در واقع اسکریپت در بلاک چین نوعی کد است که موارد استفاده از آن شامل اجرای قراردادهای هوشمند، مدیریت انتقال توکن یا حتی ایجاد منطق پیچیده برای برنامه های غیرمتمرکز است. توسعه دهندگان کریپتو از زبان های اسکریپت نویسی مانند پایتون (فریم ورک براونی)، جاوا اسکریپت فریم ورک های Truffle HardHat و Solidity فریم ورک Foundry برای بهبود عملکرد و برنامه های کاربردی شبکه های بلاک چین استفاده می کنند. در ادامه این مقاله با انواع عملیات بلاک چین که با استفاده از اسکریپت ها امکان پذیر شده است آشنا می شویم و همچنین توضیحاتی در مورد سوء استفاده هکرها از اسکریپت ها ارائه می دهیم.
اسکریپت در بلاک چین چیست؟
از اسکریپت در بلاک چین برای ایجاد و اجرای کدهایی استفاده می شود که نحوه انجام تراکنش ها و تعاملات در شبکه بلاک چین را تعیین و مدیریت می کند. برخی از ویژگی ها و قابلیت های شبکه های بلاک چین ایجاد شده از طریق اسکریپت ها عبارتند از:
قراردادهای هوشمند: امروزه در بلاک چین های مختلف از قراردادهای هوشمند استفاده می شود و میتوان از اسکریپت ها برای آزمایش قراردادها، اجرا و تعامل آنها در بلاک چین استفاده کرد. این نوع قرارداد به محض احراز شرایط از پیش تعیین شده به صورت خودکار اجرا می شود. به عنوان مثال، می توان یک اسکریپت برای یک قرارداد هوشمند طراحی کرد که فروش یک توکن را مدیریت می کند و به محض تایید پرداخت، توکن ها را در اختیار کاربر قرار می دهد.
ربات های معاملاتی: اسکریپت های روی بلاک چین می توانند برای ایجاد ربات هایی استفاده شوند که به طور خودکار استراتژی های معاملاتی مختلفی را اجرا می کنند. برای مثال، رباتهای آربیتراژ حرکات قیمت را بین صرافی ها نظارت میکنند و به طور خودکار معاملاتی را قرار میدهند که از تفاوت قیمت دارایی بین صرافیها استفاده میکنند. به عنوان مثال، یک ربات معامله گر که برای آربیتراژ طراحی شده است، می تواند بیت کوین را با قیمت کمتری در صرافی خریداری کند و بلافاصله آن را در صرافی که بیت کوین را با قیمت بالاتری خریداری می کند، بفروشد.
زبان های برنامه نویسی: بلاک چین ها با استفاده از زبان های برنامه نویسی توسعه می یابند. به عنوان مثال، بیت کوین اسکریپت یک زبان برنامه نویسی برای بلاک چین بیت کوین است و توسعه دهندگان ویژگی هایی مانند تراکنش های چند امضایی را با استفاده از آن فعال کرده اند.
پردازش تراکنش: اسکریپت بلاک چین پردازش تراکنش های خودکار را امکان پذیر می کند. به عنوان مثال، یک برنامه غیرمتمرکز می تواند تراکنش ها، فرآیندهای وام دهی و استقراض را با استفاده از اسکریپت ها خودکار کند. اتوماسیون فرآیندهای بلاک چین علاوه بر افزایش کارایی سیستم، خطر بروز خطا را نیز کاهش می دهد.
اسکریپت صرافی ارزهای دیجیتال: توسعه دهندگان می توانند یک پلتفرم معاملاتی جدید از طریق اسکریپت مبادله ارزهای دیجیتال ایجاد کنند. به عنوان مثال، یک اسکریپت مبادله غیرمتمرکز که اجازه ایجاد یک بازار معاملاتی همتا به همتا را می دهد.
چالش های استفاده از اسکریپت در بلاک چین
اسکریپت های بلاک چین علاوه بر استفاده برای نوآوری، توسعه و اتوماسیون غیرمتمرکز، ابزار مفیدی برای هکرهایی هستند که میخواهند از آسیبپذیری ها در سایر اسکریپت های حساس به امنیت سوء استفاده کنند. این آسیبپذیری ها می توانند امنیت قراردادهای هوشمند، برنامه های غیرمتمرکز و حتی کل شبکه های بلاک چین را به خطر بیندازند. با استفاده از روش های مختلف اسکریپت نویسی، هکرها می توانند فعالیت های مخربی مانند سرقت دارایی و دستکاری داده های بلاک چین را انجام دهند. این در نهایت منجر به ضررهای سنگین صدها میلیون دلاری برای صنعت کریپتو و کاربران آن خواهد شد. در اینجا برخی از روش های رایج سوء استفاده هکرها از اسکریپت های بلاک چین آورده شده است:
- ری اینترنسی: این حمله شامل فراخوانی یکی از عملکردهای قرارداد هوشمند است و به هکر اجازه می دهد تا به طور متوالی از قرارداد خارج شود. DAO در سال 2016 با استفاده از همین روش هک شد و در نتیجه مقدار زیادی اتریوم (معادل 60 میلیون دلار در آن زمان) به سرقت رفت. در این نوع حمله، از ضعف قرارداد هوشمند در زمینه قفل کردن دارایی ها استفاده شد.
