امروزه همه کاربرانی که بهنحوی با اینترنت سروکار دارند، با تشدید حملات سایبری، نگران مسئله امنیت سایبری هستند. هنگامی که پیشرفت جدیدی در حوزه IT رخ میدهد، بسیاری این پرسش را مطرح میکنند که امنیت آن چگونه تأمین میشود؟ بلاکچین، فناوری نسبتاً نوپایی است که اساساً برای پشتیبانی از بیتکوین ایجاد شده است. با گسترش و محبوبیت روز افزون این فناوری، پرسشهای زیادی در مورد چگونگی تأمین امنیت آن، مطرح شده است. در این مقاله قصد داریم ابتدا بلاکچین و طرز کار آن را بیان کنیم. سپس در قسمت اصلی این مقاله، با نحوه تأمین امنیت بلاکچین آشنا خواهیم شد. با ما همراه باشید.
بلاکچین چیست؟
بلاکچین ، یک لجر یا پایگاه داده پراکنده است که در میان گرههای شبکه یک رایانه، به اشتراک گذاشته میشود. بلاکچین نقش بسیار مهمی در بازار ارزهای دیجیتال جهت حفظ امنیت و ثبت غیر متمرکز تراکنشها ایفا میکند. البته کاربرد بلاکچین صرفاً محدود به فضای کریپتو نیست. میتوان از بلاکچین جهت حفظ ثبات و تغییرناپذیری دادهها در تمامی صنایع استفادهکرد.
نحوه عملکرد بلاکچین
پیش از بررسی امنیت بلاکچین، ابتدا با نحوه عملکرد آن آشنا میشویم. احتمالاً شما با پایگاههای داده یا صفحه گستردهها (spreadsheets) آشنا هستید. یک بلاکچین، پایگاه دادهای است که اطلاعات به آن وارد شده و نگهداری میشوند. اما تفاوت اصلی بین یک پایگاه داده مرسوم یا صفحه گسترده با یک بلاکچین، نوع ساختاردهی و دسترسی به دادهها است.
بلاکچین شامل برنامههایی با نام اسکریپت است که وظایف مورد نظر شما در یک پایگاه داده را انجام میدهد: وارد کردن و دسترسی به اطلاعات و ذخیره و نگهداری آن در یک محل. بلاکچین بهصورت گسترده عرضه میشود، بهنحوی که چندین نسخه در چند دستگاه ذخیره شده و تمامی این نسخهها باید با یکدیگر منطبق باشند.
بلاکچین اطلاعات تراکنش را جمع آوری کرده و آنها را به یک بلوک وارد میکند، درست شبیه یک سلول در یک صفحه گسترده. با پرشدن بلوک، اطلاعات از طریق یک الگوریتم رمزنگاری اجرا شده و یک عدد شانزده رقمی با نام هش، ایجاد میشود. سپس هش وارد هدر بلاک بعدی شده و با اطلاعات دیگر در بلوک، رمزنگاری میشود. بدین ترتیب، مجموعهای از بلوکها ایجاد شده که به یکدیگر، بهصورت زنجیروار متصل میشوند.
امنیت بلاکچین چیست؟
امنیت بلاکچین، تلفیقی از اصول، ابزارها و بهترین رویهها در حوزه امنیت سایبری جهت کاهش ریسک و جلوگیری از حملات مخرب و دسترسی تایید نشده در شبکههای بلاکچین است. هر چند تمامی بلاکچین ها با فناوری لجر گسترده (DLT) اجرا میشوند، اما تمامی آنها از نظر عملکردی، یکسان نیستند و یا سطح امنیت آنها، مشابه نیست. هر چند بلاکچین های عمومی و خصوصی مزایا و معایب خاص خود را دارند، مدلهای امنیتی آنها بهدلیل ماهیت باز و بسته شبکههایشان، متفاوت است.
