پروژه های امور مالی غیر متمرکز یا دیفای DIFI چگونه هک می شوند

دیفای DIFI

ارزروز: با بزرگ شدن صنعت ارزهای دیجیتال بدیهیست که دیفای یا همان حوزه «امور مالی غیرمتمرکز» روزبه‌روز در حال بزرگ‌شدن باشد. اما نکته کلیدی اینجاست که باگ‌های چندمیلیارد دلاری این حوزه هم با بزرگ شدن آن در حال ایجاد است. حال سوال اینگونه مطرح پروژه‌های دیفای چگونه هک می‌شوند؟ با توجه به کاری که پروژه‌های دیفای DIFI انجام می‌دهند (دیفای یعنی حذف واسطه‌ها از تمام فرایندهای مالی) تعجبی ندارد که شاهد چنین رشدی باشیم.

در حقیقت دریافت وام بدون مراجعه به بانک و انجام تمام تبادلات مالی به‌صورت غیرمتمرکز چیزی نیست که بتوان از کنار آن به‌سادگی عبور کرد و شاید ده سال دیگر کمتر کسی باشد که به‌جای استفاده از دیفای، برای دریافت وام به بانک مراجعه کند. با این حال، هرچقدر که این حوزه بزرگ‌تر می‌شود، امنیت آن هم اهمیت بیشتری پیدا می‌کند. وقتی که بانکی وجود ندارد، چه کسی تضمین می‌کند که میلیون‌ها دلار از ثروت کاربرانِ یک پروژه به سرقت نرود؟

هک‌هایی که در حوزه دیفای اتفاق افتاده، در شناخت محورهای اصلی و آسیب‌پذیری‌های موجود در این حوزه نقش چشمگیری دارد. در سه سال گذشته، کل مبلغ قفل‌شده در دیفای در حدود ۸۰۰ میلیون دلار بود؛ اما حالا با نگاه به رشد این رقم، باید کلاه از سر برداشت و به این حوزه ایمان آورد. تا فوریه ۲۰۲۱ (بهمن ۹۹)، کل مبلغ قفل‌شده در دیفای به ۴۰ میلیارد دلار رسیده بود؛ اما این رشد متوقف نشده و در ماه آوریل (فروردین) سال جاری به ۸۰ میلیارد دلار و هم‌اکنون به بیش از ۱۴۰ میلیارد دلار افزایش پیدا کرده است. این رشد سریع در یک بازار نوظهور و جدید مثل دیفای می‌تواند توجه تمام هکرها و کلاهبرداران را به‌سمت خود جذب کند. بخش دیفای از سال ۲۰۱۹ شاهد ازدست‌رفتن حدود ۲۸۴.۹ میلیون دلار به‌دلیل هک و حملات سودجویانه دیگر بوده است.

هک اکوسیستم‌های بلاک چینی، گزینه ایده‌آلی برای هکرهاست

و ممکن است آنها را به ثروت خوبی برساند. این سیستم‌ها ناشناس‌ هستند، پول زیادی در آنها وجود دارد و هر هک و حمله‌ای می‌تواند بدون اطلاع قربانی، از مدت‌ها پیش آزمایش و بررسی شود. در چهارماهه‌ اول سال ۲۰۲۱، حدود ۲۴۰ میلیون دلار از سرمایه کاربران در پروتکل‌های دیفای به جیب هکرها رفته است. البته این رقم مربوط به حوادثی است که به‌طور عمومی اعلام شده‌اند. تخمین واقعی این است که رقم زیان‌ها به میلیاردها دلار برسد. به سراغ سؤال اصلی برویم. پروتکل‌های دیفای دقیقاً چگونه و به چه شکلی هک می‌شوند و پول چگونه از آنها به سرقت می‌رود؟ ما برای پاسخ به این پرسش، حملات هکری متعددی را تحلیل کرده‌ایم و رایج‌ترین مشکلات و مسائلی که منجر به حملات هکری می‌شود را شناسایی کرده‌ایم.

