دیفای با ظهور گسترش ارزهای دیجیتال شهرت یافت. اساس ساز و کار انواع خدمات در صرافی های دیجیتال و دیگر بخش های کریپتو با امنیت دیفای امکان پذیر است. به طور مثال پرداخت کارمزد صرافی بایننس از طریق توکن بایننس و ساز و کار دیفای ممکن شده است. وام دهی و قرض و سود در دیفای نیز با کارپردازی و اعتماد به دیفای مقدور است.در بسیاری از موارد مشارکت جمعی و حاکمیت رای افراد و مشوق ها در دیفای باعث توسعه صنعت دیفای می شود. در نسل جدید ساز و کار های دیفای، امکان توسعه و مشارکت افراد بیشتر شده است. این شراکت در پروژه ها از تولید آلت کوین ها تا نظارت بر توکن سوزی ها و یا سودگیری با اثبات سهام همه با امنیت دیفای ممکن شده اند. هر میزان حجم نودها انباشته تر شده و دیفای گسترده تر شود، اهمیت امنیت دیفای نیز بیشتر می شود. دیفای متن باز است و حتی خطای آماتورها نیز ممکن است به کل دیفای صدمه بزند؛ این جدای از برنامه های سازمان یافته هک در دیفای است. اگر امنیتی در دیفای نباشد، دنیای دیفای از پایه پرخطر تر می شود. در ادامه از مقاله ای که به طور خاص به امنیت دیفای و نحوه هک آن می پردازد؛کمک می گیریم.
هک دیفای به سه طریق عمده انجام شده است؛ این نتیجه آنالیز هک هایی است که تاکنون به ثبت رسیده است
با تجزیه و تحلیل جامعه آماری مناسب، میزان آسیب پذیری هک دیفای مشخص می شود. دیفای از لحاظ حجم و ترنور مالی نیز با سرعت زیادی در حال رشد است. سه سال پیش ارزش این مارکت تنها هشتصد میلیون دلار بود و در فوریه 2021ارزش قطعی انباشته در دیفای به چهل میلیارد دلار رسید. در میانه سال 2021 ارزش دو برابری پیدا کرد. اکنون ارزش انباشته شده بازار دیفای بالای 140 میلیارد دلار است(برای سنجش بهتر با بودجه کشوری مقایسه کنید). این حجم انباشت سرمایه در دیفای، نظر بسیاری از هکر ها را به خود جلب می کند. این میزان سرمایه به صورت دیفای تاکنون وجود نداشته است. دیفای با امکان مشارکت در توسعه طرح و یا پذیره نویسی های اولیه توکن و بسیاری از راه هایی که در دیفای با منبع باز فعال است، هکر ها می توانند با آزمون و خطا پیش بروند. هکر ها در دیفای می توانند میزان ریسک و سود هک کردن را هم بسنجند.
شرکت تحقیقاتی کریپتو میزان سرقت ها از طریق هک را حدود 284 میلیون دلار برآورد می کند. اکوسیستم بلاکچین ناشناس بودن طرفین قرارداد ها برای سازوکار خود ایجاد کرده است. هر میزان که این اکوسیستم دارای مزیت است از آمار رسمی خسارات ناشی از هک نمی توان چشم پوشی کرد. در چهار ماه اول سال 2021 حدود 240میلیون دلار خسارات ناشی از هک گزارش شده است. این ارقام مربوط به گزارش های رسمی است. برآورد میزان واقعی خسارت ها بالای چند میلیارد دلار است.(یکی از مواردی که جزء هک به حساب نیامد، اتریوم کلاسیک و اتریوم است.کافی است تاریخچه این رویداد را مطالعه کنید)
هکر ها از چه منافذ یا ضعف هایی در دیفای برای سرقت استفاده می کنند
هر چند از لحاظ حجم سرقت هکری درجه سه را دارد ولی هکر ها در این نوع نفوذ به بنیان دیفای نفوذ می کنند. این دلیل اهمیت این نوع از هک را بالا می برد. هکر ها مانند سارقان سنتی ابتدا وضعیت محل و نقشه راه را تجزیه و تحلیل می کنند. بر اساس دیفای و خصوصا نسخه های نوین آن، قرار داد های هوشمند جایگزین شخص ثالث شده است. ساختار قرارداد های هوشمند و پروتکل های آن نیز منبع باز است. هکر ها یا هر فرد دیگری با نیت درست ، امکان دانلود برنامه ها را دارد. هکر ها امکان شبیه سازی یک پروتکل را شبیه آنچه بنیان یکی از ارزهای دیجیتال است را دارند.
