آیا می توان Blockchain را هک کرد؟ بلاکچین چقدر ایمن است؟ |

بلاکچین ممکن است به اندازه فکر قبلی ایمن نباشد

به عنوان یک محقق امنیتی که بیش از یک دهه در صنعت فناوری بوده است و میلیاردها رکوردهای آنلاین را کشف کرده است ، اغلب از من می پرسند که چگونه امن بلاکچین است و آیا می توان آن را هک کرد؟ پاسخ ممکن است خیلی ساده نباشد. با افزایش محبوبیت و استفاده از فناوری بلاکچین ، تعداد آسیب پذیرهای بالقوه و مجرمان اینترنتی که به دنبال راه هایی برای کلاهبرداری از کاربران بلاکچین هستند ، افزایش می یابد. یکبار اعتقاد بر این بود که بلاکچین ها غیرقابل کنترل هستند اما بلاکچین برای هک شدن یا سو other استفاده های حیاتی دیگر شکست ناپذیر است. در سال 2019 ، ارزش سرقت ارز رمزنگاری شده و کلاهبرداری در بلاکچین طبق گزارش Gadget.co.za 4.5 میلیارد دلار حیرت انگیز بود. این امر باعث شده است که بسیاری از سرمایه گذاران ، شرکت ها ، سازمان ها و اعضای جامعه امنیتی نگاهی جدی بیندازند که بلاکچین تا چه اندازه ایمن است و چه خطرات واقعی وجود دارد؟

من سال ها صرف کشف آسیب پذیری در پایگاه های داده ، شبکه های سیستم و داده ها کرده ام نقض خطاهای انسانی. چندی پیش نبود که کارشناسان امنیتی به ما می گفتند که فضای ذخیره سازی ابری چقدر ایمن است. خیلی سریع فهمیدیم که برای همه مزایای استفاده از ابر ، خطرات امنیتی جدی و تهدیدی در حال تحول همیشگی وجود دارد. وقتی صحبت از محافظت از داده ها و فناوری می شود ، احساس یک بازی گربه و موش می شود ، اما سوالی که همه اکنون می پرسند این است که آیا بلاکچین واقعاً ایمن و ایمن است یا می توان بلاکچین را هک کرد؟

این روزها نمی توانید تبدیل کنید در تلویزیون ، رادیو یا اخبار را بخوانید بدون اینکه در مورد ارزهای رمزپایه و توکن های غیرقابل هشدار (NFT) مطلع شوید. عناوین اصلی نشان می دهد که چقدر به ارزش ارزهای رمزپایه و توانایی منحصر به فرد داشتن یک نوع NFT علاقه مند است. هدف از این مقاله تمرکز بر امنیت ، تهدیدها ، آسیب پذیری ها و بحث در مورد هک شدن بلاکچین است ، بنابراین من خیلی در مورد آنچه که بلاکچین یا نحوه کار آن است غوطه ور نمی شوم.

در اینجا اصول اولیه وجود دارد: مفهوم فناوری Blockchain در سال 1991 توسط دو محقق ایجاد شد كه می خواستند فرایندی ایجاد كنند كه مهر زمان سند منحصر به فرد باشد و تغییر نكند یا دستكاری شود. بلاکچین را می توان به عنوان نوعی پایگاه داده توصیف کرد که داده ها را در بلوک هایی که به هم متصل شده اند و به ترتیب زمانی متصل می شوند ، ذخیره می کند. در حال حاضر چهار نوع شبکه بلاکچین وجود دارد: بلاکچین های دولتی ، خصوصی ، کنسرسیوم و ترکیبی. سوابق معاملات با هیچ مرجعی واحد متمرکز نیستند و برای اطمینان ، شفافیت و ذخیره سازی به گونه ای طراحی شده اند که داده ها قابل تغییر یا تغییر نیستند.

