پروتکل‌های دیفای چگونه هک می‌شوند؟

پروتکل‌های دیفای چگونه هک می‌شوند؟

حوزه امور مالی غیر متمرکز (DeFi) با سرعت سرسام آوری در حال رشد است. سه سال پیش، ارزش کل قفل شده در پروتکل‌های دیفای فقط ۸۰۰ میلیون دلار بود و تا فوریه ۲۰۲۱ (بهمن-اسفند ۹۹)، این رقم به ۴۰ میلیارد دلار افزایش یافت. خواندیم که تا چهار ماه پیش کل ارزش قفل شده در دیفای به رکورد جدید ۷۴ میلیارد دلار رسیده بود و پس از آن در آوریل ۲۰۲۱ (فروردین-اردیبهشت ۱۴۰۰)، به نقطه عطف ۸۰ میلیارد دلار دست یافت. اکنون این مقدار بالای ۱۴۰ میلیارد دلار است و چنین رشد سریعی در این بازار جدید توجه هکرها و کلاهبرداران را به خود جلب می‌کند و این حوزه را در معرض هک شدن قرار می‌دهد.
همچنین بخوانید: دیفای چیست؟

دیفای از کجا ضربه می‌خورد؟

  • سوء استفاده از پروتکل‌های شخص ثالث و خطاهای منطقی تجارت (logic errors)
  • اشتباهات برنامه نویسی
  • وام‌های فلش و بی وثیقه، دستکاری قیمت و حملات ماینرها
  • توسعه دهنده‌ی بی صلاحیت

سوء استفاده از پروتکل‌ های شخص ثالث

هر حمله‌ای در درجه اول با تجزیه و تحلیل قربانی آغاز می‌شود. فناوری بلاک چین فرصت‌های زیادی را برای تنظیم خودکار و شبیه سازی سناریوهای هک فراهم می‌کند.

برای اینکه حمله سریع و از دید خارج باشد، مهاجم باید مهارت‌های برنامه نویسی و دانش لازم در مورد نحوه عملکرد قرارداد هوشمند را داشته باشد.

ابزار معمولی در اختیار یک هکر به او امکان می‌دهد تا نسخه کامل بلاک چین را از نسخه اصلی شبکه برای خود بارگیری و کپی کنند و سپس فرایند حمله را، چنان که گویی که تراکنش در یک شبکه واقعی انجام می‌شود، به طور کامل ترتیب داده و شبیه سازی کند. در مرحله بعد، مهاجم باید مدل تجاری پروژه و خدمات خارجی (خارج از خود شبکه بلاک چین) مورد استفاده را مطالعه کند.

اشتباهات در مدل‌های ریاضی منطقی کسب و کار و خدمات شخص ثالث دو موردی هستند که بیشتر مورد سوء استفاده مهاجمین قرار می‌گیرند و منجر به هک شدن پروتکل های دیفای می‌شوند.

غالبا توسعه دهندگان قراردادهای هوشمند داده‌های مربوطه را بیشتر از هر لحظه‌ی دیگری، در زمان انجام تراکنش نیاز دارند. بنابراین آن‌ها مجبور به استفاده از خدمات خارجی، مثل اوراکل می‌شوند؛ استفاده از این خدمات خطرات مضاعفی در پی دارد چرا که آن‌ها به گونه‌ای طراحی نشده‌اند که بتوانند در محیطی بدون نیاز به حکمرانی یک نهاد (مانند آن چه در شبکه بلاک چین شاهدش هستیم) عمل کنند. بر اساس آمارهای مربوط به تابستان سال ۲۰۲۰ (تابستان ۹۹)، این نوع کلاهبرداری‌ها و هک کردن سیستم از طریق پروتکل‌ های شخص ثالث و خطاهای منطقی تجارت در دیفای کم‌ترین سهم در میان سایر روش‌ها را دارد؛ به صورتی که تنها ۱۰ هک که منجر به ضرر کل تقریبا ۵۰ میلیون دلاری شده از این طریق انجام شده‌اند.

خطاهای برنامه نویسی

اشتباهات برنامه نویسی پروتکل‌ های دیفای را در معرض هک شدن قرار می‌دهد.

