با افزایش هک و حملات، آشنایی با آسیبپذیریهای قرارداد هوشمند ضروری است
هوشمند، اما آسیبپذیر
برنامهها و پلتفرمهای غیرمتمرکز امروزه از اهمیت زیادی برای بازار ارزهای دیجیتال برخوردار هستند و برخی پیشبینی میکنند که در آینده و با گسترش استفاده از وب۳.۰، بسیاری از خدمات غیرمتمرکز میتوانند بهعنوان جایگزینی برای محصولات و پلتفرمهای سنتی عمل کنند.
با این حال، قراردادهای هوشمند یک فناوری بینقص نیستند و برخی چالشها و مشکلات آنها باعث شده است تا بسیاری همچنان پلتفرمهای غیرمتمرکز را گزینه مناسبی برای استفاده روزمره نبینند. یکی از بزرگترین چالشها، نگرانیهای امنیتی است و آسیبپذیریها در قراردادهای هوشمند میتواند عواقب بزرگی به همراه داشته باشد.
تخلیه موجودی از بسترهای مالی، سرقت دادههای مهم و حتی خاموشی پلتفرم از جمله مواردی هستند که در نتیجه آسیبپذیریهای قراردادهای هوشمند میتوانند رخ دهند. بنابراین، امروزه توجهها نسبت به این موضوع افزایش یافته است و بسیاری از توسعهدهندگان در تلاش هستند تا امنیت قراردادهای هوشمند و در نتیجه پلتفرمهای غیرمتمرکز را افزایش دهند.
تمرکز ویژهای نسبت به این موضوع وجود دارد و شبکهها همراه با توسعهدهندگان در تلاش هستند تا امنیت قراردادهای هوشمند و در نتیجه پلتفرمها را افزایش دهند.
آسیبپذیریهای قرارداد هوشمند
قراردادهای هوشمند برنامههای کدنویسیشدهای هستند که در صورت فراهم شدن پیشنیازهای تعیینشده، بهطور خودکار اجرا میشوند. بنابراین فعالیت قراردادهای هوشمند نیازمند مدیریت و نظارت نیست و این قراردادها میتوانند مستقل و خودکار فعالیت داشته باشند؛ این ویژگی در حالی که مزایای قابل توجهی دارد، اما چالشهایی را نیز ایجاد کرده است.
معمولا پس از استقرار یک قرارداد هوشمند در بلاک چین، آن را نمیتوان به راحتی تغییر داد و متوقف کرد. علاوه بر آن، نبود نظارت مداوم بر قراردادهای هوشمند به این معنی است که در صورت وجود یک آسیبپذیری، هکرها با لایههای امنیتی دیگری مواجه نیستند و میتوانند به راحتی به پلتفرمی که از آن قرارداد استفاده میکند، نفوذ کنند.بهعنوان مثال، در سال۲۰۱۶ حملهای در شبکه اتریوم رخ داد و هکرها بهدلیل ضعف امنیتی در قرارداد هوشمند موفق شدند تا به پروژه دائو نفوذ کنند و داراییهای دیجیتال به ارزش تقریبی ۵۰میلیون دلار را به سرقت ببرند. این هک اثرات بزرگی را به همراه داشت و باعث شد تا جامعه اتریوم برای جبران این خسارت یک هاردفورک انجام دهند.
بنابراین آسیبپذیری در قراردادهای هوشمند پروژههای یک شبکه، در برخی زمانها میتواند کل شبکه را تحت تاثیر قرار دهد و حتی به مواردی مانند توقف فعالیت و سقوط جایگاه شبکه و ارز دیجیتال آن در بازار منجر شود.
در این بین، کلاهبرداران نیز از آسیبپذیریهای قراردادهای هوشمند به روشهای مختلفی استفاده میکنند تا داراییهای کاربران را به سرقت ببرند. در یکی از روشهای معمول، کلاهبرداران پروژههای به ظاهر معتبر ایجاد میکنند تا توجه سرمایهگذاران و کاربران را به آن جلب کنند؛ با این حال در کدنویسی آن پروژه و قراردادهای هوشمند کدهای مخربی را قرار میدهند تا در زمان مناسب به کمک آنها موجودی کاربران را تخلیه کنند.
بهعنوان مثال، کلاهبردار میتواند در کدهای قرارداد هوشمند تعریف کند تا پس از رسیدن موجودی صندوق پروژه به عددی مشخص، تمام داراییها به کیف پول او واریز شود. با این حال معمولا کلاهبرداران حملات خود را به این شکل واضح و مشخص انجام نمیدهند. کلاهبرداران میتوانند با ایجاد کدهای پیچیده، نیت خود را مخفی نگه دارند و در برخی موارد، کدهای ظاهرا بیخطر ممکن است که در شرایط خاصی منجر به انتقال سرمایه به کیف پول کلاهبردار شوند.
