گاهی اوقات پروتکل ها، برای عملکرد صحیح به اطلاعات اضافی از خارج از حوزه بلاک چین نیاز دارند. چنین اطلاعات خارج از زنجیره ای توسط اوراکل ها ارائه می شود که اغلب خود قراردادهای هوشمند هستند. آسیب پذیری زمانی ایجاد می شود که پروتکل های متکی به اوراکل ها به طور خودکار اقداماتی را اجرا می کنند، حتی اگر فید داده ارائه شده توسط اوراکل نادرست باشد. اوراکل با محتویات منسوخ یا حتی مخرب می تواند تأثیرات فاجعه باری بر تمام فرآیندهای متصل به فید داده داشته باشد. در عمل، دادههای دستکاری شده میتواند باعث آسیبهای قابل توجهی شود، از انحلالهای غیرقانونی گرفته تا معاملات آربیتراژ مخرب. بخشهای زیر نمونههایی را ارائه میکنند که آسیبپذیریها و نقصهای رایج مربوط به حمله دستکاری اوراکل را نشان میدهند.
سیستم اوراکل در کریپتو چیست؟
سیستم اوراکل در حوزه کریپتو، به معنای استفاده از داده های خارج از بلاک چین برای تأیید و اعتبارسنجی اطلاعات درون بلاک چین است. در واقع، سیستم اوراکل مجموعه ای از راهکارها و فناوری هاست که به شبکه های بلاک چین کمک می کند تا با داده های دنیای واقعی ارتباط برقرار کنند و به آنها دسترسی پیدا کنند.
سیستم اوراکل معمولاً از یک شرکت یا سرویس دهنده خارج از بلاک چین (مثل شبکه های اجتماعی، سایت های خبری، داده های هواشناسی و ...) استفاده می کند تا اطلاعات جدید را جمع آوری کند و سپس آنها را در بلاک چین اعتبارسنجی کند. به عنوان مثال، یک سیستم اوراکل می تواند برای تأیید یک معامله در بورس از داده های مربوط به قیمت های بازار استفاده کند و یا در بلاک چین اطلاعات جدید در مورد آب و هوا یا رویدادهای رسمی را ثبت کند.
در بعضی موارد، استفاده از سیستم اوراکل می تواند مشکلاتی مانند امنیت و اعتبارپذیری را به همراه داشته باشد. برای مثال، اگر یک سیستم اوراکل مورد حمله قرار گیرد یا اطلاعات جعل شده به آن داده شود، این می تواند به طور مستقیم به امنیت و صحت داده های ثبت شده در بلاک چین آسیب بزند. به همین دلیل، توسعه دهندگان بلاک چین باید از روش هایی مانند امضای چندگانه (multi-signature)و اجرای قراردادهای هوشمند (smart contract) برای ایجاد یک سیستم اوراکل امن استفاده می کند.
کدام یک از ارزهای دیجیتال اوراکل هستند؟
حمله دستکاری اوراکل چیست؟
حمله دستکاری اوراکل یک نوع حمله سایبری است که در آن، حمله کننده با استفاده از آسیبپذیریهای موجود در سیستمهای اوراکل، تلاش میکند تا دسترسی غیرمجاز به دادههای موجود در دیتابیسهای اوراکل را بدست آورد و یا اطلاعات مهم را تغییر دهد. این نوع حمله ممکن است به روشهای مختلفی انجام شود، مانند استفاده از آسیبپذیریهای نرمافزاری، مهاجمه به دیتابیسهای ناامن یا از راه دور، استفاده از رمزنگاری ضعیف و یا استفاده از کدهای بدافزار.
برای محافظت در برابر حمله دستکاری اوراکل، باید از آخرین نسخههای نرمافزار اوراکل استفاده کرده، آنها را بروزرسانی کرده و تنظیمات امنیتی مناسبی برای دیتابیسهای اوراکل انجام داد. همچنین، باید از رمزنگاری قوی برای دادهها استفاده کرده و دسترسی به دیتابیس را فقط به افراد مجاز و با مجوزهای مشخصی محدود کرد.
چگونه می توان قرارداد حمله دستکاری اوراکل را بازتولید کرد؟
برای بازتولید قرارداد حمله دستکاری اوراکل، بهتر است که از یک مجموعه داده تست استفاده کنید تا بتوانید این حمله را بازسازی کنید. این مجموعه دادههای تست میتواند شامل دادههای واقعی یا دادههای مجازی باشد که برای تست امنیت سیستمهای اوراکل طراحی شده است. برای شروع، شما میتوانید با استفاده از مجموعه دادههای تست مربوط به حمله دستکاری اوراکل که در دسترس میباشند، مانند مجموعه دادههای تست SLOB، HammerDB و Swingbench، شروع به بازسازی قرارداد حمله دستکاری اوراکل کنید.
جهت کسب اطلاعاتی در مورد آموزش ارز دیجیتال، بر روی لینک کلیک کنید.
در مرحله بعدی، باید یک محیط تستی ایجاد کنید که شامل نرمافزار اوراکل و دیتابیسهای آن باشد. سپس میتوانید با استفاده از ابزارهای مختلفی مانند PL/SQL و Oracle Database Security Assessment Tool (DBSAT)، به تست امنیتی سیستمهای اوراکل بپردازید و سعی کنید به عنوان یک حمله کننده، قرارداد حمله دستکاری اوراکل را بازسازی کنید.