آیا Blockchain ایمن است؟

Blockchain خطرات واقعی دارد و از مصونیت برخوردار نیست. به هک کردن روش های دیگری برای به دست آوردن اطلاعات و داده ها وجود دارد که نیازی به هک بلاکچین ندارد. بعضی از تهدیدها به مهارت فنی بالا و کمی شانس احتیاج دارند ، در حالی که خطرات دیگر با فناوری پایین است و توسط مجرمان سایبری رایج یا سایر بازیگران مخرب قابل اجرا است. آنچه بلاکچین را منحصر به فرد می کند این است که پس از انجام معامله ، لغو یا تغییر آن امکان پذیر نیست. برخلاف انتقال بانکی که گاهی اوقات قابل برگشت است ، به محض سرقت ارز رمزنگاری شده ، آن برای همیشه از بین می رود. بلوک ها قابل تغییر یا ویرایش نیستند ، بنابراین به معنای واقعی کلمه توسعه دهندگان باید تاریخ را دوباره بنویسند و سپس یک شاخه جدید از بلوک ها ایجاد کنند.

در اینجا چند روش وجود دارد که آسیب پذیری های بلاکچین و خطاهای انسانی می تواند تهدید جدی باشد.

فروشندگان خارج و برنامه های شخص ثالث یک خطر امنیتی است

خطرات فروشنده شخص ثالث یک مشکل معمول نه تنها در حوزه بلاکچین است. در محیط های ذخیره سازی ابر من اغلب میان افزار آسیب پذیر می بینم که به عنوان "چسب نرم افزار" در بین برنامه هایی کار می کند که ممکن است کاملاً سازگار نباشند و آنها به نرم افزاری نیاز دارند که به عنوان پل عمل کند. این میان افزار می تواند گاهی اوقات یک درب پشتی در شبکه ایجاد کند یا اطلاعات نشت کند. به همین ترتیب ، یک برنامه شخص ثالث برای سیستم عامل ها و برنامه های مبتنی بر بلاکچین مانند سیستم عامل های پرداخت یا کیف پول نیز می تواند همان نوع خطر امنیتی را ایجاد کند. برنامه های کاربردی یا سیستم عامل های زنجیره بلوکی مرتبط با فروشندگان ، لایه دیگری از خطرات احتمالی امنیت و حریم خصوصی را اضافه می کنند که در آن می توان داده ها را در حین انتقال اطلاعات رهگیری یا آشکار کرد. وقتی صحبت از برنامه های شخص ثالث می شود ، هر چه نقاط تماس کمتری بین نحوه جمع آوری و پردازش داده ها بهتر باشد. من به هر کسی که از یک فروشنده شخص ثالث برای سیستم عامل ها و برنامه های مبتنی بر بلاکچین خود استفاده می کند ، توصیه می کنم خطرات را درک کرده و اطمینان حاصل کند که اقدامات احتیاطی امنیتی مناسبی را انجام می دهند.

نقاط پایانی ایجاد خطر امنیتی

بلاکچین امن ترین راه حل داده است مدیریت ، اما از حملات سایبری یا هک شدن در امان نیست. مفهوم دفتر مرکزی غیرمتمرکز که داده ها در بسیاری از مکان ها پخش می شود ، این اطلاعات را بسیار ایمن می کند زیرا حمله همزمان به همه مکان ها تقریباً غیرممکن است. مانند اکثر تهدیدات امنیتی هنگامی که انسان درگیر شود ، خطر خطا بسیار بیشتر است. آسیب پذیرترین قسمت ساختار بلاکچین این است که یک نقطه پایانی وجود دارد که انسان می تواند با آن ارتباط برقرار کند و به داده ها دسترسی پیدا کند.