قراردادهای هوشمند یک مفهوم نسبتاً جدید در دنیای فناوری اطلاعات هستند. علیرغم سادگی، زبان‌های برنامه نویسی برای قرارداد هوشمند به الگوی توسعه کاملاً متفاوتی نیاز دارند. توسعه دهندگان اغلب به سادگی مهارت‌های برنامه نویسی لازم را ندارند و اشتباهات فاحشی را انجام می‌دهند که منجر به آسیب‌های زیادی به کاربران می‌شود. این در حالی است که ممیزی‌های امنیتی تنها بخشی از این نوع ریسک را حذف می‌کند؛ زیرا اکثر شرکت‌های حسابرسی موجود در بازار هیچ مسئولیتی در قبال کیفیت کارهایی که انجام می‌دهند ندارند و فقط به جنبه مالی علاقه دارند.

بیش از ۱۰۰ پروژه به دلیل خطاهای برنامه نویسی هک شدند که ضررشان در حدود ۵۰۰ میلیون دلار بوده است. یک مثال واضح از این نوع، هک dForce است که در ۱۹ آوریل ۲۰۲۰ (۳۱ فروردین ۹۹) رخ داد و هکرها همراه با یک حمله بازدخولی (Re-entrancy) از آسیب پذیری استاندارد توکن ERC-777 استفاده کردند و ۲۵ میلیون دلار بدست آوردند.

وام‌های فلش و بی وثیقه، دستکاری قیمت و حملات ماینرها

اطلاعات ارائه شده به قرارداد هوشمند فقط در زمان انجام تراکنش مربوط است و به طور پیش فرض، این قراردادها از دستکاری خارجی احتمالی اطلاعات موجود در آن مصون نیستند، لذا همین امر طیف وسیعی از حملات و هک پروتکل های دیفای را ممکن می‌سازد. وام‌های فلش وام‌هایی بدون وثیقه هستند، اما مستلزم بازگرداندن مقدار ارز دیجیتال قرض گرفته شده در همان تراکنش هستند؛ اگر وام گیرنده نتواند وجه مورد نظر را پس دهد، معامله لغو می‌شود (برگشت داده می‌شود). چنین وام‌هایی به وام گیرنده اجازه می‌دهد مقدار زیادی ارز دیجیتال دریافت کرده و از آن‌ها برای اهداف مورد نظر خود استفاده کند. به طور معمول، حملات مربوط به وام‌های فلش شامل دستکاری قیمت هستند.

مهاجم می‌تواند ابتدا تعداد زیادی توکن وام گرفته شده را در یک معامله بفروشد و در نتیجه قیمت آن‌ها را کاهش دهد و سپس قبل از خرید مجدد آن‌ها، باز هم اقداماتی را در راستای بسیار پایین آوردن ارزش آن توکن انجام دهد.

حمله ماینر نیز نوع آنالوگ حمله به بلاک چین از طریق وام فلش است که بر اساس الگوریتم اثبات کار کار می‌کند. این نوع حملات پیچیده‌تر و گران‌تر هستند اما می‌تواند برخی از لایه‌های حفاظتی وام‌های فلش را دور بزند. نحوه عملکرد آن به این صورت است که مهاجم ظرفیت‌های استخراج را اجاره می‌کند و یک بلاک که تنها شامل تراکنش‌های مورد نیاز خودش است را تشکیل می‌دهد.

در این بلوک، آن‌ها می‌توانند ابتدا توکن‌ها را وام بگیرند، قیمت‌ها را دستکاری کنند و سپس توکن‌های وام گرفته شده را بازگردانند. از آنجا که مهاجم به طور مستقل تراکنش‌ها را وارد بلاک می‌کند و همچنین ترتیب آن‌ها را خودش مشخص می‌کند، مانند آنچه در هک وام‌های فلش اتفاق می‌افتد، حمله در واقع اتمی است (هیچ تراکنش دیگری نمی‌تواند در بلاک گنجانده شود). این نوع حملات برای هک بیش از ۱۰۰ پروژه دیفای مورد استفاده قرار گرفته و مجموع خسارت وارد شده به آن‌ها در حدود ۱ میلیارد دلار است. به طور متوسط ​​تعداد هک‌ها در این زمینه در طول زمان افزایش یافته است؛ به طوری که طی یک سرقت در ابتدای سال ۲۰۲۰ (زمستان ۹۸)، صدها هزار دلار از دست رفت و تا پایان سال، مبلغ آن به ده‌ها میلیون دلار افزایش یافت.

