امنیت بلاک چین (Blockchain Security)

فناوری بلاک چین ساختاری از داده ها را با کیفیت های امنیتی ذاتی تولید می کند. این کار بر اساس اصول رمزنگاری، تمرکززدایی و اجماع است که اعتماد در تراکنش ها را تضمین می کند. در این مطلب در خصوص امنیت بلاک چین صحبت می کنیم، اما قبل از پرداختن به موضوع امنیت بلاک چین بهتر است مروری بر مفهوم بلاک چین و نحوه کارکرد آن داشته باشیم. در ادامه به موضوع امنیت بلاک چین در انواع بلاک چین های عمومی و خصوصی و همچنین حملات سایبری و کلاهبرداری ها در بلاک چین می پردازیم.

بلاک چین چیست؟

بلاک چین فناوری است که به کاربران و سازمان‌ها اجازه می‌دهد تا داده‌ها را با بلوک‌های توزیع‌ شده ساختار یافته موجود در شبکه بلاک چین ذخیره و پردازش کنند. هر بلوک جدید یک تراکنش یا بسته‌ای از تراکنش‌ها را ذخیره می‌کند که در قالب یک زنجیره رمزنگاری به تمام بلوک‌های موجود قبلی متصل است.

در بیشتر زنجیره‌های بلوکی یا فناوری‌های دفتر کل توزیع‌شده (DLT)، داده‌ها به صورت بلوک‌هایی ساختار یافته‌اند و هر بلوک شامل یک تراکنش یا بسته‌ای از تراکنش‌ها است. هر بلوک جدید به همه بلوک های قبل از خود در یک زنجیره رمزنگاری به گونه ای متصل می شود که دستکاری در آن تقریباً غیرممکن است. تمام تراکنش‌های درون بلوک‌ها توسط یک مکانیسم اجماع تأیید شده و مورد توافق قرار می‌گیرند و از صحت و درستی هر تراکنش اطمینان می‌دهند.

فناوری بلاک چین از طریق مشارکت اعضا در یک شبکه توزیع شده، تمرکززدایی را ممکن می کند. هیچ نقطه شکست واحدی وجود ندارد و یک کاربر نمی تواند رکورد تراکنش ها را تغییر دهد. با این حال، این فناوری‌ها در موضوع امنیت بلاک چین و برخی جنبه‌های امنیتی حیاتی متفاوت هستند.

بلاک چین چگونه کار می کند؟

نمی توان در مورد امنیت بلاک چین صحبت کرد قبل از اینکه با نحوه کار آن آشنا نشد. بلاک چین به عنوان یک شبکه توزیع شده عمل می کند که امکان تمرکززدایی داده ها را فراهم می کند که باعث می شود فناوری امن تر بوده و سخت تر دستکاری شود.

این یک شبکه دفتر کل غیرمتمرکز است که به سازمان ها اجازه می دهد از طریق گره هایی برای ذخیره سازی و پردازش داده ها به آن متصل شوند. داده‌های ذخیره‌شده در بلوک‌ها را می‌توان با تأیید، اعتبارسنجی و اجماع توسط نهاد اصلی که می‌خواهد داده‌ها را ذخیره یا پردازش کند، قابل دسترسی است.

در تصویر بالا، همانطور که مشاهده می کنید، هر زمان که کاربر با استفاده از یک برنامه مبتنی بر بلاک چین، تراکنشی را درخواست کند، یک بلوک مربوطه در شبکه بلاک چین برای ذخیره داده های آن تراکنش ایجاد می شود. سپس آن بلوک به هر گره در شبکه همتا به همتای توزیع شده ارسال می شود که تراکنش را بیشتر تایید می کند. پس از اعتبارسنجی، گره های شبکه برای اثبات کار (که توافقی بین گره های مختلف است که به عنوان اجماع توزیع شده نیز شناخته می شود) پاداش دریافت می کنند. سپس، بلوک به بلاک چین موجود اضافه می شود و کاربر یک تراکنش موفق را دریافت می کند.

