فناوری بلاک چین ساختاری از داده ها را با کیفیت های امنیتی ذاتی تولید می کند. این کار بر اساس اصول رمزنگاری، تمرکززدایی و اجماع است که اعتماد در تراکنش ها را تضمین می کند. در این مطلب در خصوص امنیت بلاک چین صحبت می کنیم، اما قبل از پرداختن به موضوع امنیت بلاک چین بهتر است مروری بر مفهوم بلاک چین و نحوه کارکرد آن داشته باشیم. در ادامه به موضوع امنیت بلاک چین در انواع بلاک چین های عمومی و خصوصی و همچنین حملات سایبری و کلاهبرداری ها در بلاک چین می پردازیم.
بلاک چین چیست؟
بلاک چین فناوری است که به کاربران و سازمانها اجازه میدهد تا دادهها را با بلوکهای توزیع شده ساختار یافته موجود در شبکه بلاک چین ذخیره و پردازش کنند. هر بلوک جدید یک تراکنش یا بستهای از تراکنشها را ذخیره میکند که در قالب یک زنجیره رمزنگاری به تمام بلوکهای موجود قبلی متصل است.
در بیشتر زنجیرههای بلوکی یا فناوریهای دفتر کل توزیعشده (DLT)، دادهها به صورت بلوکهایی ساختار یافتهاند و هر بلوک شامل یک تراکنش یا بستهای از تراکنشها است. هر بلوک جدید به همه بلوک های قبل از خود در یک زنجیره رمزنگاری به گونه ای متصل می شود که دستکاری در آن تقریباً غیرممکن است. تمام تراکنشهای درون بلوکها توسط یک مکانیسم اجماع تأیید شده و مورد توافق قرار میگیرند و از صحت و درستی هر تراکنش اطمینان میدهند.
فناوری بلاک چین از طریق مشارکت اعضا در یک شبکه توزیع شده، تمرکززدایی را ممکن می کند. هیچ نقطه شکست واحدی وجود ندارد و یک کاربر نمی تواند رکورد تراکنش ها را تغییر دهد. با این حال، این فناوریها در موضوع امنیت بلاک چین و برخی جنبههای امنیتی حیاتی متفاوت هستند.
بلاک چین چگونه کار می کند؟
نمی توان در مورد امنیت بلاک چین صحبت کرد قبل از اینکه با نحوه کار آن آشنا نشد. بلاک چین به عنوان یک شبکه توزیع شده عمل می کند که امکان تمرکززدایی داده ها را فراهم می کند که باعث می شود فناوری امن تر بوده و سخت تر دستکاری شود.
این یک شبکه دفتر کل غیرمتمرکز است که به سازمان ها اجازه می دهد از طریق گره هایی برای ذخیره سازی و پردازش داده ها به آن متصل شوند. دادههای ذخیرهشده در بلوکها را میتوان با تأیید، اعتبارسنجی و اجماع توسط نهاد اصلی که میخواهد دادهها را ذخیره یا پردازش کند، قابل دسترسی است.
در تصویر بالا، همانطور که مشاهده می کنید، هر زمان که کاربر با استفاده از یک برنامه مبتنی بر بلاک چین، تراکنشی را درخواست کند، یک بلوک مربوطه در شبکه بلاک چین برای ذخیره داده های آن تراکنش ایجاد می شود. سپس آن بلوک به هر گره در شبکه همتا به همتای توزیع شده ارسال می شود که تراکنش را بیشتر تایید می کند. پس از اعتبارسنجی، گره های شبکه برای اثبات کار (که توافقی بین گره های مختلف است که به عنوان اجماع توزیع شده نیز شناخته می شود) پاداش دریافت می کنند. سپس، بلوک به بلاک چین موجود اضافه می شود و کاربر یک تراکنش موفق را دریافت می کند.