عدم صلاحیت توسعه دهنده

عدم صلاحیت توسعه دهنده به عنوان خطرناک‌ترین عامل هک پروتکل دیفای شناخته می‌شود.
خطرناک‌ترین نوع خطر در این حوزه، خطای انسانی است. مردم در جستجوی بدست آوردن پول سریع به DeFi متوسل می‌شوند. در حالی که بسیاری از توسعه دهندگان از صلاحیت پایینی برخوردارند، همچنان سعی می‌کنند پروژه‌ها را با عجله راه اندازی کنند. قراردادهای هوشمند منبع باز هستند و بنابراین به راحتی توسط هکرها کپی شده و تغییر می‌یابند. اگر پروژه اصلی شامل سه نوع اول آسیب پذیری که در این مقاله بیان شد باشد، خطر هکرها به صدها پروژه شبیه سازی شده سرایت می‌کند. RFI SafeMoon یک مثال خوب در معرض این نوع حمله است زیرا یک آسیب پذیری اساسی دارد؛ در آن همزمان بیش از ۱۰۰ پروژه قرار گرفته‌اند و با هک آن‌ها زیان بالقوه بالغ بر ۲ میلیارد دلار پیش خواهد آمد.

پروژهسرمایه هک شده
(Alpha Finance Lab (ALPHA) & Cream Finance (CREAM

۳۷,۰۰۰,۰۰۰

(Yearn Finance (YFI
۱۱,۰۰۰,۰۰۰
(AutoShark Finance (JAWS

۸۲۲,۰۰۰
(xToken (XTK

۲۴,۵۰۰,۰۰۰
(bEarn Fi (BFI

۱۱,۰۰۰,۰۰۰
(Wild Credit (WILD

اطلاعات دقیقی در دسترس نیست
(Belt Finance (BELT

۵۰,۰۰۰,۰۰۰
(Bondly Finance (BONDLY

اطلاعات دقیقی در دسترس نیست
(Venus Protocol (XVS

اطلاعات دقیقی در دسترس نیست
(BT Finance (BT

۱,۵۰۰,۰۰۰
(BurgerSwap (BURGER

۷,۲۰۰,۰۰۰
bZx۵۵,۰۰۰,۰۰۰
Uranium Finance

۵۰,۰۰۰,۰۰۰
(TurtleDex (TTDX

۲,۴۰۰,۰۰۰
(ChainSwap (ASAP

۵,۲۰۰,۰۰۰
Cream Finance

۱۹,۰۰۰,۰۰۰
Cream Finance

۱۳۰,۰۰۰,۰۰۰
Dao Maker

۱۱,۰۰۰,۰۰۰
(DODO (DODO۱,۹۱۰,۰۰۰
Merlin Lab

۱,۵۶۰,۰۰۰
(Meerkat Finance (MKAT

۳۱,۰۰۰,۰۰۰
(Levyathan (LEV

اطلاعات دقیقی در دسترس نیست
(Iron Finance (IRON

۱۷۰,۰۰۰
(Impossible Finance (IF

۵۰۰,۰۰۰
(Growth DeFi (GRO

۱,۳۰۰,۰۰۰
(Furucombo (COMBO۱۴,۰۰۰,۰۰۰
(Force DAO (FORCE

۳۷۶,۰۰۰
(Eleven Finance (ELE

۴,۶۰۰,۰۰۰
(EasyFi (EZ

۸۰,۰۰۰,۰۰۰
Poly Network

۲۶۸,۰۰۰,۰۰۰
(Popsicle Finance (ICE

۲۵,۰۰۰,۰۰۰
Roll۵،۷۰۰،۰۰۰
(Punk Protocol (PUNK

۳,۹۵۰,۰۰۰
(Popsicle Finance (ICE

۲۵,۰۰۰,۰۰۰
(SafeDollar (SDO

۲۴۸,۰۰۰
(Paid Network (PAID

۱۶۰,۰۰۰,۰۰۰
(SafeDollar (SDO

۲۴۸,۰۰۰
(PancakeBunny (BUNNY

۲۰۰,۰۰۰,۰۰۰
Uranium Finance

۵۰,۰۰۰,۰۰۰
(Alchemix (ALCX

اطلاعات دقیقی در دسترس نیست
  


هکر کلاه سفید

