امنیت پل های بلاک چین

امنیت پل های بلاک چین چگونه است؟ چرا پل های بلاک چین هدف هک هستند؟ میلیاردها دلار دارایی دیجیتال به دست هکرهای پل های بلاک چین از دست رفته است. در این مطلب توضیح می دهیم که آیا پل های بلاک چین ایمن هستند؟ چرا پل ها هدف هک هستند؟ چرا و چگونه می توان از پل ها بهره برداری کرد. در مارس 2022، بیش از 625 میلیون دلار ارزهای رمزنگاری شده از پروتکل پل رونین (Ronin Bridge protocol) در نتیجه حمله مخرب هکرها به سرقت رفت و این رویداد را به عنوان یکی از بزرگترین سرقت‌های ارزهای دیجیتال تاکنون به ثبت رساند. در ماه ژوئن، پل هارمونی وان هورایزن (Harmony One’s Horizon) در یک حمله بیش از 100 میلیون دلار ضرر کرد. در ماه آگوست، 200 میلیون دلار دیگر از پل Nomad Bridge به دلیل سوءاستفاده از یک آسیب پذیری در فناوری زیربنایی آن (قراردادهای هوشمند) از دست رفت.

در مجموع، Chainalysis تخمین می‌زند که تنها در سال 2022 بیش از 2 میلیارد دلار دارایی دیجیتال از پل‌های بلاک چین به سرقت رفته است. این رقم تقریباً 69٪ از کل وجوه رمزنگاری سرقت شده در سال را تشکیل می دهد.

فراوانی این هک های پل به یک سیگنال هشدار برای کاربران و تهدیدی قابل توجه برای اعتمادسازی در فناوری بلاک چین تبدیل شده است. با افزایش سرعت پذیرش ارزهای دیجیتال، صنعت با فشار فزاینده ای برای رفع نقص هایی که این سوء استفاده ها را مجاز کرده است، مواجه است.

در این مقاله، به این می‌پردازیم که چرا پل‌های بلاک‌ چین به بخشی ضروری از اکوسیستم رمزنگاری تبدیل شده‌اند، امنیت پل های بلاک چین، تفاوت بین پل‌های مبتنی بر اعتماد و پل‌های غیرقابل اعتماد و ضعف‌های بالقوه در هر مدلی که هکرها را قادر می‌سازد تا وجوهی را در هر یک از آنها جمع‌آوری کنند چیست.

پل های بلاک چین چیست؟

قبل از پرداختن به موضوع امنیت پل های بلاک چین بهتر است تعریفی از پل های بلاک چین داشته باشیم. پل های بلاک چین که به عنوان پل های شبکه یا پل های زنجیره ای نیز شناخته می شوند، ابزاری هستند که برای حل چالش قابلیت همکاری بین بلاک چین ها طراحی شده اند. پل ها به یکی از اجزای ضروری صنعت بلاک چین تبدیل شده اند زیرا، همانطور که می دانید بلاک چین ها در سیلوها کار می کنند و نمی توانند با یکدیگر ارتباط برقرار کنند.

به عنوان مثال، کاربران نمی توانند از بیت کوین (BTC) در بلاک چین اتریوم یا اتر (ETH) در بلاک چین بیت کوین استفاده کنند. بنابراین اگر یکی از کاربران (بگذارید او را بیلی بنامیم) که تمام وجوه خود را در بیت‌کوین نگه می‌دارد، بخواهد برای یک کالا به کاربر دیگری (بیایید او را Ethel بنامیم) پول بپردازد اما اتل فقط ETH را قبول کند، بیلی به مانع برخورد می‌کند. او نمی تواند BTC را مستقیماً برای اتل ارسال کند. او می تواند اقدامات بیشتری را برای خرید ETH انجام دهد یا بخشی از BTC خود را با ETH معامله کند اما BTC نمی تواند مستقیماً به اتل ارسال شود. این موضوع می تواند به عنوان یک نقطه ضعف بزرگ در مقایسه با ارزهای فیات و کارت های اعتباری، (که می توانند در چندین ارائه دهنده استفاده شوند)، دیده شود.

هدف پل های بلاک چین حذف این مشکل است...

در حالی که هر پل بلاک چین متفاوت طراحی شده است، این پل ها معمولاً به کاربران اجازه می دهند مقدار مشخصی از دارایی های دیجیتال را در یک بلاک چین قفل کنند. در ازای آن، پروتکل سپس همان مقدار دارایی را در بلاک چین دیگری، معادل وجوهی که در آن قفل شده است، اعتبار یا ضرب می کند.

این دارایی‌های جدید به عنوان نسخه‌های یک توکن رپد شده شناخته می‌شوند. به عنوان مثال، کاربری که اتر (ETH) خود را در یک بلاک چین قفل می کند، یک اتر "رپد شده" (wETH) در بلاک چین دیگر دریافت می کند. این کار به بیلی اجازه می دهد تا از یک پل برای ارسال رپد بیت کوین (wBTC) که بر روی بلاک چین اتریوم کار می کند، به روشی یکپارچه تر به اتل استفاده کند.