دلیل اینکه بلاک چین این همه مورد تحسین قرار گرفته است این است که:
- این چیزی جز ادعای یک نهاد واحد است، بنابراین غیرمتمرکز است
- بلاک چین داده ها را به صورت رمزنگاری ذخیره می کند
- دستکاری داده ها در بلاک چین تقریبا غیرممکن است
- بلاک چین شفاف است که آن را غیرقابل ردیابی می کند
چگونه امنیت بر اساس انواع بلاک چین متفاوت است؟
شبکههای بلاک چین میتوانند در این که چه کسی میتواند مشارکت کند و چه کسی به دادهها دسترسی دارد، متفاوت باشد. شبکهها معمولاً بهعنوان عمومی یا خصوصی نامیده میشوند که نشان میدهد چه کسانی مجاز به مشارکت هستند و دارای مجوز یا بدون مجوز که نحوه دسترسی مشارکت کنندگان به شبکه را توضیح میدهد و این امنیت بلاک چین بر اساس بلاک چین های عمومی و خصوصی متفاوت خواهد بود.
بلاک چین های عمومی و خصوصی
شبکههای بلاک چین عمومی معمولاً به هر کسی اجازه میدهند به آن بپیوندند و شرکتکنندگان ناشناس بمانند. یک بلاک چین عمومی از رایانه های متصل به اینترنت برای تأیید تراکنش ها و دستیابی به اجماع استفاده می کند. بیتکوین احتمالاً شناختهشدهترین نمونه از بلاک چین عمومی است و از طریق استخراج بیتکوین به اجماع میرسد. رایانه های موجود در شبکه بیت کوین یا «ماینرها» سعی می کنند یک مشکل رمزنگاری پیچیده را حل کنند تا اثبات کار را ایجاد کنند و در نتیجه تراکنش را تأیید کنند. خارج از کلیدهای عمومی، کنترل های هویت و دسترسی کمی در این نوع شبکه وجود دارد.
بلاک چینهای خصوصی از هویت برای تأیید عضویت و دسترسی به امتیازات استفاده میکنند و معمولاً فقط به سازمانهای شناخته شده اجازه عضویت میدهند. این سازمان ها با هم یک «شبکه تجاری» خصوصی و فقط برای اعضا تشکیل می دهند. یک بلاک چین خصوصی در یک شبکه مجاز از طریق فرآیندی به نام «تأیید انتخابی» به اجماع می رسد، جایی که کاربران شناخته شده تراکنش ها را تأیید می کنند. فقط اعضای دارای دسترسی و مجوزهای ویژه می توانند دفتر کل معاملات را حفظ کنند. این نوع شبکه به کنترل های هویت و دسترسی بیشتری نیاز دارد.
هنگام ساخت یک برنامه بلاک چین، ارزیابی اینکه کدام نوع شبکه به بهترین وجه با اهداف تجاری شما مطابقت دارد بسیار مهم است. شبکه های خصوصی و مجاز را می توان به شدت کنترل کرد و به دلایل انطباق و مقرراتی ترجیح داد. با این حال، شبکه های عمومی و بدون مجوز می توانند به تمرکززدایی و توزیع بیشتری دست یابند.
برای کسب اطلاعاتی در زمینه آموزش ارز دیجیتال، بر روی لینک کلیک کنید.
- بلاک چین های عمومی، عمومی هستند و هر کسی می تواند به آنها بپیوندد و تراکنش ها را تایید کند.
- بلاک چین های خصوصی محدود شده و معمولاً به شبکه های تجاری محدود می شوند. یک نهاد واحد یا کنسرسیوم، عضویت را کنترل می کند.
- بلاک چین های بدون مجوز هیچ محدودیتی برای پردازنده ها ندارند.
- بلاک چین های مجاز به مجموعهای از کاربران محدود میشوند که با استفاده از گواهی ها، هویت خود را دریافت می کنند.