حتی در برخی زمانها ممکن است که در ابتدا مشکل و آسیبپذیری در کدهای یک پروژه وجود نداشته باشد، اما در آینده و در زمان مناسب، توسعهدهندگان و کلاهبرداران میتوانند در یک بهروزرسانی آسیبپذیریهای مورد نظر خود را به پروژه اضافه و از آن استفاده کنند.
آسیبپذیریها همچنین راهی را در اختیار کلاهبرداران بازار قرار میدهند تا خود را مقصر نشان ندهند. در برخی زمانها هک و حملات انجامشده به پلتفرمهای مالی بازار ارزهای دیجیتال توسط خود تیم توسعه انجام میشود تا با مخفی نگه داشتن هویت و مقاصد خود، بخشی یا تمام داراییهای پروژه را تخلیه کنند.
ضرورت افزایش امنیت
درحالیکه رقمهای به سرقترفته در نتیجه آسیبپذیریهای قراردادهای هوشمند قابل توجه است، اما تمام قراردادها مشکلات امنیتی ندارند و بهطور کلی بازار دیفای و برنامههای غیرمتمرکز از امنیت بسیار خوبی برخوردار هستند.
با وجود این، تحقیق و بررسی پیش از استفاده از هر پلتفرم و سرمایهگذاری در پروژهها ضروری است؛ هرچند بررسی آسیبپذیریهای قراردادهای هوشمند میتواند کار بسیار سختی باشد. پروژههای بلاکچینی ممکن است از هزاران کد تشکیل شده باشند و بررسی این کدها برای سرمایهگذاران و کاربران عمومی پلتفرمها امری غیرممکن است.
به همین دلیل امروزه ابزارهای امنیتی خودکار و هوشمندی در بازار ارزهای دیجیتال عرضه شدهاند که در این زمینه به کاربران کمک میکنند. سرتیک اسکاینت از جمله این پروژهها است که بهعنوان زیرمجموعه پروژه بلاکچینی سرتیک عمل میکند و براساس برخی معیارها و بررسیهای هوشمند، به کدها و قراردادهای هوشمند پروژهها و ارزهای دیجیتال نمره میدهد.
این پلتفرم همچنین دلایل کاهش نمرات را عنوان میکند که برای بررسی امنیت کلی پروژههای بلاکچینی کاربرد دارد. بنابراین سرمایهگذاران در مواجهه با پروژههای جدید بازار به جای بررسی تکتک کدهای نوشتهشده، میتوانند از خدمات این پلتفرمهای رایگان بهره ببرند تا از نبود آسیبپذیریهای شناختهشده بازار در آن پروژه اطمینان حاصل کنند.
در این بین برخی پروژهها مانند ایمیون فای نیز فعالیت دارند که تمرکز اصلی آنها بر توسعهدهندگان و پروژههای بلاکچینی است. این ابزارها به جای ارائه اطلاعات به کاربران، بهطور مستقیم با تیمهای بلاکچینی همکاری دارند و به آنها کمک میکنند تا امنیت پلتفرم و کدهای خود را افزایش دهند.
هم اکنون نیز ایمیون فای با بنیاد اتریوم همکاری دارد و در یک رویداد، از هکرها در سراسر جهان دعوت کردهاند تا شبکه اتریوم را بررسی کنند. هدف از این تست آسیبپذیری که به آن باگ بانتی گفته میشود، کشف ضعفهای امنیتی است و به هکرهایی که این آسیبپذیریهایی را پیدا میکنند، پاداش داده میشود.
بنابراین وظیفه بررسی امنیت قراردادهای هوشمند معمولا برعهده کاربران نیست و توسعهدهندگان پروژههای معتبر بازار توجه ویژهای به این نکته دارند و همواره تلاش میکنند تا آسیبپذیریها را پیش از سوءاستفاده هکرها برطرف کنند.
با این حال، همچنان هک و حملات آنلاین در فضای دیفای وجود دارد و هرساله میلیونها دلار از بازار ارزهای دیجیتال به سرقت میرود. این شرایط نشان میدهد که با وجود پیشرفت ابزارهای امنیتی و انجام مداوم تستهای نفوذ، رخ دادن هک در فضای ارزهای دیجیتال اجتنابناپذیر است و طی سالهای گذشته حتی برخی از پلتفرمهای محبوب و پیشرفته بازار نیز قربانی شدهاند. بنابراین، کاربران و سرمایهگذاران نیز باید توجه ویژهای به امنیت داراییهای خود داشته باشند و برای حفظ امنیت سرمایه تنها به پلتفرم مورد استفاده خود تکیه نکنند. استفاده از کیف پولهای غیرحضانتی، سختافزاری و عدم نگهداری طولانی مدت سرمایه در پلتفرمها از جمله مواردی هستند که امروزه توسط تحلیلگران و فعالان بازار توصیه میشوند و میتوانند به افزایش امنیت داراییها کمک کنند.