با داشتن دفتر مرکزی غیرمتمرکز و هیچ کاربر مرجع مرکزی نمی تواند از هرجایی به زنجیره بلوک دسترسی داشته باشد. این یک نقطه پایانی را ایجاد می کند که در آن کاربر ، شرکت یا سازمان به داده های موجود در زنجیره بلوک شبکه خود دسترسی پیدا می کند. تهدید واقعی خارج از بلاکچین است که در آن هکرها می توانند برای دریافت مدارک مدیریتی یا کلیدهای امنیتی تلاش کنند. پس از دستیابی به این اطلاعات ، نیازی به هک بلاکچین ندارند ، به راحتی می توانند با مجوزهای اداری کامل به داده ها دسترسی پیدا کنند. داشتن یک راه حل امنیتی برای هر دستگاهی که به بلاکچین دسترسی دارد مهم است. این ممکن است نیاز به استفاده از یک فروشنده شخص ثالث و انجام تکالیف لازم برای یافتن راه حل مناسب امنیت سایبری برای شما داشته باشد.

کلیدهای رمزگذاری عمومی و خصوصی

امنیت نقطه پایانی یک خطر عمده در زنجیره بلوک است و کلیدهای عمومی یا خصوصی می توانند به شما اطمینان دهند داده ها ایمن باقی می مانند قرار گرفتن در معرض این کلیدها یا ضعیف ساختن آنها و حدس آسان آنها ، هدف از اقدامات امنیتی پیشرفته را شکست می دهد. کاربران باید کلیدهای صحیحی برای دسترسی به زنجیره بلوکی مرتبط با آن ماشین ها یا داده های خاص داشته باشند. اگر هکرها یا مجرمان اینترنتی کلیدهای سیستم بلاکچین را بدست آورند ، می توانند به داده های حساس جمع آوری شده یا ذخیره شده در بلاک ها دسترسی پیدا کرده ، آنها را ویرایش یا حتی حذف کنند. مبادلات ارز رمزنگاری شده بوده است که ارزهای رمزپایه را معامله و نگهداری می کنند. در فوریه 2019 ، سیستم عامل ارز رمزنگاری Coinbase حمله ای را تجربه کرد که دنیای رمزنگاری را شوکه کرد و آسیب پذیری گسترده ای را نشان داد که به هکرها اجازه می داد چیزی بیش از 1 میلیون دلار سرقت کنند. مجرمان سایبری توانستند بخشی از شبکه Coinbase را تحت کنترل خود درآورند و تاریخچه معاملات را دوباره بنویسند. یک منبع ادعا کرد که هکر با نام دامنه رجیستری تماس گرفته و وانمود می کند مالک سایت است و سپس دامنه را به سرور دیگری که توسط هکر کنترل می شود هدایت می کند. این سایت دارای یک اسکریپت keylogging بود که کلیدهای خصوصی کاربران را در سایت تایپ می کرد و از حساب قربانیان کمک مالی می کرد.

هنگامی که تاریخ معاملات را تغییر دادند ، به آنها امکان داد تا همان ارز رمزنگاری شده را خرج کنند. چندین بار. این روش "دو برابر هزینه" نامیده می شود. مطابق ویکی پدیا : "هزینه دو برابر یک نقص بالقوه در یک طرح نقدی دیجیتال است که در آن همان رمز دیجیتال تنها می تواند بیش از یک بار هزینه شود. برخلاف پول نقد فیزیکی ، یک رمز دیجیتال از یک پرونده دیجیتالی تشکیل شده است که می تواند کپی یا جعل شود. "

پرونده بدنام سازمان خودمختار غیرمتمرکز (DAO). در سال 2016 با استفاده از سیستم بلاکچین به نام Ethereum ایجاد شد. هکرها به سرعت سو explo استفاده ای را کشف کردند که به آنها اجازه می داد چندین بار از همان حسابها درخواست وجوه کنند. یک خطای ورود به سیستم وجود داشت که به سیستم نمی گفت پول قبلاً گرفته شده است. در مجموع هکرها حدود 60 میلیون دلار ارز رمزنگاری شده را سرقت کردند.