دلیل اینکه بلاک چین این همه مورد تحسین قرار گرفته است این است که:

• این چیزی جز ادعای یک نهاد واحد است، بنابراین غیرمتمرکز است
• بلاک چین داده ها را به صورت رمزنگاری ذخیره می کند
• دستکاری داده ها در بلاک چین تقریبا غیرممکن است
• بلاک چین شفاف است که آن را غیرقابل ردیابی می کند

چگونه امنیت بر اساس انواع بلاک چین متفاوت است؟

شبکه‌های بلاک چین می‌توانند در این که چه کسی می‌تواند مشارکت کند و چه کسی به داده‌ها دسترسی دارد، متفاوت باشد. شبکه‌ها معمولاً به‌عنوان عمومی یا خصوصی نامیده می‌شوند که نشان می‌دهد چه کسانی مجاز به مشارکت هستند و دارای مجوز یا بدون مجوز که نحوه دسترسی مشارکت‌ کنندگان به شبکه را توضیح می‌دهد و این امنیت بلاک چین بر اساس بلاک چین های عمومی و خصوصی متفاوت خواهد بود.

بلاک چین های عمومی و خصوصی

شبکه‌های بلاک چین عمومی معمولاً به هر کسی اجازه می‌دهند به آن بپیوندند و شرکت‌کنندگان ناشناس بمانند. یک بلاک چین عمومی از رایانه های متصل به اینترنت برای تأیید تراکنش ها و دستیابی به اجماع استفاده می کند. بیت‌کوین احتمالاً شناخته‌شده‌ترین نمونه از بلاک‌ چین عمومی است و از طریق استخراج بیت‌کوین به اجماع می‌رسد. رایانه های موجود در شبکه بیت کوین یا «ماینرها» سعی می کنند یک مشکل رمزنگاری پیچیده را حل کنند تا اثبات کار را ایجاد کنند و در نتیجه تراکنش را تأیید کنند. خارج از کلیدهای عمومی، کنترل های هویت و دسترسی کمی در این نوع شبکه وجود دارد.

بلاک چین‌های خصوصی از هویت برای تأیید عضویت و دسترسی به امتیازات استفاده می‌کنند و معمولاً فقط به سازمان‌های شناخته شده اجازه عضویت می‌دهند. این سازمان ها با هم یک «شبکه تجاری» خصوصی و فقط برای اعضا تشکیل می دهند. یک بلاک چین خصوصی در یک شبکه مجاز از طریق فرآیندی به نام «تأیید انتخابی» به اجماع می رسد، جایی که کاربران شناخته شده تراکنش ها را تأیید می کنند. فقط اعضای دارای دسترسی و مجوزهای ویژه می توانند دفتر کل معاملات را حفظ کنند. این نوع شبکه به کنترل های هویت و دسترسی بیشتری نیاز دارد.

هنگام ساخت یک برنامه بلاک چین، ارزیابی اینکه کدام نوع شبکه به بهترین وجه با اهداف تجاری شما مطابقت دارد بسیار مهم است. شبکه های خصوصی و مجاز را می توان به شدت کنترل کرد و به دلایل انطباق و مقرراتی ترجیح داد. با این حال، شبکه های عمومی و بدون مجوز می توانند به تمرکززدایی و توزیع بیشتری دست یابند.

برای کسب اطلاعاتی در زمینه آموزش ارز دیجیتال، بر روی لینک کلیک کنید.

• بلاک چین های عمومی، عمومی هستند و هر کسی می تواند به آنها بپیوندد و تراکنش ها را تایید کند.
• بلاک چین های خصوصی محدود شده و معمولاً به شبکه های تجاری محدود می شوند. یک نهاد واحد یا کنسرسیوم، عضویت را کنترل می کند.
• بلاک چین های بدون مجوز هیچ محدودیتی برای پردازنده ها ندارند.
• بلاک چین‌ های مجاز به مجموعه‌ای از کاربران محدود می‌شوند که با استفاده از گواهی‌ ها، هویت خود را دریافت می‌ کنند.

