- هلواکس
- مجله هلواکس
- از نگاه هلواکس
- همه چیز درباره امنیت بلاکچین
همه چیز درباره امنیت بلاکچین
- ۰۹ خرداد ۱۴۰۳
- 221 بازدید
فهرست مطالب
امروز همه نگران امنیت سایبری هستند و به دلیل افزایش حملات سایبری باید هم اینگونه باشد. بنابراین اولین پرسش مردم درباره هر پیشرفت جدید هم این است که چقدر ایمنی دارد؟. بلاکچین (blockchain) هم یک فناوری نسبتا جدید است که در ابتدا برای پشتیبانی از عرضه بیت کوین ایجاد شد. با این حال، محبوبیت این فناوری افزایش یافت و مردم در حال کشف این موضوع هستند که کاربردهای بلاکچین فراتر از ارزهای دیجیتال است. این محبوبیت بالا به طور طبیعی سوالاتی را هم درباره ایمنی و امنیت بلاکچین ایجاد میکند. به همین دلیل مجله هلواکس برآن شد تا به کندوکاو پیرامون این مسئله مهم بپردازد.
بلاکچین چیست؟
در ابتدا باید بدانیم که زنجیره بلوکها چیست و چگونه عمل میکند. بلاکچین یک فناوری دفتر کل توزیع شده (DLT) است که برای ایجاد شفافیت و عدم تمرکز در ثبت اطلاعات طراحی شده است. این سیستم غیرمتمرکز در کل سیستمهای رایانهای مشارکتکنندگان در شبکه توزیع میشود. این امر امکان دسترسی به اطلاعات آن را به کلیه اعضا یا گرههای تعیین شده فراهم میکند. بنابراین آنها میتوانند دادههای رمزگذاری شده را در بلاکچین ثبت و ضبط کرده و آنها را به اشتراک بگذارند.
فناوری بلاکچین اطلاعات را به صورت گروهی جمعآوری کرده و به صورت غیرمتمرکز ذخیرهسازی میکند. این اطلاعات در مجموعهای به نام بلوک ذخیره میشوند و هر بلوک میتواند مقدار مشخصی از دادهها را در اختیار داشته باشد. هنگامی که هر بلوک به ظرفیت کامل خود میرسد، به بلوک کامل و قبل از خود زنجیر میشود. به این ترتیب زنجیرهای از دادهها ایجاد خواهد شد و از این رو نام هوشمندانه زنجیره بلوکها را بر آن نهادهاند.
انواع بلاکچین
قبل از اینکه چگونگی تامین کردن امنیت بلاکچین را توضیح دهیم، باید به انواع مختلفی از زنجیرههای بلوکی اشاره کنیم. چراکه هرکدام از آنها دارای ویژگیهای منحصربهفردی هستند.
۱. بلاکچینهای خصوصی (Private Blockchains)
کاربران برای شرکت در شبکههای بلاکچین خصوصی به دعوت نیاز دارند. آنها باید توسط مدیر مرکزی شبکه یا توسط یک پروتکل تنظیم شده توسط سرپرست شبکه تایید شوند. سازمانهای دولتی بهطورمعمول از بلاکچینهای خصوصی یا مجاز استفاده میکنند. در شبکههای مجاز محدودیت وجود دارد و هرکسی نمیتواند در شبکه و انواع معاملات مورد نظر مشارکت داشته باشد. درهرصورت، شرکتکنندگان شبکه به دعوت یا مجوز برای پیوستن به یک شبکه مجاز نیاز دارند.
بلاکچینهای خصوصی بهطورمعمول از رویکرد اجماعی «اثبات معتبر» (POA) استفاده میکنند. این شبکهها اغلب برای انجام وظایفی مانند دسترسی، تایید اعتبار و ثبت و ضبط اطلاعات در محیطهای امن داخلی و تجاری نگهداری میشوند. همچنین دادههای معاملات نیز به صورت کاملا خصوصی حفظ خواهند شد و درواقع از شبکه منبع باز بهره نمیبرند.