برای تجارت ارز رمزنگاری شده معمولاً نیاز به راه اندازی یک مشتری نرم افزار است که همچنین می تواند آسیب پذیر باشد. چندین مورد از نرم افزار سرویس گیرنده با اشکالات مهم وجود داشته است که قبل از بهره برداری مخفیانه برطرف شده اند. یک آسیب پذیری اشکال در نرم افزار Bitcoin Core بود که می توانست به یک هکر اجازه دهد بیت کوین بیشتری از آنچه که سیستم اجازه می دهد ضرب کند.

مهندسی اجتماعی و سرقت Crypto

مهندسی اجتماعی یکی از بزرگترین تهدیدهای امنیت سایبری است که امروز و آنجا با آن روبرو هستیم. هیچ نشانه ای نیست که در آینده نزدیک اوضاع بهتر خواهد شد زیرا این امر شامل فریب انسان توسط انسان است. سرقت ارز رمزنگاری شده همیشه اتفاق نمی افتد ، زیرا برخی از نابغه ها راهی برای هک کردن بلاکچین و انتقال همه سکه ها به کیف پول دیگری می یافتند. این معمولاً از طریق مهندسی اجتماعی اتفاق می افتد و این مجرمان امرار معاش می کنند تا مردم را فریب دهند تا اطلاعات شخصی ، کلید رمز ارز یا سایر مدارک را ارائه دهند. مجرمان سایبری بازی طولانی را انجام می دهند و سعی می کنند اعتماد خود را با قربانیان خود جلب کنند.

بسیاری از سرمایه گذاران جدید شاهد افزایش بیت کوین یا سایر ارزهای رمزپایه هستند و می خواهند وارد عمل شوند. با افزایش و کاهش قیمت ها ، احساس فوریت وجود دارد و این فرصت مناسبی را برای شکار احساسات یک قربانی بالقوه ایجاد می کند. آنها ممکن است جنبه های فنی نحوه کار بلاکچین را درک نکنند و احمقانه بر این باورند که داشتن ساده ارز رمزنگاری 100٪ ایمن است و جای نگرانی نیست. این فناوری پیچیده و پیشرفته می تواند هدیه و نفرینی برای سرمایه گذاران تازه کار و باتجربه باشد که می توانند با فریب دسترسی کیف پول به یک مجرم سایبری فریب بخورند. معاملات رمزگذاری شده ایمن هستند و از فناوری دفتر توزیع شده استفاده می کنند. خطر افزودن عنصر انسانی و استفاده از مهندسی اجتماعی برای جلب اعتماد قربانی برای ارائه اطلاعات دسترسی به کیف پول است. هنگامی که پول به سرقت رفت ، بازیابی آن بسیار دشوار است. شرکتهای رمزنگاری و بازپرداخت وجوه وجود دارند که ادعا می کنند با نظارت و ردیابی معاملات بیت کوین به قربانیان کلاهبرداری و کلاهبرداری کمک می کنند. مشخص نیست که چقدر طراحی رمزنگاری ناشناس به این شرکت ها داده شده است.

فیشینگ هنوز هم یک مشکل است

در حال حاضر همه ما یک اقدام فیشینگ را تجربه کرده ایم و دلیل اینکه کلاهبرداران هنوز از این روش استفاده می کنند موفقیت آن است . مجرمان ایمیل های جعلی ارسال می کنند و سعی می کنند قربانیان یا مهندسی اجتماعی را فریب دهند تا اعتبارنامه کیف پول خود را به اشتراک بگذارند. بسیاری از کارشناسان توصیه می کنند که ارز رمزنگاری شده را در صورت امکان به صورت آفلاین ذخیره کرده و از رمزگذاری آن اطمینان حاصل کنند. از اطلاعاتی که رد و بدل می کنند استفاده می کند. ممکن است هکرها بتوانند داده های بی درنگ را رهگیری کنند زیرا از طریق ارائه دهنده خدمات اینترنت یا حساب های ایمیل یا سرورهای به خطر افتاده منتقل می شوند. این روشها سالها در حملات دیگر مورد استفاده قرار گرفته است اما در معاملات ارزهای رمزنگاری شده نیز همین روشها اعمال می شود. محققان یک آسیب پذیری را در یک نرم افزار کیف پول رمزنگاری سخت افزاری کشف کردند که به طور بالقوه می توانست به هکرها اجازه دهد آدرس مقصد معاملات ارزهای رمزنگاری شده را تغییر دهند و سپس آن سکه ها را به کیف پول خود منتقل کنند.

