاً از آن پشتیبانی می کند . تحقیق خود را انجام دهید.

51٪ یا حمله اکثریت

از آنجا که امنیت یک بلاکچین مستقیماً با قدرت کامپیوتر در ساخت زنجیره ارتباط دارد ، خطر کنترل یک مهاجم بر اکثریت قدرت هش موجود در شبکه وجود دارد. این به مهاجم اجازه می دهد تا سریعتر از بقیه شبکه بلاک های خود را استخراج کند و در را برای “هزینه های مضاعف” باز کند.

هزینه های مضاعف روشی برای کلاهبرداری از ارز رمزپایه است که شامل ارسال معاملات به زنجیره ، دریافت کالا یا خدمتی است که معامله برای آن پرداخت می کند و متعاقباً استفاده از قدرت هش اکثریت برای چنگال زنجیره بلوک در یک نقطه قبل از معامله. این به طور موثر آن تراکنش را از تاریخ زنجیره پاک می کند و به مهاجم اجازه می دهد برای بار دوم با همان سکه ها معامله کند.

بدست آوردن اکثریت قدرت هش به مهاجم اجازه ایجاد سکه ، دسترسی به آدرس ها یا به خطر انداختن شبکه را به روش دیگری نمی دهد ، که این صدمه این روش را محدود می کند. بزرگترین تأثیر چنین حمله ای می تواند از بین رفتن اعتماد به نفس در شبکه مورد حمله و افت شدید قیمت دارایی هر نشانه در شبکه باشد..

کشیدن این نوع حمله اکثریت بسیار گران است و در نتیجه ، در واقع ، فقط سکه های نسبتاً کوچک و کم قدرت در معرض این بردار حمله قرار دارند. سکه های اصلی مانند بیت کوین ترس چندانی از حمله 51 درصدی ندارند به این دلیل که هر مهاجمی با اکثریت قدرت هش قدرت انگیزه بیشتری برای استخراج ساده تمام بلوک ها و دریافت بیت کوین دارد تا اقدام به حمله ، به ویژه با توجه به در صورت انتشار خبر حمله ، قیمت بیت کوین سرقت شده آنها سقوط می کند.

51٪ در طبیعت

یکی از جالب ترین نمونه های 51٪ حملات در طبیعت ، مجوز از گروهی از هکرها است که خود را “خدمه 51” می نامیدند. در نیمه دوم سال 2016 ، 51 خدمه شروع به نگهداری کلون های کوچک Ethereum برای باج کردند ، و سرمایه خود را نرخ هش پایین و توزیع متمرکز استخراج برای اجاره سخت افزار کافی برای گوشه گیری از شبکه.

آنها با ادعای “قصدشان این نیست که پروژه ای را خراب کنند” و آنها فقط پول در می آوردند ، آنها در ازای خاموش کردن کار خود و با آرامش پروژه ها ، از بیت کوین خواستند. اگر خواسته ها برآورده نشود ، آنها زنجیره بلوک سکه را به یک نقطه می رسانند قبل از فروش زیادی که خدمه قبلاً در بورس انجام داده بودند.

پروژه های مورد بحث ، کریپتون (اکنون منسوخ شده) و Shift (هنوز هم با حجم اندکی معامله می شوند) ، هر دو از پرداخت دیه خودداری کردند و متعاقباً بلاک چین هایشان فورک شد. تیم های پروژه برای جلوگیری از عدم تمرکز شبکه و ایجاد تغییراتی در پروتکل ها تلاش کردند تا از چنین سو abاستفاده هایی جلوگیری کنند ، اما نه قبل از ضربه کامل.

آسیب پذیری رمزنگاری

این حملات تاکنون بیشتر در حوزه هزینه های مضاعف یا کاهش خدمات شبکه انجام شده است. حملات گران تمام می شوند و به سرعت توسط ویژگی های خود بازسازی شبکه اصلاح می شوند. اگرچه آنها می توانند تهدید واقعی برای اعتماد به ارز رمزنگاری شده و در نتیجه حداقل از دست دادن بودجه باشند ، آنها سیب زمینی نسبتاً کوچکی هستند.

مانند هر سیستم رایانه ای یا شبکه ای ، بزرگترین بردار حمله خطای انسانی است. عمده ضرر وجوهی که تاکنون در cryptoland دیده شده است ، نتیجه اشکال در نرم افزار سکه است. خطاهای رمزنگاری در امنیت ارزهای رمزپایه باعث ایجاد حفره های امنیتی می شود که می تواند توسط هکرهای پیچیده کشف و مورد سو explo استفاده قرار گیرد تا پروژه را تضعیف کند.

DAO

شاید بارزترین نمونه هک فعال شده از طریق کد ضعیف ، هک بدنام Ethereum DAO باشد ، بد آن که باعث ایجاد ارز رمزنگاری شده جدیدی شد و پروژه Ethereum را تا به امروز تحت تعقیب قرار داده است..