۲. بلاکچینهای عمومی (Public Blockchains)
تمرکز بلاکچینهای عمومی مانند بیت کوین بر مشارکت تمامی اعضای شبکه و درنتیجه ایجاد شفافیت خواهد بود. اجماع معاملات در زنجیرههای عمومی به صورت غیرمتمرکز خواهد بود. به این معنا که هرکسی میتواند در اعتبارسنجی معاملات و تراکنشهای شبکه شرکت کند. کد نرمافزار بلاکچینهای عمومی منبع باز است و در دسترس عموم قرار دارد.
ویژگی اصلی شبکههای عمومی عدم تمرکز از طریق ارزهای دیجیتال وب ۳ است که برای اطمینان از همکاری در یک شبکه توزیع شده ساخته شدهاند. درواقع زنجیرههای بلوکی عمومی هیچگونه مرکز کنترل سیاسی ندارند. درنتیجه طراحی سیستم نرمافزاری آنها نیز هیچگونه نقطهضعف مرکزی معماری ندارد.
امنیت بلاکچین غیرمتمرکز به طراحی الگوریتم اجماع، مدیریت شبکه، مالکیت کلیدهای خصوصی رمزنگاریشده و ایجاد مشوقهای اقتصادی متکی خواهد بود. به عنوان مثال، مفهوم اعتبارسنجی را در نظر بگیرید که در آن خود کاربران به تایید صحت معاملات رمزنگاری میپردازند. پاداشها نیز به مردم انگیزه میدهد تا به شبکه بپیوندند و در اعتبارسنجی معاملات آن شرکت داشته باشند.
۳. بلاکچین کنسرسیوم (Consortium Blockchains)
بهطورمعمول، هنگام بحث در مورد زنجیرههای بلوکی فقط به انواع عمومی و خصوصی آنها اشاره میشود. با این حال، یک گزینه سوم هم به نام بلاکچین کنسرسیوم وجود دارد. شرکت در اجماع این زنجیره توسط یک مقام مرکزی هدایت و کنترل میشود. این رویکرد نیمه جامد به شبکه اجازه میدهد تا هم توزیع شود و هم تا حدی غیرمتمرکز باشد. در عین حال، یک مقام یا نهاد مرکزی کماکان امکان کنترل آن را فراهم میکند. بنابراین دادههای معامله در زنجیرههای کنسرسیوم میتوانند خصوصی و قابل نظارت نگه داشته شوند.
زنجیره هوشمند کنسرسیوم میتواند از طریق الگوریتم اثبات کار (PoW) یا اثبات سهام (PoS) به اجماع برسد. بنابراین میتوان از روشهایی مانند اثبات اقتدار یا استیکینگ در آن به صورت ترکیبی استفاده کرد. بلاکچین کنسرسیوم برای استفاده در احزاب، بانکداری، مدیریت زنجیره تامین یا برنامههای اینترنتی اشیاء (IOT) بسیار مناسب خواهد بود.
ذاتی بودن امنیت بلاکچین
بلاکچین از یک سیستم مدیریت ریسک کامل برای شبکههای غیرمتمرکز تشکیل شده است. این چارچوب شامل خدمات تضمین شده برای امنیت سایبری و بهترین روشها برای کاهش خطرات کلاهبرداری و حملات سایبری خواهد بود. ساختار دادههای فناوری بلاکچین از خصوصیات امنیتی ذاتی برخوردار است. زیرا بر اجماع، رمزنگاری و اصول تمرکززدایی مبتنی میشود.
درواقع هر بلوک جدید از اطلاعات به همه بلوکهای قبلی متصل میشود، بهگونهای که دستکاری آنها تقریبا غیرممکن خواهد بود. علاوه بر این، کلیه معاملات موجود در یک بلوک توسط یک مکانیسم اجماع (کاربران مجاز) تایید شده و مورد اجماع قرار میگیرد. یعنی اجماع در امنیت بلاکچین تضمین میکند که هر معامله به صورت کاملا صحیح و دقیق صورت بگیرد. بنابراین هیچ امکانی برای خرابکاری کاربران وجود ندارد و آنها نمیتوانند سوابق معاملات را تغییر دهند.