امنیت بلاکچین عمومی
بلاکچین های عمومی نظیر بیتکوین و اتریوم ، شبکههایی باز، بدون نیاز به مجوز هستند و تمامی افراد میتوانند در فرآیند صحت سنجی تراکنشهای آنها، مشارکت کنند. پایگاه کد بلاکچین های عمومی، متنباز است. این موضوع سبب میشود تا کدهای آنها در دسترس عموم قرار داشتهباشد و بهطور پیوسته توسط گروهی از توسعه دهندگانی که کدها را از نظر وجود باگ، آسیب و مسائل دیگر بررسی میکنند، ارزیابی شود. کارایی این بلاکچین ها با بهره گیری از تخصص جمعی جوامع تخصصی و ویژگیهای امنیتی، در حال ارتقا است. از طرف دیگر، هکرها و مهاجمان نیز بهطور پیوسته، کدها را ارزیابی کرده و بهدنبال راههایی جهت آسیب رساندن به شبکههای بلاکچین هستند.
چه کسی مسئول امنیت بلاکچین عمومی است؟
هر چند بانیان و فاندرها، مسئول کد متنی اولیه بوده و غالباً پیشرفت شبکه را با مشارکت فعال ممکن میکنند، اما مسئولیت کلی تأمین امنیت بلاکچین عمومی نظیر اتریوم، برعهده کلیه مشارکت کنندگان در شبکه است. از جمله این مشارکتکنندگان، میتوان به ولیدیتورها (validators) و اپراتورهای گره که مسئول نگهداری شبکه هستند و همچنین صدها هزار توسعه دهنده که مسئولیت نوشتن کدها را بر عهده دارند، اشاره کرد. بهطورکلی، کاربران نیز در امنیت بلاکچین از طریق بهکارگیری رویههای امنیتی مناسب، نقش دارند. از آنجایی که یک بلاکچین عمومی، یک سیستم غیر متمرکز است، هیچ واحد مستقلی نمیتواند ادعا کند که کلیه مسئولیتهای امنیتی بلاکچین را بر عهده دارد. این رویه سبب میشود تا بلاکچین در برابر انواع حملات مختلف، تابآور باشد.
نگهداری و توسعه بلاکچین های عمومی
در مورد بلاکچینهای عمومی، غالبا سازمانهایی نظیر اتریوم فاندیشن (Ethereum Foundation) حضور دارند که وظیفه آنها، پیشبرد توسعه و مشارکت جامعه است. حتی بیتکوین که توسط فرد ناشناختهای به نام ساتوشی ناکاموتو ایجاد شده است، دارای گروهی اختصاصی از کارشناسان و متخصصان بوده که مسئولیت آنها، بهروزرسانی و ارتقای مداوم نرمافزار بیتکوین کور (Bitcoin Core) است.
امنیت بلاکچین خصوصی
بلاکچین های خصوصی، شبکههایی اختصاصی با دسترسی محدود هستند و ماهیت متمرکزتری دارند. این کنترل متمرکز، سبب ارتقای تابآوری آنها در برابر شماری از تهدیدات خارجی میشود. تأمین امنیت بلاکچین اختصاصی، اصلیترین مسئولیت واحد عملیاتی آن است. ماهیت متمرکز این بلاکچینها موجب میشود تا تنها یک نقطه شکست (خرابی) وجود داشته باشد و از این رو، یک واحد میتواند معیارهای امنیتی شدیدی را برای آن، وضع کند.
هر چند ممکن است بلاکچین های اختصاصی مزایای امنیتی و غیر متمرکز بلاکچین های عمومی را نداشتهباشند، اما عموماً بهدلیل نیاز به کار محاسباتی کمتر در مورد الگوریتمهای اجماع، کارایی و سرعت بیشتری دارند. با این حال، از آنجایی که واحد اعطای مجوز سیطره کاملی بر شبکه دارد، احتمال بروز ریسک خاموشی یا دستکاری شبکه وجود دارد. این ریسک امنیتی عموماً در بلاکچین های عمومی دیده نمیشود.