حملات سایبری و کلاهبرداری

در حالی که فناوری بلاک چین یک دفتر کل تراکنش های ضد دستکاری ایجاد می کند، شبکه های بلاک چین از حملات سایبری و کلاهبرداری مصون نیستند. کسانی که نیت بد دارند می توانند آسیب پذیری های شناخته شده در زیرساخت بلاک چین را دستکاری کنند و در طول سال ها در هک ها و کلاهبرداری های مختلف موفق بوده و امنیت بلاک چین را به مخاطره انداخته اند. در اینجا چند نمونه آورده شده است:

بهره برداری از کد

سازمان غیرمتمرکز خودمختار (DAO)، یک صندوق سرمایه گذاری خطرپذیر که از طریق یک بلاک چین غیرمتمرکز با الهام از بیت کوین فعالیت می کند، بیش از 60 میلیون دلار ارز دیجیتال اتر، (حدود یک سوم ارزش آن)، از طریق بهره برداری از کد به سرقت رفت.

کلیدهای دزدیده شده

سرقت نزدیک به 73 میلیون دلار بیت کوین مشتریان از یکی از بزرگترین صرافی های ارزهای دیجیتال جهان، Bitfinex مستقر در هنگ کنگ، نشان داد که این ارز همچنان یک ریسک بزرگ است. دلیل احتمالی دزدیده شدن کلیدهای خصوصی بود که امضای دیجیتال شخصی است.

هک شدن کامپیوتر کارمند

هنگامی که Bithumb، یکی از بزرگترین صرافی‌های ارزهای دیجیتال اتریوم و بیت‌کوین، اخیرا هک شد، هکرها اطلاعات 30,000 کاربر را به خطر انداختند و 870,000 دلار بیت‌کوین را سرقت کردند. حتی اگر کامپیوتر یک کارمند هک شد (نه سرورهای اصلی) این رویداد سوالاتی را در مورد امنیت کلی ایجاد کرد.

چگونه کلاهبرداران به فناوری بلاک چین حمله می کنند؟

هکرها و کلاهبرداران به چهار روش اصلی امنیت بلاک چین ها را تهدید می کنند: فیشینگ، مسیریابی (Routing attacks)، Sybil و حملات 51 درصدی.

حملات فیشینگ

فیشینگ یک تلاش کلاهبرداری برای دستیابی به اعتبار یک کاربر است. کلاهبرداران ایمیل هایی را برای صاحبان کلید کیف پول ارسال می کنند که به گونه ای طراحی شده اند که انگار از یک منبع قانونی می آیند. ایمیل ها با استفاده از هایپرلینک های جعلی از کاربران می خواهند اعتبار خود را دریافت کنند. دسترسی به اعتبار کاربر و سایر اطلاعات حساس می تواند منجر به ضرر برای کاربر و شبکه بلاک چین شود.

حملات مسیریابی (Routing attacks)

بلاک چین‌ها به انتقال داده‌های بزرگ و بی‌درنگ متکی هستند. هکرها می توانند داده ها را هنگام انتقال به ارائه دهندگان خدمات اینترنتی رهگیری کنند. در حمله مسیریابی، شرکت کنندگان در بلاک چین معمولاً نمی توانند تهدید را ببینند، بنابراین همه چیز عادی به نظر می رسد. با این حال، در پشت صحنه، کلاهبرداران داده ها یا ارزهای محرمانه را استخراج کرده اند.

حمله Sybil 

در یک حمله Sybil، هکرها بسیاری از هویت های شبکه جعلی را ایجاد کرده و از آنها برای کرش کردن شبکه و خراب کردن سیستم استفاده می کنند. سیبیل به یک شخصیت مشهور در کتابی اشاره دارد که مبتلا به اختلال هویت چندگانه است.

حملات 51 درصدی

استخراج به مقدار زیادی از قدرت محاسباتی، به ویژه برای بلاک چین های عمومی در مقیاس بزرگ، نیاز دارد اما اگر یک ماینر یا گروهی از ماینرها بتوانند منابع کافی را جمع آوری کنند، می توانند بیش از 50 درصد از قدرت استخراج شبکه بلاک چین را به دست آورند. داشتن بیش از 50 درصد قدرت به معنای کنترل بر دفتر کل و توانایی دستکاری آن است.

توجه: بلاک چین های خصوصی در برابر حملات 51 درصدی آسیب پذیر نیستند.

در دنیای دیجیتال امروزی ضروری است که اقداماتی را برای تضمین امنیت طراحی و محیط بلاک چین خود انجام دهید. 