پل های بلاک چین مبتنی بر اعتماد در مقابل پل های غیرقابل اعتماد

از نقطه نظر امنیتی، پل ها را می توان به دو گروه اصلی طبقه بندی کرد: قابل اعتماد (همچنین به عنوان حضانتی شناخته می شود) و غیر قابل اعتماد (غیرحضانتی). پلتفرم‌های مورد اعتماد اساساً پلتفرم‌هایی هستند که برای تأیید تراکنش‌ها به اشخاص ثالث متکی هستند و در عین حال به عنوان نگهبان دارایی‌های پل‌شده عمل می‌کنند. به عنوان مثال، تمام بیت کوین های رپدشده توسط BitGo نگهداری می شود. داشتن یک شرکت کنترل تمام دارایی به این معنی است که یک نقطه شکست وجود دارد چراکه اگر شرکت فاسد باشد، ورشکست شود یا مشکلات اساسی دیگری داشته باشد، رمزارزی که در اختیار دارد در خطر است.

برای مثال، پروتکل Ronin Bridge بر 9 اعتبارسنجی تکیه داشت که چهار مورد از آنها توسط تیم Sky Mavis نگهداری می شد. برای حفظ امنیت، پل رونین به اکثریت این گره‌های اعتبارسنجی (پنج یا بیشتر) نیاز دارد تا هرگونه برداشت یا واریز را آغاز کنند. با این حال، از آنجایی که مهاجمان می‌توانستند هر چهار گره تحت کنترل تیم Sky Mavis را به خطر بیاندازند، تنها به یک گره اضافی برای در دست گرفتن کنترل نیاز داشتند. آنها این کار را انجام دادند و به آنها اجازه داد تا پروتکل 625 میلیون دلاری را تحت پوشش یک برداشت "تأیید شده" تخلیه کنند.

نمونه های دیگر پل های مبتنی بر اعتماد عبارتند از بایننس بریج، پل Polygon POS، پل آوالانچ، پل هارمونی و Terra Shuttle Bridge.

از سوی دیگر، پلتفرم هایی که صرفاً به قراردادها و الگوریتم های هوشمند برای ذخیره دارایی های حضانتی متکی هستند، پل های بی اعتماد یا غیرحضانتی نامیده می شوند. محدودیت‌های آن مربوط به یکپارچگی کد اصلی آن است.

به عنوان مثال، Wormhole پلتفرمی است که تراکنش‌های بین سولانا و اتریوم را تسهیل می‌کند. Wormhole یک پروتکل پل بلاک چین است که در فوریه 2022 به دلیل اشکال در قرارداد هوشمند مورد سوء استفاده قرار گرفت. این موضوع به مهاجمان اجازه داد تا فرآیندهای تأیید آن را دور بزنند و منجر به هک بیش از 326 میلیون دلار شد.

نمونه های دیگری از پل های بی اعتماد عبارتند از: Rainbow Bridge، پل اسنو پولکادات و کاسموس IBC.

آیا پل های بلاک چین ایمن هستند؟

هر دو رویکرد قابل اعتماد و غیرقابل اعتماد می توانند دارای ضعف های اساسی یا فنی باشند. به بیان دقیق‌تر، جنبه مرکزی یک پل قابل اعتماد یک نقص اساسی را نشان می‌دهد و پل‌های غیرقابل اعتماد در برابر سوء استفاده‌هایی که از نرم‌افزار و کدهای زیرین نشات می‌گیرند آسیب‌پذیر هستند. به سادگی، اگر نقصی در قرارداد هوشمند وجود داشته باشد، تقریباً مطمئن است که طرف‌هایی که سوء قصد دارند از آن سوء استفاده کنند.

متأسفانه، راه حل کاملی برای معمایی که صنعت با آن مواجه است وجود ندارد. هر دو پلتفرم قابل اعتماد و غیرقابل اعتماد دارای نقص های ضمنی در طراحی خود هستند و امنیت پل های بلاک چین را به روش های مربوطه به خطر می اندازند.

علاوه بر این، با افزایش ارزش و کاربران صنعت ارزهای دیجیتال، هکرها پیچیده تر می شوند. حملات سایبری سنتی مانند مهندسی اجتماعی و حملات فیشینگ نیز با روایت Web3 برای هدف قرار دادن پروتکل‌های متمرکز و غیرمتمرکز سازگار شده‌اند.

اگرچه بیراه نیست اگر بگوییم، اولین قدم ارزشمند در جهت رسیدگی به مسائل مربوط به امنیت پل‌های بلاک چین می‌تواند یک ممیزی کد منبع بسیار دقیق قبل از استقرار پل بر روی بلاک چین باشد. این باید یک بررسی اساسی برای به حداقل رساندن هرگونه نقص باشد، زیرا تنها چیزی که لازم است یک لغزش با یک خط کد بد است و هکرها راهی برای ورود دارند.

به همین دلیل، برای کاربران حیاتی است که قبل از تعامل با هر اکوسیستم پل، که شامل بررسی اسناد، کد و بلوغ سیستم می‌شود، دقت لازم را انجام دهند. این کار وسیله ای برای محافظت از رمزارزهای آنهاست، در حالی که توسعه دهندگان راه حلی برای غلبه بر محدودیت های پروتکل های پل زدن بلاک چین فعلی پیدا می کنند.