چرا امنیت پروژه های حوزه مالی دیفای ضعیف است؟
علت ضعف امنیت در حوزه مالی دیفای چیست؟
حوزه مالی دیفای بخشی دیگر از پروژه رمزارز دیجیتال برای توسعه دارایی نا متمکز است. که از طریق این بستر سایر فعالیت های مالی به انجام میرسد.
دیفای به عنوان یک حوزه مالی کاربردی برای کاربران ارز های دیجیتال و یک بستر مناسب در زمینه انجام کلیه خدمات بانکی مانند وام و… از بخش هایی است که به سرعت در حال توسعه و تکمیل است. تا هرچه زود تر در دست استفاده قرار گیرد.
با استفاده از این حوزه مالی کاربران میتوانند به راحتی در هر جای دنیا تمام عملیات بانکی خود را در حالت نا متمرکز انجام دهند. از این رو به دلیل بالا بودن تمایل کاربران برای استفاده از این بستر، توسعه سایر ابعاد حوزه مالی دیجیتال بدون هیچ حد و مرز کشوری به انجام خواهد رسید.
با تمام این تفاسیر اقدامات زیادی برای توسعه این بخش مهم از ارز های دیجیتال به انجام رسیده است. تقاضای بالای کاربران شبکه برای انجام فعالیت ها بالا است. و آن ها تمایل بسیاری برای خلاص شدن از شر بانک های واسطه به سبب رفع نیاز های مالی از خود نشان میدهند.
امنیت پروژه های دیفای
در هر حال این پروژه وسیع و تحقق آن گام بزرگی در تکنولوژی به شمار می آید. سوالی که ذهن بسیاری از کاربران را به خود مشغول کرده موضوع امنیت آن است. این که چطور میشود فعالیت های مالی را در بستری نا متمرکز به حالت امن به انجام رسانید؟! چه ضمانتی وجود دارد که افرادی که در این حوزه مالی مشارکت میکنند مال باخته نشوند؟
قدرت هکر ها چقدر است؟ و آن ها تا چه حد میتوانند به پلتفرم ها دسترسی داشته بشند؟ پروژه های دیفای تا چه حد امن است؟ و تا چه حد میتوان از آنها توقع داشت که نسبت به حفظ دارایی کاربران شبکه خود امین اند؟
در این مقاله از سایت جامع فیبودکس بر اساس مطلبی که کوین تلگراف منتشر کرده است به این سوالات پاسخ داده ایم. با ما همراه باشید تا در ادامه به نتایج مورد نظر دست پیدا کنیم.
حوزه ملی دیفای و امنیت آن
علم شناخت کامپیوتر و فعالیت های کامپیوتری تمامی بستر هایی که در وضعیت مجازی ایجاد میشود را نا امن میخواند و برای تمام آن ها راهی برا نفوذ میشناسد. دیفای خود یک پروژه مجازی است و میتواند بر طبق این صحبت نا امن با شمار آید.
شاید مفهوم هک و خطرات آن به درستی در ذهنتان نقش نبسته باشد. اگر بخواهیم این عملیات را به طور کلی و خلاصه عنوان کنیم. در واقع میتوان گفت هک نوعی سوء استفاده از موقعیت ها است. که از آن طریق هکر (کاربر متجاوز) سعی بر سرقت اطلاعات میکند. تا با استفاده از آن ها خود را ثروتمند کند.
هر پروژه کامپیوتری میتواند باگ داشته باشد. و کاربر اگر یک کاربر فاسد باشد از آن سوء استفاده میکند. فرض کنید افرادی در محلی ساکن و مشغول زندگی هستند. به محض رویت کوچک ترین بی احتیاطی از طرف مردم سرقت اتفاق می افتد. مانند باز بود درب یک خانه به مدت یک دقیقه. باز بودن درب یک خودرو به مدت چند ثانیه و یا اتفاقاتی از این دست.
شبکه مجازی به همان اندازه که جامعه وسیعی در تعداد کاربران خود دارد. میتواند نا امن به حساب آید. و با هر بی احتیاطی و یا باگ کوچک میتواند شبکه از امنیت خارج و مورد حمله قرار گیرد.