حملات سایبری و کلاهبرداری
در حالی که فناوری بلاک چین یک دفتر کل تراکنش های ضد دستکاری ایجاد می کند، شبکه های بلاک چین از حملات سایبری و کلاهبرداری مصون نیستند. کسانی که نیت بد دارند می توانند آسیب پذیری های شناخته شده در زیرساخت بلاک چین را دستکاری کنند و در طول سال ها در هک ها و کلاهبرداری های مختلف موفق بوده و امنیت بلاک چین را به مخاطره انداخته اند. در اینجا چند نمونه آورده شده است:
بهره برداری از کد
سازمان غیرمتمرکز خودمختار (DAO)، یک صندوق سرمایه گذاری خطرپذیر که از طریق یک بلاک چین غیرمتمرکز با الهام از بیت کوین فعالیت می کند، بیش از 60 میلیون دلار ارز دیجیتال اتر، (حدود یک سوم ارزش آن)، از طریق بهره برداری از کد به سرقت رفت.
کلیدهای دزدیده شده
سرقت نزدیک به 73 میلیون دلار بیت کوین مشتریان از یکی از بزرگترین صرافی های ارزهای دیجیتال جهان، Bitfinex مستقر در هنگ کنگ، نشان داد که این ارز همچنان یک ریسک بزرگ است. دلیل احتمالی دزدیده شدن کلیدهای خصوصی بود که امضای دیجیتال شخصی است.
هک شدن کامپیوتر کارمند
هنگامی که Bithumb، یکی از بزرگترین صرافیهای ارزهای دیجیتال اتریوم و بیتکوین، اخیرا هک شد، هکرها اطلاعات 30,000 کاربر را به خطر انداختند و 870,000 دلار بیتکوین را سرقت کردند. حتی اگر کامپیوتر یک کارمند هک شد (نه سرورهای اصلی) این رویداد سوالاتی را در مورد امنیت کلی ایجاد کرد.
چگونه کلاهبرداران به فناوری بلاک چین حمله می کنند؟
هکرها و کلاهبرداران به چهار روش اصلی امنیت بلاک چین ها را تهدید می کنند: فیشینگ، مسیریابی (Routing attacks)، Sybil و حملات 51 درصدی.
حملات فیشینگ
فیشینگ یک تلاش کلاهبرداری برای دستیابی به اعتبار یک کاربر است. کلاهبرداران ایمیل هایی را برای صاحبان کلید کیف پول ارسال می کنند که به گونه ای طراحی شده اند که انگار از یک منبع قانونی می آیند. ایمیل ها با استفاده از هایپرلینک های جعلی از کاربران می خواهند اعتبار خود را دریافت کنند. دسترسی به اعتبار کاربر و سایر اطلاعات حساس می تواند منجر به ضرر برای کاربر و شبکه بلاک چین شود.
حملات مسیریابی (Routing attacks)
بلاک چینها به انتقال دادههای بزرگ و بیدرنگ متکی هستند. هکرها می توانند داده ها را هنگام انتقال به ارائه دهندگان خدمات اینترنتی رهگیری کنند. در حمله مسیریابی، شرکت کنندگان در بلاک چین معمولاً نمی توانند تهدید را ببینند، بنابراین همه چیز عادی به نظر می رسد. با این حال، در پشت صحنه، کلاهبرداران داده ها یا ارزهای محرمانه را استخراج کرده اند.
حمله Sybil
در یک حمله Sybil، هکرها بسیاری از هویت های شبکه جعلی را ایجاد کرده و از آنها برای کرش کردن شبکه و خراب کردن سیستم استفاده می کنند. سیبیل به یک شخصیت مشهور در کتابی اشاره دارد که مبتلا به اختلال هویت چندگانه است.
حملات 51 درصدی
استخراج به مقدار زیادی از قدرت محاسباتی، به ویژه برای بلاک چین های عمومی در مقیاس بزرگ، نیاز دارد اما اگر یک ماینر یا گروهی از ماینرها بتوانند منابع کافی را جمع آوری کنند، می توانند بیش از 50 درصد از قدرت استخراج شبکه بلاک چین را به دست آورند. داشتن بیش از 50 درصد قدرت به معنای کنترل بر دفتر کل و توانایی دستکاری آن است.
توجه: بلاک چین های خصوصی در برابر حملات 51 درصدی آسیب پذیر نیستند.
در دنیای دیجیتال امروزی ضروری است که اقداماتی را برای تضمین امنیت طراحی و محیط بلاک چین خود انجام دهید.