امنیت بلاک چین برای شرکت

هنگام ساخت یک برنامه بلاک چین سازمانی، مهم است که امنیت در تمام لایه‌های فناوری و نحوه مدیریت حاکمیت و مجوزهای شبکه را در نظر بگیرید. یک استراتژی امنیتی جامع برای راه‌حل بلاک چین سازمانی شامل استفاده از کنترل‌های امنیتی سنتی و کنترل‌های منحصر به فرد فناوری است. برخی از کنترل های امنیتی ویژه راه حل های بلاک چین سازمانی عبارتند از:

• مدیریت هویت و دسترسی
• مدیریت کلیدی
• حریم خصوصی داده ها
• ارتباط امن
• امنیت قرارداد هوشمند
• تایید معامله

از کارشناسانی استفاده کنید تا به شما در طراحی راه حلی سازگار و مطمئن و دستیابی به اهداف تجاری خود کمک کنند. به دنبال یک پلتفرم درجه تولید برای ساخت راه‌ حل‌ های بلاک چین باشید که می‌تواند در محیط فناوری مورد نظر شما، چه در محل یا فروشنده ابری مورد نظر شما، مستقر شود.

نکات و بهترین روش های امنیت بلاک چین

هنگام طراحی راه حل بلاک چین و برای رسیدن به امنیت بلاک چین، این سوالات کلیدی را در نظر بگیرید:

• مدل حاکمیتی برای سازمان ها یا اعضای شرکت کننده چیست؟
• چه داده هایی در هر بلوک گرفته می شود؟
• الزامات نظارتی مربوطه چیست و چگونه می توان آنها را برآورده کرد؟
• جزئیات هویت چگونه مدیریت می شود؟ آیا محموله های بلاک رمزگذاری شده اند؟ کلیدها چگونه مدیریت و باطل می شوند؟
• طرح بازیابی حوادث برای شرکت کنندگان در بلاک چین چیست؟
• حداقل وضعیت امنیتی برای مشتریان بلاک چین برای مشارکت چیست؟
• منطق حل برخوردهای بلوک بلاک چین چیست؟

هنگام ایجاد یک بلاک چین خصوصی، اطمینان حاصل کنید که در زیرساخت ایمن و انعطاف پذیر مستقر شده است. انتخاب‌های ضعیف فناوری زیربنایی برای نیازها و فرآیندهای تجاری می‌تواند منجر به خطرات امنیتی داده‌ها از طریق آسیب‌پذیری‌های آنها شود.

ریسک های کسب و کار و حاکمیت را در نظر بگیرید. ریسک‌های تجاری شامل پیامدهای مالی، عوامل شهرت و ریسک‌های انطباق است. ریسک‌های حاکمیتی عمدتاً از ماهیت غیرمتمرکز راه‌حل‌های بلاک‌ چین ناشی می‌شوند و به کنترل‌های قوی روی معیارهای تصمیم‌گیری، سیاست‌های حاکم، هویت و مدیریت دسترسی نیاز دارند.

امنیت بلاک چین در مورد درک خطرات شبکه بلاک چین و مدیریت آنها است. طرح اجرای امنیت برای این کنترل ها یک مدل امنیتی بلاک چین را تشکیل می دهد. یک مدل امنیتی بلاک چین ایجاد کنید تا اطمینان حاصل کنید که تمام اقدامات برای ایمن سازی مناسب راه حل های بلاک چین شما وجود دارد.

برای پیاده‌سازی یک مدل امنیتی در موضوع امنیت بلاک چین، مدیران باید یک مدل ریسک ایجاد کنند که بتواند تمام ریسک‌های تجاری، حاکمیتی، فناوری و فرآیند را برطرف کند. در مرحله بعد، آنها باید تهدیدات راه حل بلاک چین را ارزیابی کرده و یک مدل تهدید ایجاد کنند. سپس، مدیران باید کنترل‌های امنیتی را که خطرات و تهدیدات را کاهش می‌دهند بر اساس سه دسته زیر تعریف کنند:

اعمال کنترل های امنیتی که منحصر به بلاک چین هستند

اعمال کنترل های امنیتی مرسوم

اعمال کنترل های تجاری برای بلاک چین