چگونگی تأمین امنیت بلاکچین
فناوری بلاکچین بر روی یک سیستم لجر دیجیتال گسترده اجرا میشود. شبکه بلاکچین، متشکل از شبکهای از رایانهها در سراسر جهان با نام گرهها است که وظیفه راستی آزمایی و ثبت تراکنشها را بر عهده دارند. هر مشارکتکننده، نسخهای از لجر را نگهداری میکند، بنابراین هیچگونه سیطره و قدرت متمرکز یا نقطه شکستی وجود ندارد. در زمان انجام یک تراکنش مانند ارسال یا دریافت ارز دیجیتال، این تراکنش در یک بلوک ثبت میشود.
پیش از اینکه یک بلوک (که متشکل از تراکنشهایی است که در یک بازه زمانی مشخص رخدادهاند)، به زنجیره (chain) اضافه شود، باید بهصورت اجماعی تایید شود. در این مرحله، از مکانیزمهای اجماع استفاده میشود. مکانیزمهای اجماع متفاوتی وجود دارند، اما شاخصترین آنها، مکانیزم اثبات کار (PoW) و اثبات سهام (PoS) هستند. ماینر و استیکرها در ازای تأمین امنیت شبکه، پاداش دریافت میکنند. با اجرای این فرآیند، همه افراد در مورد صحت سنجی هر تراکنش، به اجماع میرسند.
هنگامی که یک بلوک پر میشود، این بلوک به بلوک قبلی با استفاده از یک کد رمزنگاریشده، متصل شده و یک زنجیره تشکیلمیشود. با متصل کردن هر بلوک با استفاده از رمزنگاری و توزیع لجر در میان چندین رایانه، هر گونه تلاش جهت تغییر بلوک، سبب اختلال در کل زنجیره میشود. با توجه به اینکه لجر برای کلیه مشارکتکنندگان قابل رؤیت است، میتوان هر نوع فعالیت مشکوک را بهسرعت شناسایی کرد.
نحوه تأمین امنیت تراکنشها در یک بلاکچین
مشارکتکنندگان در شبکههای بلاکچین، داراییهای دیجیتالی خود بر روی بلاکچین را با یک رمز اختصاصی کنترل کرده که این روش امنیت بالایی از نظر دسترسی و احراز هویت دارد. با توجه به عدم وجود واحد میانی (واسطه)، مسئولیت شخصی مشارکتکنندگان هنگام انتقال دارایی بهصورت آنچین (On-chain) اهمیت بیشتری مییابد. امکان تغییر تراکنشهای تایید شده در بلاکچین وجود ندارد. در نتیجه، بازگرداندن سرمایههای گم شده یا سرقت شده، بسیار دشوار خواهد بود.
آیا بلاکچین ها در برابر تهدیدات امنیتی آسیبپذیرند؟
برخی کارشناسان معتقدند که فناوری بلاکچین بهطور ذاتی، کاملاً در برابر تهدیدات امنیتی مقاوم است. این ادعا تا حدودی نادرست است، اما بلاکچین ویژگیهای ساختاری منحصربهفردی دارد که به ارتقای قابلیتهای امنیتی آن، کمک شایانی میکنند:
رمزنگاری
امنیت هر تراکنش در بلاکچین، با اصول رمزنگاری تأمین شده و این رویکرد سبب اطمینان از صحت و اعتبار دادهها میشود. زیرساخت کلید عمومی (PKI)، رمز عمومی را به کاربران جهت دریافت داراییها اعطا کرده و رمز اختصاصی را جهت محافظت از داراییها، ارائه میکند.
غیر متمرکز بودن
بلاکچین ها بهجای یک سرور یا واحد متمرکز، در میان شبکهای از رایانهها (گرهها) اجرا میشوند. این ماهیت گسترده موجب میشود که حتی اگر یک گره یا گروهی از گرهها با خطر مواجه شوند، کل سیستم تأثیری از این اتفاق نمیپذیرد.