بر اساس آمار موجود درباره یک سال تقویمی (از تابستان سال ۲۰۲۰ تاکنون)، تنها ۱۰ درصد از هک‌های دیفای (با حدود ۵۰ میلیون دلار سرقت) به‌دلیل این نوع ریسک خاص رخ داده‌اند و در طی این هک‌ها، ۵۰ میلیون دلار سرمایه به سرقت رفته‌اند. توسعه‌دهندگان گاهی مهارت‌های کدنویسی لازم را ندارند و اشتباهات مهلکی می‌کنند که موجب زیان کاربران می‌شوند. حساب‌رسی‌های امنیتی تنها بخشی از این ریسک را پوشش می‌دهند؛ چراکه بیشتر شرکت‌های حساب‌رسی موجود، هیچ مسئولیتی در قبال کیفیت کاری خود ندارند و هدفشان از انجام این کار بیشتر منافع مالی است. نتایج مطالعات ما نشان می‌دهد که بیش از ۱۰۰ شرکت دیفای به‌دلیل خطاهای کدنویسی هک شده‌اند و در نهایت، حدود ۵۰۰ میلیون دلار زیان به کاربران وارد شده است.

دی فورس dForce 

یکی از نمونه‌های غیرقابل چشم‌پوشی این هک‌ها، هکی به نام dForce است که در ۱۹ آوریل ۲۰۲۰ (۳۱ فروردین ۹۹) رخ داد. هکرها از یک آسیب‌پذیری در استاندارد توکن ERC-777 و یک حمله بازگشت‌پذیری (Reentrancy attack) استفاده کردند و ۲۵ میلیون دلار را به سرقت بردند. اطلاعاتی که در اختیار قراردادهای هوشمند قرار می‌گیرند، تنها در زمان انجام تراکنش کاربرد دارند. یک قرارداد به‌طور پیش‌فرض در برابر دست‌کاری‌های خارجی اطلاعات درون آن ایمن نیست و همین امر باعث می‌شود حملات هکری مختلف امکان‌پذیر شوند. وام‌های سریع (Flash loans)، وام‌های بدون ضامن یا وثیقه هستند. عملکرد وام‌های سریع به این شکل است که کاربر باید ارز دیجیتالی که وام گرفته را در همان تراکنش برگرداند و وام خود را تسویه کند. اگر وام‌گیرنده نتواند وجوه را بازگرداند، تراکنش لغو خواهد شد. با چنین وام‌هایی، وام‌گیرنده می‌تواند مقادیر زیادی ارز دیجیتال را دریافت و از آن در جهت اهداف خود استفاده کند.

معمولاً حملاتی که در طی وام‌های سریع رخ می‌دهند،.با دست‌کاری قیمت همراه هستند. یعنی چه؟.یعنی مهاجم ابتدا تعداد زیادی توکن وام‌گرفته‌شده را در یک تراکنش به فروش می‌رساند،.با این کار خود باعث کاهش قیمت می‌شود و سپس پیش از خرید دوباره توکن‌ها،.در همان حین که قیمت آنها پایین است،.اقدامات موردنظر خود را انجام می‌دهد. حمله ماینری هم چیزی شبیه حمله وام سریع است.که بر مبنای الگوریتم اجماع اثبات کار انجام می‌شود. این نوع حمله پیچیده‌تر و پرهزینه‌تر است؛.اما دیگر خبری از برخی لایه‌های محافظتی وام‌های سریع نیست. در این حمله،.مهاجم ظرفیت‌های استخراج (یا همان توان پردازشی) را اجاره کرده و بلاکی تشکیل می‌دهد.که تنها تراکنش‌های موردنیاز او در آن قرار دارند. در این بلاک،.ابتدا توکن را قرض می‌گیرد،.قیمت‌ها را دست‌کاری می‌کند و سپس توکن‌های قرض‌گرفته‌شده را پس می‌دهد.

سخن آخر

اگرچه شاید نتوان خودِ بلاک چین اتریوم یا سایر میزبان‌های دیفای را هک کرد،.پروژه‌های دیفای هک می‌شوند و نمی‌توان این حقیقت را انکار کرد؛.همان طور که وب‌سایت‌ها روی اینترنت هک می‌شوند. با بزرگ‌شدن حوزه دیفای و شناخت بیشتر توسعه‌دهندگان از بلاک چین،.نفوذ به پروژه‌های دیفای سخت‌تر و سخت‌تر خواهد شد؛.اما در هر حال نمی‌توان تضمین ۱۰۰ درصدی ارائه کرد. بنابراین اگر در پروژه دیفای فعالیت می‌کنید،.علاوه بر ریسک‌های مربوط به بازار،.باید ریسک هک‌شدن خودِ پلتفرم هم در نظر بگیرید. البته با اینکه توسعه‌دهندهٔ یک پروژه مسئول هک‌ها نیست،.اغلب پروژه‌ها پس از هک می‌پذیرند که وجوه به‌سرقت‌رفته را پس بدهند.

ARZROUZ.COM