امنیت پل های بلاک چین چگونه است؟ چرا پل های بلاک چین هدف هک هستند؟ میلیاردها دلار دارایی دیجیتال به دست هکرهای پل های بلاک چین از دست رفته است. در این مطلب توضیح می دهیم که آیا پل های بلاک چین ایمن هستند؟ چرا پل ها هدف هک هستند؟ چرا و چگونه می توان از پل ها بهره برداری کرد. در مارس 2022، بیش از 625 میلیون دلار ارزهای رمزنگاری شده از پروتکل پل رونین (Ronin Bridge protocol) در نتیجه حمله مخرب هکرها به سرقت رفت و این رویداد را به عنوان یکی از بزرگترین سرقتهای ارزهای دیجیتال تاکنون به ثبت رساند. در ماه ژوئن، پل هارمونی وان هورایزن (Harmony One’s Horizon) در یک حمله بیش از 100 میلیون دلار ضرر کرد. در ماه آگوست، 200 میلیون دلار دیگر از پل Nomad Bridge به دلیل سوءاستفاده از یک آسیب پذیری در فناوری زیربنایی آن (قراردادهای هوشمند) از دست رفت.
در مجموع، Chainalysis تخمین میزند که تنها در سال 2022 بیش از 2 میلیارد دلار دارایی دیجیتال از پلهای بلاک چین به سرقت رفته است. این رقم تقریباً 69٪ از کل وجوه رمزنگاری سرقت شده در سال را تشکیل می دهد.
فراوانی این هک های پل به یک سیگنال هشدار برای کاربران و تهدیدی قابل توجه برای اعتمادسازی در فناوری بلاک چین تبدیل شده است. با افزایش سرعت پذیرش ارزهای دیجیتال، صنعت با فشار فزاینده ای برای رفع نقص هایی که این سوء استفاده ها را مجاز کرده است، مواجه است.
در این مقاله، به این میپردازیم که چرا پلهای بلاک چین به بخشی ضروری از اکوسیستم رمزنگاری تبدیل شدهاند، امنیت پل های بلاک چین، تفاوت بین پلهای مبتنی بر اعتماد و پلهای غیرقابل اعتماد و ضعفهای بالقوه در هر مدلی که هکرها را قادر میسازد تا وجوهی را در هر یک از آنها جمعآوری کنند چیست.
پل های بلاک چین چیست؟
قبل از پرداختن به موضوع امنیت پل های بلاک چین بهتر است تعریفی از پل های بلاک چین داشته باشیم. پل های بلاک چین که به عنوان پل های شبکه یا پل های زنجیره ای نیز شناخته می شوند، ابزاری هستند که برای حل چالش قابلیت همکاری بین بلاک چین ها طراحی شده اند. پل ها به یکی از اجزای ضروری صنعت بلاک چین تبدیل شده اند زیرا، همانطور که می دانید بلاک چین ها در سیلوها کار می کنند و نمی توانند با یکدیگر ارتباط برقرار کنند.
به عنوان مثال، کاربران نمی توانند از بیت کوین (BTC) در بلاک چین اتریوم یا اتر (ETH) در بلاک چین بیت کوین استفاده کنند. بنابراین اگر یکی از کاربران (بگذارید او را بیلی بنامیم) که تمام وجوه خود را در بیتکوین نگه میدارد، بخواهد برای یک کالا به کاربر دیگری (بیایید او را Ethel بنامیم) پول بپردازد اما اتل فقط ETH را قبول کند، بیلی به مانع برخورد میکند. او نمی تواند BTC را مستقیماً برای اتل ارسال کند. او می تواند اقدامات بیشتری را برای خرید ETH انجام دهد یا بخشی از BTC خود را با ETH معامله کند اما BTC نمی تواند مستقیماً به اتل ارسال شود. این موضوع می تواند به عنوان یک نقطه ضعف بزرگ در مقایسه با ارزهای فیات و کارت های اعتباری، (که می توانند در چندین ارائه دهنده استفاده شوند)، دیده شود.
هدف پل های بلاک چین حذف این مشکل است...
در حالی که هر پل بلاک چین متفاوت طراحی شده است، این پل ها معمولاً به کاربران اجازه می دهند مقدار مشخصی از دارایی های دیجیتال را در یک بلاک چین قفل کنند. در ازای آن، پروتکل سپس همان مقدار دارایی را در بلاک چین دیگری، معادل وجوهی که در آن قفل شده است، اعتبار یا ضرب می کند.
این داراییهای جدید به عنوان نسخههای یک توکن رپد شده شناخته میشوند. به عنوان مثال، کاربری که اتر (ETH) خود را در یک بلاک چین قفل می کند، یک اتر "رپد شده" (wETH) در بلاک چین دیگر دریافت می کند. این کار به بیلی اجازه می دهد تا از یک پل برای ارسال رپد بیت کوین (wBTC) که بر روی بلاک چین اتریوم کار می کند، به روشی یکپارچه تر به اتل استفاده کند.