اجماع
این الگوریتمها تضمین میکنند که کلیه گرهها در شبکه، نسبت به اعتبار یک تراکنش، اتفاقنظر دارند. قابلیتهای الگوریتمهای PoW یا PoS موجب میشوند تا مهاجمان نتوانند کل گرهها را کنترل کنند.
تغییرناپذیری
هنگامی که یک بلوک به بلاکچین اضافه میشود، محتوای آن تغییر ناپذیر میشود بهنحوی که امکان اصلاح آن وجود ندارد. بدین ترتیب، سوابق تراکنشها همواره بدون تغییر، باقی میمانند.
شفافیت
از آنجایی که بسیاری از بلاکچین ها لجر عمومی هستند، هر گونه تغییر یا تراکنش توسط تمامی افراد مشاهده شده و در نتیجه، میتوان فعالیتهای خرابکارانه را بهسادگی تشخیص داد.
انواع رخنههای امنیتی بلاکچین
سه مورد از شایعترین رخنههای امنیتی بلاکچین، عبارتند از:
- آسیبهای اکوسیستم
- حملات به قراردادهای هوشمند و پروتکلهای بلاکچین
- حملات به زیرساختهای معروف (مانند ولت ها) و کاربران
آسیبهای اکوسیستم بلاکچین
یک بلاکچین که تعداد گره کمی دارد، بیش از یک شبکه بزرگ و گسترده، در معرض حملات اکوسیستم قرار دارد. بهطور مثال، در حال حاضر امکان تأثیرگذاری حملات سیبیل (Sybil attack) یا حملات %51، به بلاکچین هایی نظیر بیتکوین و اتریوم بهدلیل توان رایانشی یا مقدار داراییهای مورد نیاز، وجود ندارد.
ریسکهای متمرکزسازی
هر چند هدف بلاکچین های عمومی تمرکززدایی است، اما در عمل، عواملی مانند استخرهای ماینینگ میتوانند سبب متمرکز شدن کنترل و بروز آسیبهایی بهدلیل عدم تعادل در تمرکز قدرت شوند. متمرکز شدن زیرساخت نیز، مسئلهای نگران کننده محسوب میشود. بهطور مثال، بسیاری از گرههای بلاکچین که تراکنشها را صحت سنجی میکنند، در سرویسهای ابری متمرکز مانند آمازون وب سرویس اجرا میشوند. اگر زیرساخت ابری متمرکز هدف گرفته شده و بخش بزرگی از گرهها از کار بیفتند، شبکه بیش از پیش متمرکز شده و آسیب پذیری بیشتری در برابر انواع دیگر حملات دارد.
تراکم شبکه بلاکچین
تراکم شبکه بلاکچین، هنگامی رخ میدهد که ولیدتورهای کافی جهت تایید میزان تراکنشهای پیشنهادی حضور نداشته باشند که این امر موجب تأخیر در پردازش تراکنش و افزایش هزینهها میشود. در بدترین حالت، ممکن است این عامل سبب از کار افتادگی و ناپایداری شده و تأثیری منفی در اعتماد مشارکت کنندگان نسبت به تابآوری شبکه بگذارد.
حملات به پروتکلها و قراردادهای هوشمند
مهمترین حملات به پروتکلها و قراردادهای هوشمند بلاکچین عبارتند از:
حملات پل
پلهای بلاکچین، ابزارهایی هستند که امکان انتقال یکپارچه داراییها میان شبکههای مختلف بلاکچین را فراهم کرده و سبب ارتقای اکوسیستم مالی غیرمتمرکز (DeFi) میشوند. از آنجایی که پلها، حجم قابل توجهی از داراییها را نگهداری کرده و امنیت کمتری نسبت به بلاکچین ها دارند، گزینه جذابی برای هکرها هستند. بر اساس گزارشهای مختلف، حملات پل، حدود %70 کل حملات سایبری کریپتو را دربر میگیرند.