در ادامه سعی میکنیم که انواع هک هایی که در بستر مالی دیفای رخ داده را بررسی کنیم تا با استفاده از تحلیل محور های اصلی و آسیب پذر اآن را بهتر بشناسیم. با ما همراه باشید.
حجم دارایی سرقت شده از حوزه مالی دیفای
داده های آماری این بخش نشان میدهد که با مروری بر سه سال گذشته، حجم دارایی به اشتراک گذاشته شده در این بخش 800 میلیون دلار است. که خود حاکی از روند سریع رشد این بخش و تقاضای کاربران است که به حمایت از این بخش از پروژه منجر میشود.
در این چارت به حالت خلاصه دارایی سیو شده برای انجام فعالیت های حوزه مالی دیفای قابل رویت است.
تاریخ | حجم دارایی |
فوریه 2021 | 40 میلیارد دلار |
آوریل 2021 | 80 میلیارد دلار |
نوامبر 2021 | 140 میلیار دلار |
همان طور که در چارت بالا مشاهده میکنید روند دیفای رو به پیشرفت است. و با گذشت زمان حجم دارایی هایی که در این بخش سرمایه گذاری شده است با گذشت زمان بالا میرود.
از آن جا که پروتکل دیفای یک شبکه نو پا است. و حجم دارایی های این بخش اعداد بزرگ است. انگیزه لازم برای رسد کردن و جست و جوی منافذ برای نفوذ هکر ها به مراتب بالا است. تا بتوانند از تازه کار بودن پلتفرم و مشاهده باگ در سیستم استفاده کنند و ثروت کلانی را از آن خود کنند.
از طرفی دیگر خود پروزه هایی که مبتنی بر بلاک چین است. به دلیل عدم اهراز هویت که در این بخش وجود دارد. و ناشناس بودن تراکنش ها بهترین برای سود جویان مجازی باشد.
پس با این تفاسیر انتظار میرود که گروهک های مختلف در حال آنالیز و تحلیل دیتا ها برای کشف فرصت مناسب باشند. تا از بستر ایجاد شده اهداف خود را پی ببرند.
از گزارش هایی که شرکت مساری ارسال کرده است. سابقه اولین هک در پروتکل دیفای به سال 2019 بر میگردد. و نتیجه این حمله به سرقت رفتن داریی به اندازه 284.9 میلیون دلار بود.
پس از آن در اوایل سال 2021 نیز دیفای مورد تجاوز هکر ها قرار گرفت و تقریبا 240 میلیون دلار از دست رفت. این موضوع مجددا در عملکرد دیفای اختلال ایجاد کرد و بستر این حوزه مالی را تا حد بالایی بد سابقه نمایش داد.
چرا امنیت پروژه های دیفای ضعیف است؟علت سست بودن پلتفرم ها چیست؟
حال در این بخش به جست و جوی این سوال میرویم که هکر ها چگونه به پروژه های دیفای حمله میکنند و دارایی ها را به سرقت میبرند؟
با بررسی و تحلیل حملات هکری که در این فضا اتفاق افتاده است تا حدی ضعف پلتفرم نمایان میشود. علاوه بر آن برخی از شیوه و سیاست کاری این دست از متخلفین آشکار میشود.
حملات سایبری حوزه مالی دیفای
این دست از حملات به سه بخش کلی دسته بندی میشوند.
- ضعف مدیریت در تیم توسعه دهنده
- ضعف در اصول برنامه نویسی
- به کار گیری بد از پروتکل های میانجی در اصول کسب و کار
در ادامه به بررسی هر یک به حالت جداگانه خواهیم پرداخت.
به کار گیری بد از پروتکل های میانجی در اصول کسب و کار
از فعالیت محاجمان پیدا است که تسلط زیادی در بخش برنامه نویسی رایانه و قراردادهای هوشمند دارند. چون اقدامات خود را در مدت زمان بسیار کوتاهی به انجام رسانده اند.
هکر برای نفوذ به شبکه از متن باز بودن پروزه ها سوء استفاده کرده و داده های را ثبت و آنالیز میکنند. تا بتوانند از آن ها به هدف تعیین مسیر حمله استفاده کنند.