این طبیعتا به دانش برنامه نویسی نیاز دارد. دسترسی به آموختن دانش برنامه نویسی زمانی سخت بود. با دیفای نسخه های آسان و کاربردی تر از قرارداد های هوشمند برای جلب مشارکت جمعی و اعمال حق رای افراد منتشر می شود. مورالیس نمونه ای از برنامه هایی است که اتریوم آن را آموزش می دهد. مانند این نوع میان افزار ها در دیفای بسیار است. هکر ها بعد از شبیه سازی اقدام به فیشینگ می کنند. در مواردی که کار هکر ها تیمی باشد و پروژه سرقت بزرگ تری را طرح ریزی کرده باشند، تعداد زیادی را در دیفای قربانی می کنند. اوراکل های زیادی هستند که به عنوان میان افزار برای طراحی و تائید پذیر شدن تراکنش مورد استفاده قرار می گیرند. این ابزار ها لبه برنده دوسویه ای دارند. طبق آمار ده درصد از کل مجموع سرقت از دیفای در سال 2020 به این نوع سرقت به میزان 50 میلیون دلار صورت گرفته است.
قرارداد های هوشمند و ماشین هوشمند جهانی و..مفاهیم جدیدی هستند. به سرعت نیز در حال گسترش و خلق ایده های جدید در این حوزه هستیم. دانش کم در برنامه نویسی برای این نوع از سامانه ها، راهی برای نفوذ هکر ها باز می گذارد. آموزش کم تنها یکی از دلایل است. سهل انگاری نیز عامل مهمی در اشتباهات در کد نویسی قرارداد های دیفای است. تعاریف عمومی از قرارداد های هوشمند با داشتن درک عمیق و توان برنامه نویسی حرفه ای با آن فاصله زیادی دارد. اشتباهات ریشه ای در بعضی کد نویسی ها مشاهده می شود.
حسابرسی های موجود هم تمام خطر نفوذ را پوشش نمی دهند. جذابیت مالی پروژه های دیفای بر امنیت آن ها برتری دارد. هکر ها از این فرصت نیز استفاده می کنند.
نتایج آماری نشان می دهد بیش از 100 پروژه دیفای هک شده اند. به دلیل خطا در کد نویسی 500 میلیون دلار به کاربران خسارت وارد شده است.
یکی از مثال های مشهور این نوع هک، هک dForce است كه هكر ها با استفاده از آسیب پذیری استاندارد ERC-777 با نفوذ از درگاه قابل رفت و برگشت 25 میلیون دلار سرقت کردند
در قرارداد های هوشمند ضامن صحت صورت قرارداد هستند و محتوای قرارداد بررسی نمی شود. این نقطه محلی است که هکر ها بدون دانش برنامه نویسی اقدام به اختلاس کنند.