در هر صورت، با توجه به پیچیدگی و حساسیت این موضوع، بهتر است برای انجام این کار، از کسانی که تخصص لازم را در زمینه امنیت سیستمهای اوراکل دارند، کمک بگیرید.
هزینه حمله اوراکل چقدر است؟
حمله اوراکل (Oracle hack) به صورت کلی به حملات مختلفی اشاره دارد که میتواند روی سیستمها و دیتابیسهای اوراکل اجرا شود. این حملات شامل مواردی مانند دستکاری دادهها، رمزگذاری، ردیابی، انتقال دادهها و غیره میشوند.
بسته به نوع حمله و شیوه اجرای آن، هزینه حمله اوراکل ممکن است متفاوت باشد. برای مثال، حملاتی که با استفاده از نرمافزارهای خرابکاری اجرا میشوند و به طور خودکار بر روی هزاران سیستم تلاش میکنند تا ضعف امنیتی را پیدا کنند، هزینه بسیار کمتری دارند نسبت به حملاتی که توسط افراد با تخصص و دانش فنی بالا صورت میگیرد.
همچنین، هزینه حملات اوراکل بیشتر بستگی به اهداف حملهکننده دارد. برای مثال، اگر یک حمله کننده فقط به دسترسی به دادههای یک دیتابیس اوراکل علاقه دارد، هزینه حمله او کمتر خواهد بود. اما اگر او بخواهد اطلاعات بسیار حساس یا محرمانه را به دست آورده و سیستمهای شرکتهای بزرگ را هدف قرار دهد، هزینه حمله به طور قابل ملاحظهای بیشتر خواهد بود.
چه مقدار از پروتکل های دیفای به دلیل حمله دستکاری اوراکل به سرقت رفت؟
دیفای یک پروتکل متن باز است و بسیاری از پروژه های دیفای وابسته به جامعه باز هستند. با این حال، اتفاقاتی همچون دستکاری و یا حملات برخی از پروتکل های دیفای، در گذشته رخ داده است. یکی از مشهورترین حملات به پروتکل دیفای، حمله به شبکه اتریوم در سال 2016 بود. در این حمله، یک قرارداد هوشمند به نام" THE “DAOدستکاری شد و حدود 3.6 میلیون اتر از قرارداد سرقت شد. با این حال، با کاربرد هاردفورک برای اصلاح شبکه، تمام اترهای سرقت شده به صاحبان خود بازگشت داده شد.
علاوه بر این، در سال 2020، پروتکل دیفای یونی سواپ به دلیل یک باگ امنیتی موجب از دست رفتن ۵۰۰ هزار دلار شد. با این حال، تیم یونی سواپ با انتشار یک پست بلاگ، بلافاصله پس از شناخت باگ، برای رفع آن اقدام کرد.
به طور کلی، همانطور که در مورد هر پروتکل دیگری است، همیشه وجود دارد که مشکلاتی در دیفای وجود داشته باشد اما با توجه به مزیت های امنیتی مرتبط با پروتکل های متن باز، جامعه دیفای به سرعت به پیدا کردن و رفع این مشکلات می پردازند.
بنابراین، هزینه حمله اوراکل بستگی به عوامل مختلفی مانند نوع حمله، تخصص و دانش حمله کننده، هدف و اهداف حمله و غیره دارد.
دستکاری قیمت نقطه ای
آسیبپذیری کلاسیک از دنیای اوراکلهای قیمتی زنجیرهای ناشی میشود: اعتماد به قیمت نقطه ای یک صرافی غیرمتمرکز، داستان ساده است. یک قرارداد هوشمند نیاز به تعیین قیمت یک دارایی دارد، به عنوان مثال، زمانی که یک کاربر اتریوم را به سیستم خود واریز می کند.
برای دستیابی به این کشف قیمت، پروتکل از استخر یونی سواپ مربوطه خود به عنوان منبع، مشورت می گیرد. با بهرهبرداری از این رفتار، مهاجم میتواند یک وام فلش بگیرد تا یک طرف استخر یونی سواپ را تخلیه کند. به دلیل عدم تنوع منبع داده، قیمت داخلی پروتکل مستقیماً دستکاری می شود.
ریسک حمله اوراکل در دیفای چیست؟
حمله اوراکل (Oracle Attack) یک نوع حمله سایبری است که در آن از نقص امنیتی در نرمافزار پایگاه داده اوراکل بهره میگیرد. این حمله میتواند باعث اجرای کد از راه دور در سیستم مورد حمله شود و از دادهها و اطلاعات موجود در پایگاه داده سرقت شود. به طور کلی، ریسک حمله اوراکل در دیفای، به میزان نقص امنیتی و میزان دسترسی مجاز به پایگاه داده اوراکل برای مهاجمان بستگی دارد.
برای جلوگیری از حملات اوراکل در دیفای، بهتر است از نسخههای جدید و بروزرسانیهای امنیتی برای پایگاه داده اوراکل استفاده شود. همچنین، پیکربندی صحیح پایگاه داده و رعایت روشهای امنیتی مانند محدود کردن دسترسی به پایگاه داده، استفاده از رمزنگاری، مدیریت رمزعبور و مانیتورینگ مستمر نیز از راهکارهای موثر در پیشگیری از حملات اوراکل هستند.