اغلب آنها برای انجام فعالیتشان یک نسخه کامل از بلاک چین را دانلود کرده اند. و مبانی نفوذ به شبکه را بسیار شبه به یک تراکنش ساده و معمولی میچینند.
از دیگر بخش هایی که به عنوان ابزار در دست هکر ها قرار میگیرد تشخیص باگ هایی در الگوریتم ریاضی و اصول کسب و کار و همچنین سرویس های واسطه است که در خلال این دو بخش در خدمت هکر ها قرار میگیرد.
این واسطه ها معمولا اوراکل ها هستند که توسعه دهندگان ناچار به استفاده از آن ها به سبب رفع کارکرد سرویس ها هستند. که این موضوع ریسک کار را بالا برده و شرایط را برای هکر ها بهبود میدهد.
با نگاهی به گزارشات هک های حوزه مالی کریپتوکارنسی ده درصد از داده ها مبنی بر هک دیفای در سال 2020 به دلیل نفوذ از این بخش درون پلتفرم بوده است. که منجر به از دست رفتن 50 میلیون دلار شد.
ضعف در اصول برنامه نویسی
ارز های دیجیتال و قرار دادهای هوشمند و فناوری بلاک چین از فناوری های نوین میباشد که هم اکنون در دست توسعه است. زبان برنامه نویسی آن ها به طور فریبنده ساده به نظر میرسد. اما پارادایم توسعه ای آن ها کاملا متفاوت است.
این موضوع میتواند تبدیل به نقاط ضعف در تخصص برنامه نویسان طرح تبدیل شود. و عاملی باشد که باعث رخداد اشتباهات به ظاهر کوچک اما بزرگ در یک پلتفرم مهم شود. و در بد ترین حالت تبدیل به کلیدی برای هکر ها برای باز کردن قفل ورود به پلتفرم شود.
بخش امنیت پلتفرم که وظیفه کنترل و جست و جو را بر عهدا دارد نیز تا حد امکان به آنالیز میپردازند. اما هرچقدر هم که دقت کار بالا باشد باز هم به صد در صد نمیرسد.
حساب رسی های امنیت هم مهم است اما بخشی از ریسک برنامه نویسی شبکه را در دست دارد. و در ادامه نیز آن ها در تعهد کاری شان مسئولیتی به سببد رخداد مشکل بر عهده نمیگیرند. و بیشتر خواهان دریافت منافع مالی خود از پلتفرم اند.
اطلاعات ثبت شده از حمله هکر ها که مربوط به ضعف این بخش است راوی تعدادی بالای 100 شرکت فعال در حوزه مالی دیفای که به دام هکر ها افتاده اند و در نهایت امر از دست رفتن 500 میلیون دلار از شبکه را به همراه داشته است.
ضعف مدیریت در تیم توسعه
از مهم ترین رسیک هایی که بسیار خطر آفرین است خطای انسانی است. بخش دیفای به دلیل کشش مالی زیادی که در زمینه سود رسانی به توسعه دهندگان دارد آن ها را ترغیب به تعجیل در انجام فرایند و کوتاه کردن روند میکند.
این کار خطا را به طبع بالا میبرد و موجب باز شدن بستر ها برا ی هکر ها میشود. همان طور که در بخش قبل توضیح دادیم برنامه نویسان این حوزه هرچقدر هم که خبره باشند اما تجربه کافی در توسعه را ندارند. و با بالا رفتن فشار از سمت مدیریت به همان میزان ریسک پلتفرم هم بالا میرود و در ادامه میتوان هر خطا را یک مسیر برای ورود دزدان سایبری تصور کرد.
برای یک پلتفرم که تابع قرارداد های هوشمند است. و همه چیز در وضعیت متن باز برای همه دسته از کاربران قابل مشاهده است. وجود این قابلیت برای هکر ها دسترسی کپی و ایجاد نسخه هایی که در بسیاری از ابعاد شبیه پرژه های اصل است فراهم میشود.
RFI SafeMoon یکی از مواردی است که بستری مناسب برای هکر ها در پلتفرم خود داشت. که در نهایت هکر ها با استفاده از فرصت ایجاد شده 2 میلیارد دلار را از شبکه خارج و از آن خود کردند.