هفته گذشته در تاریخ ۱۰ آگوست، بزرگترین هک تاریخ کریپتو اتفاق افتاد و هکرها موفق شدند ۶۱۱ میلیون دلار از دارایی‌های پروتکل دیفای پولی نتورک (PolyNetwork) را در شبکه‌های اتریوم، زنجیره هوشمند بایننس و … سرقت کنند. (لازم به ذکر است که پولی نتورک ارتباطی با پروژه پالیگان یا متیک ندارد)

آدرس کیف پول هکر بلافاصله برچسب خورد و کمپانی تتر نیز ۳۳ میلیون USDT موجود در این آدرس را بلافاصله فریز کرد. کمپانی تتر تا به این لحظه موجودی USDT در ۵۰۰ آدرس شبکه اتریوم را فریز کرده است.

این هکر در تاریخ ۱۲ آگوست، در وهله‌ی اول ۲۶۰ میلیون دلار از دارایی‌های به سرقت رفته را به پولی نتورک بازگرداند و اعلام کرد که هیچ گاه قصد سرقت این وجوه را نداشته است. او افزود:

“من می‌خواهم نکاتی را در مورد نحوه تامین امنیت شبکه‌ به آن‌ها ارائه دهم تا در آینده واجد شرایط مدیریت یک پروژه میلیارد دلاری باشند.”

پولی نتورک پس از دریافت کامل دارایی‌های هک شده با انتشار بیانیه‌ای اعلام کرد که مایل است به این هکر ۵۰۰ هزار دلار جایزه به دلیل کشف نقص‌های موجود در برنامه اهدا کند اما هکر از پذیرش این موضوع امتناع کرد و متعاقباً همه وجوه را پس داد.

تا به امروز هویت این هکر که به “آقای کلاه سفید” معروف شده است، ناشناخته مانده است و این یکی از معدود هک‌های تاریخ دیفای می‌باشد که پایان خوشی به همراه داشته است.

به گفته Immunefi از این پس بودجه‌ای ۱۰۰ هزار دلاری برای کشف آسیب پذیری‌های پروتکل‌های قراردادهای هوشمند تخصیص داده خواهد شد.

جمع بندی

اکوسیستم دیفای خدمات زیادی برای ارائه به موسسات مالی سنتی دارد و این راه پر پیچ‌وخم به اندازه‌ای مهم است که نمی‌توان تهدید هکرهای فرصت‌طلب را نادیده گرفت. خوشبختانه، با پایبندی به دو قانون اساسی امنیتی، پروژه‌های فعال در عرصه امور مالی غیر متمرکز می‌توانند ریسک‌های خود را تا حد زیادی کاهش دهند.

قانون اول این است که موسسات مالی کلیدهای خصوصی خود را به ایمن‌ترین شیوه مدیریت کنند؛ به گونه‌ای که اکثر دارایی‌ها را در کیف پول‌های سرد و خارج از دسترس هکرها نگهداری کنند و برای انجام تراکنش‌های با تکرار زیاد و خودکار، فقط حجم کمی از دارایی‌ها را با MPC مدیریت کنند. قانون دوم بررسی و بازبینی شکاف‌های امنیتی است. این کار هم قراردادهای هوشمند را مورد بازبینی قرار می‌دهد و هم پایبندی به قانون شماره یک را ارزیابی می‌کند.

Rate this post
تمامی حقوق مادی و معنوی این وبسایت متعلق به ایران بیت می‌باشد.