وام های سریع بدون وثیقه هستند. امکان وقوع اختلاس در وام های سریع در تراکنش ها نیز به محتوای قرارداد مرتبط است. روند اختلاس هم با توجه به بازار بسیار پرنوسان ارزهای کریپتو با وام های سریع ممکن است. هکر ابتدا وارد تراکنش می شود، از وام سریع استفاده می کند و مقدار زیادی از توکنی را خریداری می کند؛ با تاثیر بر حجم کل مارکت توکن، قیمت افت می کند. در این حالت می تواند از روش های مختلفی می تواند اختلاس کند. بازه زمانی این اقدام اغلب بسیار کوتاه است(گاهی کل کاربران تصور می کنند، یکی از نهنگ های بازار کریپتو اقدام به خرید کرده است)
حمله ماینری مشابه حمله وام فلش به بلاک چین است که بر اساس الگوریتم اجماع اثبات کار عمل می کند. این نوع حمله پیچیده تر و گران تر است، اما می تواند برخی از لایه های حفاظتی وام های فلش را دور بزند. مهاجم ظرفیت های ماینینگ را اجاره می کند و بلوکی را تشکیل می دهد که فقط شامل تراکنش های مورد نیاز خود است. در بلوک داده شده، ابتدا توکن ها را قرض و قیمت ها دست کاری می شود و سپس توکن های قرض گرفته شده را برگشت داده می شود. از آنجایی که هکر دیفای تراکنشهایی را که بهطور بلوکی حمله و سرقت انجام می دهد( هک در واقع اتمی است چون هیچ تراکنش دیگری اجازه ورد به بلوک مورد نظر را ندارد)
هک کردن از این طریق به بیش از صد پروژه دیفای صدمه زده که مجموعاً حدود یک میلیارد دلار زیان در برداشته است.
میانگین تعداد هک ها در حال افزایش است. در ابتدای سال 2020، یک سرقت صدها هزار دلاری بود و میانگین آن تا پایان سال، به ده ها میلیون دلار افزایش یافت.(عموما در مورد جزئیات هک توضیح داده نمی شود تا جنبه آموزشی نیابد)
خطرناک ترین نوع ریسک در دیفای ، اشتباهات انسانی است. افراد زیادی برای به دست آوردن دارایی و یا افزایش آن به دیفای رو می آوردند. روش اثبات سهام یکی از راه های درامد زا در دیفای است که نسبت به اثبات کار، سرمایه اولیه کمتری می خواهد اما دانش و حوصله بیشتری نیاز دارد.
یکی معضلات حضور افراد عجولی است که دانش کمی نیز در جنبه های مختلف دیفای دارند. این افراد طعمه های راحتی برای هکر هایی هستند که از یکی از روش های مرسوم هک در دیفای، وارد توسعه کپی یک پروژه تله می شوند و دیگران را هم تشویق می کنند.
خطاهای معمولی در توسعه پروژه های دیفای با روش هایی مانند مشوق برای عیب یاب ها قابل رفع است. اما شرکت و توسعه یک تله هکری، ناشی گری است.
RFI سيف مون نمونه مناسبي است. اين پروژه با آسیب پذیری پایه ای ، باعث ایجاد بیش از صد پروژه مشابه خود شده و احتمالا خسارتی بیش از دو میلیارد دلار به بار می آورد.
شبکه بلاک چین و در داخل آن اتریوم با ایده ماشین هوشمند غیر قابل نابودی ایجاد شدند. هک آن ها نیز تقریبا ممکن نیست. اما توسعه دیفای پلتفرم های زیادی را ایجاد کرده است. زنجیره های هوشمند زیادی با منابع باز و توکن های اختصاصی در حال رقابت هستند.
ذات بازار کریپتو پرریسک است و حتی اگر پروژه ای بعد از هک قبول مسئولیت کند، باز ممکن است خیلی برای کاربران دیر باشد.
بازار دیفای برای امنیت به دو چیز نیاز دارد.
· تقویت و گسترش صنعت بیمه دیفای
· رده بندی و صلاحیت دهی اولیه برای پروژه های توسعه
این موارد هیچ چیزی از امکانات و مزیت های امور مالی غیر متمرکز نمی کاهد بلکه به اعتبار آن می افزاید.