هک و سوء استفاده از پروتکل
هک پروتکلها، یکی از نگرانیهای قابل توجه در حوزه DeFi است که میتواند منجر به زیانهای مالی شدید در چشمانداز وسیعتر DeFi شود. هر چند ارزیابیهای امنیتی جهت حداقل شدن ریسکها در حال انجام هستند، ماهیت پیچیده این ابزارهای مالی، سبب بروز رخنههای امنیتی شده است.
حملات به زیرساختها و کاربران
شاخصترین حملات به زیرساختهای مهم و همچنین کاربران عبارتند از:
حملات نرم افزاری
بسیاری از ولتهای کریپتویی و برخی از بخشهای نرم افزارهای شناختهشده، هدف حملات مهاجمان قرار میگیرند. یکی از مثالهای شاخص، سوء استفاده از ولت موبایل سولانا (اسلوپ) است که طی آن یک مهاجم، حدود 8 میلیون دلار سولانا را سرقت کرد.
هک شدن صرافیهای متمرکز
صرافیهای ارز دیجیتال که پلتفرمهای متمرکزی برای معامله داراییهای دیجیتال محسوب میشوند، همواره هدفهای جذابی برای هکرها بودهاند. در این خصوص، یکی از معروفترین اتفاقات، هک شدن صرافی Mt.Gox در سال 2014 بود که باعث به سرقت رفتن حدود 850000 بیتکوین شد.
بدافزار
یکی از روشهای مهاجمان، نفوذ به رایانه کاربر با استفاده از بدافزارهایی است که برای سرقت رمز والت ها یا انجام تراکنشهای غیر مجاز، طراحیشدهاند.
کلام پایانی
با گسترش روز افزون فناوری بلاک چین در جریان اصلی حوزههای مالی و اقتصادی، رهبران جهان بیش از پیش، بهدنبال استفاده از این فناوری جدید هستند. از یک سوء، باید نسبت به تطابق سیستمهای بلاکچین با قوانین موجود بهخصوص در حوزههای ضد پولشویی (AML)، قوانین حمایت از مصرف کنندگان و الزامات گزارشگری و مالیات اطمینان یافت. از طرفی، نباید با وضع قوانین سختگیرانه، مانع از بروز نوآوریهای تازه در این اکوسیستم شد. جهت پذیرش هر چه بیشتر این فناوری، باید زمینه لازم را برای کاهش موانع برای ورود مؤسسات به دنیای کریپتو فراهم کرده و اطمینان لازم را به آنها نسبت به امنیت بلاکچین داد.
سوالات متداول
امنیت بلاکچین چیست؟
امنیت بلاکچین، یک قابلیت مدیریت ریسک برای شبکه بلاکچین است. در این خصوص از چارچوبهای امنیت سایبری، سرویسهای اعتبارسنجی و بهترین رویههای اجرایی برای کاهش ریسکهای حملات سایبری و رخنههای امنیتی استفاده میشود.
آیا بلاکچین کاملاً امن است؟
هیچ سیستم مالی یا پلتفرم دادهای، عاری از مسائل امنیتی نیست و بلاکچین نیز از این قاعده مستثنی نیست. نمیتوان گفت بلاکچین ها هک نمیشوند، بلکه نفوذ و ایجاد رخنه در آنها، بسیار دشوار است.
آیا میتوان از بلاک چین برای امنیت شبکه استفادهکرد؟
بله، در حال حاضر از بلاک چین برای تأمین امنیت شبکه در بسیاری از پروژههای جاری و برنامههای مختلف در بخشها و حوزههای گوناگون، استفاده میشود.
امنترین بلاکچین در دنیا کدام است؟
اتریوم. در واقع اتریوم امنترین پلتفرم ارز دیجیتال مبتنی بر بلاک چین است.