وام ها و بستر های کلاه برداری
Flash loans اصطلاحی است که در پروتکل دیفای به “وام پرسرعت” معروف است. ساختار انتقال پول در این بخش به این شکل است که هر کاربری که از شبکه وام میگیرد در همان تراکنش باید پرداخت را انجام و به اصطلاح وام را تسویه کند.
این تبادل مالی در میان دو شخص به صورت مستقیم در حال انجام است. در مرحله اول شخص سرمایه دار وام را به سرمایه پذیر پرداخت کرده و در مرحله دوم سرمایه پذیر باید دارایی را در تراکنش دیگر برگرداند.
حال اگر شخص ثالت(وام گسرنده یا سرمایه پذیر) تراکنش دوم را انجام ندهد کل تراکنش لغو شده. و شخص ثالث دارایی را به جیب میزند.
نقش هکر ها در وام های حوزه مالی دیفای
هکر ها در این بخش سعی بر دستکاری ارزش ارز دیجیتال میکنند. و مهاجمان در گام نخست مبلغ بالایی از شبکه وام میگیرند. سپس تلاش میکنند تا در سریع ترین زمان ممکن آن را با دارایی دیگری معاوضه کنند.
این جابه جایی در پروتکل باعث تغییر ارزش آن ارز و کاهش نرخ آن میشود. و مجدد توکن مورد نظر را در قیمت پایین تر معامله میکنند. و از این روش کلی پول به جیب میزنند.
حمله ماینری
این مدل حمله به پروژه های حوزه مالی دیفای از سمت ماینر ها رخ میدهد. در گام نخست ماینر محاجم با در دست داشتن توان پردازشی مورد نیاز برای استخراج ارز یک بلاک مخصوص ایجاد میکند. تا بتواند بخش تراکنش های منحصر به فرد خود را در داخل آن به انجام برساند.
ماینر های محاجم درون بلاک اختصاصی خود مبلغی را از پلتفرم وام میگیرند. در گام بعدی قیمت دارایی ها را تغییر و به مبلغ دلخواه خود ثبت میکنند. بعد از آن توکن ها را به شبکه باز میگردانند. و تسویه حساب انجام میدهند. این حمله به نام حمله اتمی شناخته شده است.
تا کنون تعدادی بالای صد پروژه مرتبط با حوزه مالی دیفای در این دام افتاده اند و 1 میلیارد دلار به شبکه خسارت وارد شده است.
در نهایت:
تاکنون بخش قابل ملاحظه ای از دارایی های در حوزه مالی دیفای در دست هکر ها و دزدان سایبری قرار گرفته است با مشاهده تاریخچه عملکرد آنها از آغاز سال 2020 در هر باز وقوع حمله صد ها هزار دلار از شبکه خارج و در دست سارقان افتاده است.
این فعالیت مجرمانه ادامه پیدا کرد. به طوری که در پایان همان سال در هر بار وقوع حمله سایبری حجم دارایی ده میلیون دلاری به سرقت رفت.
با وجود مزایای بسیاری که در پلتفرم دیفای وجود دارد. اما واقعیت انکار ناپذیر امنیت پایین پروتکل ها است. که حجم بالایی از نقدینگی شبکه به سرقت میرود.
امید است که با افزایش تجربه کاربری این بخش مالی نیز پر و بال بگیرد. و به عنوان یک راه امن برای به انجام رساندن دسته ای دیگر از تراکنش های مالی به سبب حذف واسطه های بانکی در تمام دنیا تحقق پیدا کند.
مطالب بیشتر
اوراکل چیست؟ چگونه اوراکل میتواند به اجرا شدن قرارداد های هوشمند کمک کند؟
قرارداد هوشمند Smart contract چیست؟ کاربردهای اصلی آن
600 میلیون دلار به دست هکر ها سرقت شد! یکی از بزرگ ترین حملات دیفای!
دیفای DeFi چیست؟ بررسی مزایای انجام امور مالی غیر متمرکز
بازار ارز دیجیتال و امنیت – چگونه امنیت ارزهای دیجیتال خود را تامین کنیم؟