امنیت بلاک چین برای شرکت
هنگام ساخت یک برنامه بلاک چین سازمانی، مهم است که امنیت در تمام لایههای فناوری و نحوه مدیریت حاکمیت و مجوزهای شبکه را در نظر بگیرید. یک استراتژی امنیتی جامع برای راهحل بلاک چین سازمانی شامل استفاده از کنترلهای امنیتی سنتی و کنترلهای منحصر به فرد فناوری است. برخی از کنترل های امنیتی ویژه راه حل های بلاک چین سازمانی عبارتند از:
- مدیریت هویت و دسترسی
- مدیریت کلیدی
- حریم خصوصی داده ها
- ارتباط امن
- امنیت قرارداد هوشمند
- تایید معامله
از کارشناسانی استفاده کنید تا به شما در طراحی راه حلی سازگار و مطمئن و دستیابی به اهداف تجاری خود کمک کنند. به دنبال یک پلتفرم درجه تولید برای ساخت راه حل های بلاک چین باشید که میتواند در محیط فناوری مورد نظر شما، چه در محل یا فروشنده ابری مورد نظر شما، مستقر شود.
نکات و بهترین روش های امنیت بلاک چین
هنگام طراحی راه حل بلاک چین و برای رسیدن به امنیت بلاک چین، این سوالات کلیدی را در نظر بگیرید:
- مدل حاکمیتی برای سازمان ها یا اعضای شرکت کننده چیست؟
- چه داده هایی در هر بلوک گرفته می شود؟
- الزامات نظارتی مربوطه چیست و چگونه می توان آنها را برآورده کرد؟
- جزئیات هویت چگونه مدیریت می شود؟ آیا محموله های بلاک رمزگذاری شده اند؟ کلیدها چگونه مدیریت و باطل می شوند؟
- طرح بازیابی حوادث برای شرکت کنندگان در بلاک چین چیست؟
- حداقل وضعیت امنیتی برای مشتریان بلاک چین برای مشارکت چیست؟
- منطق حل برخوردهای بلوک بلاک چین چیست؟
هنگام ایجاد یک بلاک چین خصوصی، اطمینان حاصل کنید که در زیرساخت ایمن و انعطاف پذیر مستقر شده است. انتخابهای ضعیف فناوری زیربنایی برای نیازها و فرآیندهای تجاری میتواند منجر به خطرات امنیتی دادهها از طریق آسیبپذیریهای آنها شود.
ریسک های کسب و کار و حاکمیت را در نظر بگیرید. ریسکهای تجاری شامل پیامدهای مالی، عوامل شهرت و ریسکهای انطباق است. ریسکهای حاکمیتی عمدتاً از ماهیت غیرمتمرکز راهحلهای بلاک چین ناشی میشوند و به کنترلهای قوی روی معیارهای تصمیمگیری، سیاستهای حاکم، هویت و مدیریت دسترسی نیاز دارند.
امنیت بلاک چین در مورد درک خطرات شبکه بلاک چین و مدیریت آنها است. طرح اجرای امنیت برای این کنترل ها یک مدل امنیتی بلاک چین را تشکیل می دهد. یک مدل امنیتی بلاک چین ایجاد کنید تا اطمینان حاصل کنید که تمام اقدامات برای ایمن سازی مناسب راه حل های بلاک چین شما وجود دارد.
برای پیادهسازی یک مدل امنیتی در موضوع امنیت بلاک چین، مدیران باید یک مدل ریسک ایجاد کنند که بتواند تمام ریسکهای تجاری، حاکمیتی، فناوری و فرآیند را برطرف کند. در مرحله بعد، آنها باید تهدیدات راه حل بلاک چین را ارزیابی کرده و یک مدل تهدید ایجاد کنند. سپس، مدیران باید کنترلهای امنیتی را که خطرات و تهدیدات را کاهش میدهند بر اساس سه دسته زیر تعریف کنند:
اعمال کنترل های امنیتی که منحصر به بلاک چین هستند
اعمال کنترل های امنیتی مرسوم
اعمال کنترل های تجاری برای بلاک چین