با این حال، امنیت در بلاکچین حتی از ویژگیهای امنیتی ذاتی آن نیز فراتر میرود. وگرنه شرکتهای بزرگی مانند IBM، Walmart و FedEx از فناوری بلاکچین استفاده نمیکردند. چراکه اولویت جنبههای امنیتی در این شرکتها بسیار بالا است.
چالشهای امنیت بلاکچین
بلاکچین یک فناوری کاملا بینقص و بدون حفرههای امنیتی محسوب نمیشود. زیرا روشهایی وجود دارد که مجرمان سایبری میتوانند آن را دستکاری کرده و آسیبپذیری شبکه را آشکار کنند. در اینجا به چهار روش اشاره میکنیم که هکرها با توسل به آنها برای فناوری بلاکچین دردسرساز میشوند.
۱. حملات مسیریابی (Routing attacks)
زنجیرههای هوشمند به انتقال دادههای عظیم در زمان واقعی میپردازند. بنابراین هکرهای دارای منابع قدرتمند میتوانند دادههای شبکه را در مسیر ISP ها (ارائهدهندگان خدمات اینترنتی) رهگیری کنند. متاسفانه کاربران شبکه نیز در هنگام رخ دادن حملات مسیریابی متوجه هیچ امر مشکوکی نخواهند شد. البته این چنین حملاتی نیازمند منابع محاسباتی سنگین توسط هکرها دارد.
۲. حملات ۵۱ درصد
بلاکچینهای عمومی با مقیاس بزرگ از قدرت محاسباتی زیادی برای انجام ماینینگ یا استخراج ارز دیجیتال استفاده میکنند. با این حال، گروهی از ماینرهای غیراخلاقی میتوانند برای به دست آوردن بیش از ۵۰ درصدی منابع قدرت ماینری شبکه تبانی کنند. آنها با این روش میتوانند کنترل یک دفتر کل توزیع شده را به دست بگیرند. با این حال، این روش کاملا امکانپذیر است اما احتمال بسیار کمی دارد. مثلا نمیتوان با قاطعیت گفت که یک دونده سرعت امکان طی کردن دو ۱۰۰ متر در زیر ۵ ثانیه را ندارد اما احتمال وقوع آن چقدر است؟. بنابراین امکان حملات ۵۱ درصدی به شبکههای زنجیره عمومی بسیار کم و در زنجیرههای خصوصی ناممکن خواهد بود.
۳. حملات سیبل (Sybil attacks)
علت نامگذاری حملات سیبل به کتابی با محتوای اختلال شخصیتهای متعدد برمیگردد. هکرها در این روش میتوانند شبکه هدف را با تعداد زیادی از هویتهای کاذب سیبل حملات خود قرار دهند. این حملات در موارد نادر عمل میکنند و امنیت بلاکچین را تحتالشعاع قرار میدهند.
۴. حملات فیشینگ (Phishing attacks)
این تاکتیک کلاسیک هکرها در زنجیره بلوکی نیز کار میکند. فیشینگ یک کلاهبرداری است که در آن خلافکاران سایبری، ایمیلهای دروغین اما قانعکننده را به صاحبان کیف پول میفرستند. اگر صاحب کیف پول با این ایمیلها تعامل برقرار کند، درواقع کیف پول خود را در معرض دستکاری هکرهای مهاجم قرار داده است.
جمعبندی
امنیت بلاکچین در حالت کلی بسیار بالاست و به دلیل ماهیت غیرمتمرکز آن از هدف واحد برای حمله هکرها برخوردار نیست. بنابراین هرچقدر از این عدم تمرکز کاسته شود، امنیت شبکه نیز کاهش مییابد و نفوذ به آن آسانتر خواهد شد.