- ایرادات منطقی: وقتی اسکریپت در بلاک چین نوشته می شود، حتی ساده ترین خطا می تواند منجر به از دست رفتن حجم عظیمی از دارایی ها شود. برای مثال، ممکن است یک اسکریپت برای محدود کردن دسترسی غیرمجاز به درستی کار نکند. در مورد قرارداد هوشمند، ممکن است شرایط تعیین شده برای فیلمنامه آن به اندازه کافی دقیق نباشد و منجر به رفتار غیرمنتظره قرارداد شود. به عنوان مثال، یک خطای کوچک در منطق کدگذاری کیف پول Parity باعث شد بیش از 300 میلیون واحد اتریوم مسدود شده و در نتیجه فعالیت هزاران کاربر مختل شود.
- سرریز: محاسبات شامل اعداد صحیح ممکن است خارج از محدوده مورد انتظار قرار گیرند. اگر یک اسکریپت قرارداد هوشمند نتواند از این اتفاق جلوگیری کند و محدودیت های محاسباتی لازم را نداشته باشد، امکان جعل اطلاعات بسیار مهم وجود دارد. به عنوان مثال، یک هکر می تواند از یک حمله Underflow برای تولید توکن های جدید استفاده کند، عرضه کل یک ارز دیجیتال را افزایش دهد و سپس همه آنها را به یکباره بفروشد و در نهایت باعث کاهش قیمت توکن به صفر شود. حملات سرریز نیز معمولاً برای دستکاری قراردادهای قفل دارایی استفاده می شوند. فرض کنید قرار است پروژه ای یک ایردراپ را در یک هفته توزیع کند. با دستکاری قرارداد قفل دارایی، هکر آن را صفر می کند و بلافاصله ایردراپ خود را دریافت می کند. البته در حال حاضر امکان انجام چنین حملاتی بر روی شبکه اتریوم و شبکه های سازگار با ماشین مجازی اتریوم وجود ندارد زیرا آخرین نسخه سالیدیتی بررسی های Overflow و Underflow را انجام می دهد.
- Front-Running: در شبکه های بلاک چین، اطلاعات تراکنش برای همه قابل مشاهده است. یک ربات پیشرو اطلاعات تراکنش ها را در ممپول ها بررسی میکند و تراکنش ها را در یک زمان خاص ثبت میکند که کارمزد آنها از کاربران عادی بیشتر است و بنابراین زودتر پردازش میشوند. به عنوان مثال، اگر ربات پیشرو یک تراکنش بزرگ را تشخیص دهد، بلافاصله همان تراکنش را کپی کرده و با کارمزد بالاتر و در نتیجه سریعتر از تراکنش بزرگ ثبت می کند. به این ترتیب، هکر می تواند از تغییر قیمت ناشی از معامله بزرگ استفاده کند. این روش سوء استفاده از اسکریپت در بلاک چین بیشتر در پلتفرم های غیرمتمرکز رایج است که حتی کوچک ترین تغییر در قیمت ارزهای دیجیتال می تواند میزان سود و زیان را به میزان قابل توجهی تغییر دهد.
تاثیر اسکریپت در بلاک چین و آینده آن
اسکریپت نویسی نقش های زیادی را در بلاک چین ایفا میکند و همه چیز را از تراکنش های کوچک گرفته تا برنامه های غیرمتمرکز پیشرفته را امکان پذیر میکند. امروزه، ما شاهد تکامل زبان های اسکریپت نویسی مانند Solidity هستیم که بلاک چین را از یک ابزار ساده تراکنش همتا به همتا به یک پلتفرم جامع برای توسعه دهندگان با استعداد برای نوآوری تبدیل کرده است. البته این اتکا به اسکریپت نویسی و اتوماسیون فرآیند نیز چالش های امنیتی جدیدی ایجاد کرده است. ماهیت منبع باز بلاک چین و میزان اطلاعاتی که به صورت عمومی و شفاف منتشر میکند، هکرها را به دنبال یافتن مداوم راههای پیچیده تر برای حمله و سرقت دارایی ها، تحقیق و بهره برداری از ضعف های اسکریپت نویسی تا اجرای اسکریپت های پیشرفته برای انجام حملاتی مانند حملات پیشرو سوق داده است.
نظر بدهید