روش حمله 51٪

مفهوم این حمله این است که یک گروه می تواند با هم متحد شود و سعی کند بیش از 50٪ از توان استخراج شبکه را کنترل کند. پس از دستیابی به این هدف ، بالقوه می توانند بر دفتر و ضبط بلوک های جدید کنترل داشته باشند. در سال 2018 ، مهاجمان از روش 51٪ سرقت تخمینی 20 میلیون دلار از سکه های کوچکتر مانند Verge ، Monacoin ، Bitcoin Gold و غیره استفاده کردند. این روش موفقیت آمیز بود و دلیل آن ضعف اقدامات امنیتی صرافی ها بود. این روش همچنین نقص بزرگی را در آنچه اغلب به عنوان یک سیستم ضد هک توصیف شده است ، به نمایش می گذارد. خطری برای نحوه کار ارزهای رمزپایه در حال حاضر. هند و چین هر دو اقداماتی علیه استخراج رمزنگاری و سکه انجام داده اند. ایالات متحده همچنین شروع به کاوش در روش های تنظیم ارزهای رمزنگاری شده و الزامات هویتی در معاملات که ماهیت ناشناس ارز رمزنگاری شده را از بین می برد ، کرده است. یک مشاور عالی امنیت سایبری کاخ سفید ادعا می کند که نقش رمزنگاری در حملات باج افزار ، فرار از تحریم ها و تأمین مالی تروریسم به مقررات سختگیرانه تری نیاز دارد. این می تواند شامل از بین بردن کیف پول های غیرقانونی باشد و به قوانین "مشتری خود را بشناسید" مشابه عملکرد بانک ها نیاز دارد. سرانجام ، سازمان امور مالیاتی و سایر مقامات مالیاتی در سراسر جهان مشتاقند سهمی از درآمد یا سود رمزنگاری شده شما را بدست آورند.

Blockchain خوب است اما عالی نیست

در گذشته بسیاری ادعا کرده اند که بلاکچین فناوری "غیرقابل کنترل" است. و این اشتباه است با تغییر فناوری و استفاده مجرمان از روشهای خلاقانه تر برای هک بلاک چین یا کلاهبرداری های دیگر ، شاهد آسیب پذیری های بیشتری هستیم. مشخص نیست که این نقاط ضعف با امنیت بلاکچین چگونه بر آینده دارایی های دیجیتال تأثیر می گذارد. چیزی که همه می توانیم در آن توافق کنیم این است که هکرها همیشه به دنبال نقاط ضعف و ضعف در فناوری بلاکچین هستند.

علاقه زیادی به امنیت بلاکچین و استفاده از هوش مصنوعی برای جلوگیری از هک شدن وجود دارد. هوش مصنوعی می تواند راه حل برای کنترل سریع معاملات یا شناسایی فعالیت های مشکوکی باشد که می تواند نشان دهنده هک بلاکچین در حال انجام باشد. هنگامی که هوش مصنوعی حمله را شناسایی می کند ، می تواند سوئیچ kill local را ایجاد کند یا حمله را منزوی کند.

فناوری Blockchain برای امنیت مورد ستایش قرار گرفته است اما همچنان آسیب پذیر است و راه حل ضد گلوله ای که بسیاری ادعا می کردند نیست. ترکیبی از اشکالات نرم افزاری ، الگوریتم های کدگذاری پیچیده ، کلاهبرداری ها و مهندسی اجتماعی همه بلاکچین ها را در معرض خطر قرار می دهد.