DAO (سازمان خودمختار غیرمتمرکز) سازمانی بدون رهبر بود که با استفاده از قراردادهای هوشمند در بالای Ethereum ساخته شد. ایده این بود که به هر کسی توانایی سرمایه گذاری در شرکت و رأی دادن در مورد پروژه هایی که می خواهند تأمین مالی شوند ، داده شود ، همه با اطمینان و به طور خودکار توسط کد قرارداد هوشمند DAO مدیریت می شوند.

اگر در DAO سرمایه گذاری کردید (با خرید نشانه های DAO) و بعداً تصمیم به بیرون کشیدن گرفتید ، مکانیزمی برای این کار وجود داشت که می توانید Ethereum خود را در ازای علامت DAO به شما برگردانید. این مکانیزمی به نام “بازگشت تقسیم” است که توسط DAOist پیشگام در 17 ژوئن 2016 مورد بهره برداری قرار گرفت..

بازگشت تقسیم یک فرآیند دو مرحله ای است: مقدار مناسب Ethereum را به دارنده رمز بازگشت دهید ، سپس نشانه ها را بگیرید و معاملات را در بلاکچین ثبت کنید تا تراز رمز DAO به روز شود. هکر ناشناخته متوجه شد که می تواند سیستم را فریب دهد تا مرحله اول را بدون حرکت به مرحله دوم تکرار کند ، که به آنها امکان می دهد 50 میلیون دلار Ethereum را از DAO سیفون کنند و یک DAO جداگانه کنترل کنند که فقط توسط مهاجم کنترل شود..

این امر به وضوح جامعه Ethereum را شعله ور کرد و طرحی برای نرم چنگال و بازیابی وجوه تهیه شد. یک چنگال نرم حداقل تهاجمی ، سازگار با عقب باشد و به راحتی “هک” DAO را از بلاکچین “پاک” کند. با این وجود ، وقتی برنامه ریزی شد ، فهمید که پرواز نخواهد کرد و یک چنگال سخت لازم است. این بحث برانگیز بود و منجر به ایجاد Ethereum Classic (ETC) ، ادامه زنجیره اصلی Ethereum با هک DAO در محل ، و Ethereum (ETH) ، پروژه جدید سخت فورک شد که یک روز دیگر به DAO ادامه داد.

تهدید واقعی کاربران هستند ، نه هکرها

فناوری بلاکچین قوی و امیدوار کننده است و حتی با وجود تمام این رویکردهای احتمالی حمله ، تعداد بسیار کمی از حملات موفقیت آمیز در تاریخ ثبت شده است. با این حال ، این امر مانع از دزدیدن مبالغ هنگفتی از کاربران نشده است.

در حالی که امنیت اکثر ارزهای رمزپایه دست نخورده باقی مانده است ، اما امنیت کیف پول ها ، مبادلات و حساب های سرویس های شخص ثالث در اطراف این ارزهای رمزپایه تقریباً خنده دارانه بد است. میلیون ها دلار بیت کوین و سایر ارزهای رمزپایه از حساب های به خطر افتاده افراد و مبادلات در طی سال های گذشته به سرقت رفته است.

در حالی که حملات ذکر شده در بالا عمدتا تئوریک بوده و در برابر آن فعالانه از آن دفاع می شود ، اما شکاف چشمگیر امنیت بیت کوین و هر ارز رمزنگاری شده دیگر این واقعیت است که انسان در توجه و هوشیاری چندان چشمگیر نیست. استفاده مجدد از رمزهای عبور ، قربانی شدن در کلاهبرداری های فیشینگ ، اپراتورهای وب سایت بی احتیاط و کارمندان صرافی سهل انگار همچنان خطرناک ترین نقطه خرابی در مورد سلامت اقتصاد رمزنگاری هستند..

هرچه به جلو می رویم ، ممکن است حملاتی در سطح بلاکچین انجام شود. اینها ممکن است از قدرتهای عظیمی مانند دولتها یا شرکتهایی که کنترل یا تضعیف این ابزارهای نویدبخش ذخیره سازی و انتقال ثروت و ارزش را دارند استفاده کنند. در دراز مدت ، حملاتی از این قبیل فقط در تقویت و تکامل فناوری برای مقاومت و مقاومت بیشتر عمل می کنند.

اما خیلی بیشتر از این ، قبل از وقوع تصویب واقعی ، باید جهش های بزرگی در سهولت استفاده و امنیت محصولات رمزنگاری مصرف کننده انجام شود. تا زمانی که یک گذرواژه یا لپ تاپ باز به طور تصادفی به اشتراک گذاشته شود می تواند به معنای از دست دادن پس انداز زندگی شما باشد ، ما نمی توانیم وارد یک سیستم جهانی رمزنگاری شویم.