پل های بلاک چین مبتنی بر اعتماد در مقابل پل های غیرقابل اعتماد
از نقطه نظر امنیتی، پل ها را می توان به دو گروه اصلی طبقه بندی کرد: قابل اعتماد (همچنین به عنوان حضانتی شناخته می شود) و غیر قابل اعتماد (غیرحضانتی). پلتفرمهای مورد اعتماد اساساً پلتفرمهایی هستند که برای تأیید تراکنشها به اشخاص ثالث متکی هستند و در عین حال به عنوان نگهبان داراییهای پلشده عمل میکنند. به عنوان مثال، تمام بیت کوین های رپدشده توسط BitGo نگهداری می شود. داشتن یک شرکت کنترل تمام دارایی به این معنی است که یک نقطه شکست وجود دارد چراکه اگر شرکت فاسد باشد، ورشکست شود یا مشکلات اساسی دیگری داشته باشد، رمزارزی که در اختیار دارد در خطر است.
برای مثال، پروتکل Ronin Bridge بر 9 اعتبارسنجی تکیه داشت که چهار مورد از آنها توسط تیم Sky Mavis نگهداری می شد. برای حفظ امنیت، پل رونین به اکثریت این گرههای اعتبارسنجی (پنج یا بیشتر) نیاز دارد تا هرگونه برداشت یا واریز را آغاز کنند. با این حال، از آنجایی که مهاجمان میتوانستند هر چهار گره تحت کنترل تیم Sky Mavis را به خطر بیاندازند، تنها به یک گره اضافی برای در دست گرفتن کنترل نیاز داشتند. آنها این کار را انجام دادند و به آنها اجازه داد تا پروتکل 625 میلیون دلاری را تحت پوشش یک برداشت "تأیید شده" تخلیه کنند.
نمونه های دیگر پل های مبتنی بر اعتماد عبارتند از بایننس بریج، پل Polygon POS، پل آوالانچ، پل هارمونی و Terra Shuttle Bridge.
از سوی دیگر، پلتفرم هایی که صرفاً به قراردادها و الگوریتم های هوشمند برای ذخیره دارایی های حضانتی متکی هستند، پل های بی اعتماد یا غیرحضانتی نامیده می شوند. محدودیتهای آن مربوط به یکپارچگی کد اصلی آن است.
به عنوان مثال، Wormhole پلتفرمی است که تراکنشهای بین سولانا و اتریوم را تسهیل میکند. Wormhole یک پروتکل پل بلاک چین است که در فوریه 2022 به دلیل اشکال در قرارداد هوشمند مورد سوء استفاده قرار گرفت. این موضوع به مهاجمان اجازه داد تا فرآیندهای تأیید آن را دور بزنند و منجر به هک بیش از 326 میلیون دلار شد.
نمونه های دیگری از پل های بی اعتماد عبارتند از: Rainbow Bridge، پل اسنو پولکادات و کاسموس IBC.
آیا پل های بلاک چین ایمن هستند؟
هر دو رویکرد قابل اعتماد و غیرقابل اعتماد می توانند دارای ضعف های اساسی یا فنی باشند. به بیان دقیقتر، جنبه مرکزی یک پل قابل اعتماد یک نقص اساسی را نشان میدهد و پلهای غیرقابل اعتماد در برابر سوء استفادههایی که از نرمافزار و کدهای زیرین نشات میگیرند آسیبپذیر هستند. به سادگی، اگر نقصی در قرارداد هوشمند وجود داشته باشد، تقریباً مطمئن است که طرفهایی که سوء قصد دارند از آن سوء استفاده کنند.
متأسفانه، راه حل کاملی برای معمایی که صنعت با آن مواجه است وجود ندارد. هر دو پلتفرم قابل اعتماد و غیرقابل اعتماد دارای نقص های ضمنی در طراحی خود هستند و امنیت پل های بلاک چین را به روش های مربوطه به خطر می اندازند.
علاوه بر این، با افزایش ارزش و کاربران صنعت ارزهای دیجیتال، هکرها پیچیده تر می شوند. حملات سایبری سنتی مانند مهندسی اجتماعی و حملات فیشینگ نیز با روایت Web3 برای هدف قرار دادن پروتکلهای متمرکز و غیرمتمرکز سازگار شدهاند.
اگرچه بیراه نیست اگر بگوییم، اولین قدم ارزشمند در جهت رسیدگی به مسائل مربوط به امنیت پلهای بلاک چین میتواند یک ممیزی کد منبع بسیار دقیق قبل از استقرار پل بر روی بلاک چین باشد. این باید یک بررسی اساسی برای به حداقل رساندن هرگونه نقص باشد، زیرا تنها چیزی که لازم است یک لغزش با یک خط کد بد است و هکرها راهی برای ورود دارند.
به همین دلیل، برای کاربران حیاتی است که قبل از تعامل با هر اکوسیستم پل، که شامل بررسی اسناد، کد و بلوغ سیستم میشود، دقت لازم را انجام دهند. این کار وسیله ای برای محافظت از رمزارزهای آنهاست، در حالی که توسعه دهندگان راه حلی برای غلبه بر محدودیت های پروتکل های پل زدن بلاک چین فعلی پیدا می کنند.