حمله مینت بی نهایت چیست؟ بررسی یک باگ مرگبار در امنیت بلاک چین

تصور کنید پس از هفته‌ها بررسی، روی یک پروژه دیفای با آینده‌ای درخشان سرمایه‌گذاری کرده‌اید. صبح روز بعد بیدار می‌شوید و می‌بینید ارزش توکن‌های شما در عرض چند دقیقه، ۹۷ درصد سقوط کرده و استخرهای نقدینگی کاملا تخلیه شده‌اند. این همان سناریوی تلخی است که قربانیان هک مینت بی نهایت، مانند سرمایه‌گذاران پروتکل کاور، با آن مواجه شدند. در این مقاله، مکانیزم دقیق این حمله را بررسی می‌کنیم، تفاوت آن را با سایر آسیب‌پذیری‌ها می‌سنجیم و نشان می‌دهیم چگونه می‌توانید پیش از ورود به یک پروژه، توکن‌های مستعد این فاجعه را تشخیص دهید.

مفهوم پایه و تعریف حمله مینت بی نهایت

برای ورود به دنیای رمزارزها و درک خطراتی که ممکن است سرمایه‌ی کاربران را تهدید کند، ابتدا باید با الفبای این فضا آشنا شویم. یکی از این مفاهیم بسیار مهم، نحوه‌ی تولید دارایی‌های جدید و سوءاستفاده‌های احتمالی از این فرآیند است.

مینت کردن توکن در بلاک چین به چه معناست؟

در فضای ارزهای دیجیتال، کلمه‌ی مینت (Mint) به فرآیند ایجاد و صدور توکن‌های جدید روی شبکه‌ی بلاکچین (یک سیستم ثبت اطلاعات توزیع‌شده و غیرمتمرکز که توسط هیچ فرد یا نهاد واحدی کنترل نمی‌شود) گفته می‌شود. این فرآیند را می‌توان به چاپ اسکناس توسط بانک مرکزی تشبیه کرد. با این تفاوت که در دنیای غیرمتمرکز، هیچ بانک یا نهاد دولتی برای چاپ پول وجود ندارد.

در اینجا، وظیفه‌ی تولید توکن‌های جدید بر عهده‌ی قرارداد هوشمند (کدهای برنامه‌نویسی شده‌ای که شرایط و دستورات را بدون نیاز به واسطه و به صورت خودکار اجرا می‌کنند) است. سازندگان یک پروژه‌ی رمزارزی، قوانین تولید توکن را در قالب این کدها می‌نویسند. برای مثال، کدها مشخص می‌کنند که چه زمانی، به چه دلیلی و چه تعداد توکن جدید باید مینت شود تا به عنوان پاداش به کاربران داده شود یا برای توسعه‌ی شبکه مورد استفاده قرار گیرد.

حمله مینت بی نهایت چیست و چرا اتفاق می‌افتد؟

حالا که با فرآیند طبیعی تولید توکن آشنا شدیم، درک این حمله‌ی سایبری بسیار ساده‌تر می‌شود. حمله مینت بی نهایت (Infinite Mint Attack) زمانی رخ می‌دهد که یک هکر (فردی که با دانش فنی بالا به دنبال سوءاستفاده از ضعف‌های امنیتی سیستم‌ها است) بتواند یک باگ (خطا یا نقص پنهان در کدهای نرم‌افزاری) را در کدهای قرارداد هوشمند پیدا کند.

این نقص فنی به فرد مهاجم اجازه می‌دهد تا قوانین اصلی شبکه را دور بزند و کدی را اجرا کند که به صورت نامحدود و بدون وقفه، توکن‌های جدیدی را به کیف پول شخصی خودش واریز کند. تصور کنید شخصی کلید یک دستگاه چاپ پول را پیدا کرده است و بدون هیچ پشتوانه‌ای، بی‌نهایت اسکناس چاپ می‌کند. دلیل اصلی وقوع این اتفاق، معمولا بی‌دقتی توسعه‌دهندگان در زمان کدنویسی، عدم استفاده از تیم‌های متخصص برای بررسی امنیت و قرار ندادن محدودیت‌های سفت و سخت برای تولید توکن در هسته‌ی اصلی برنامه است.

تفاوت تولید توکن قانونی با سوءاستفاده از باگ قرارداد هوشمند

برای اینکه مرز بین یک فعالیت اقتصادی سالم در شبکه‌ی بلاک چین و یک حمله‌ی مخرب را بهتر بشناسیم، تفاوت‌های این دو فرآیند را در چند بخش اصلی بررسی می‌کنیم:

• محدودیت عرضه در برابر تولید بی‌وقفه: در یک پروژه‌ی قانونی و معتبر، معمولا یک هارد کپ (سقف نهایی و حداکثر تعداد توکنی که در کل چرخه‌ی حیات یک پروژه می‌تواند وجود داشته باشد) تعیین می‌شود و تولید توکن پس از رسیدن به این عدد متوقف می‌گردد. اما در سوءاستفاده از باگ، هکر این سقف را می‌شکند و میلیاردها توکن را در عرض چند ثانیه تولید می‌کند.
• شفافیت برنامه‌ریزی شده در برابر عملیات پنهانی: فرآیند مینت قانونی کاملا شفاف است و سرمایه‌گذاران از روی زمان‌بندی مشخص می‌دانند که چه مقدار توکن در چه تاریخی به بازار عرضه می‌شود. در نقطه‌ی مقابل، حمله‌ی مینت بی نهایت کاملا ناگهانی، بدون اطلاع قبلی و برخلاف قوانین ثبت‌شده در شبکه اتفاق می‌افتد.
• هدف از تولید: توکن‌های قانونی با هدف تامین نقدینگی، پرداخت پاداش به کاربران فعال و رشد اقتصادی اکوسیستم تولید می‌شوند. در حالی که هکرها توکن‌های نامحدود را تنها با یک هدف تولید می‌کنند: فروش سریع آن‌ها در بازار، سرقت دارایی‌های ارزشمند سایر سرمایه‌گذاران و فرار کردن با پول‌های به سرقت رفته پیش از آنکه کسی متوجه ماجرا شود.

بررسی مراحل اجرای حمله مینت بی نهایت

برای اینکه درک بهتری از این نوع سرقت‌های دیجیتال داشته باشیم، بیایید تصور کنیم که یک سارق قصد دارد از یک گاوصندوق بسیار پیشرفته سرقت کند. او برای این کار به یک نقشه‌ی دقیق و اجرای مرحله به مرحله نیاز دارد. حمله‌ی مینت بی نهایت نیز دقیقا از یک نقشه‌ی از پیش تعیین شده پیروی می‌کند. در ادامه، قدم‌های یک هکر را برای نابودی یک پروژه‌ی رمزارزی بررسی می‌کنیم.

مرحله‌ی اول: شناسایی حفره‌های امنیتی در کد قرارداد توسط هکر

هر برنامه‌ی کامپیوتری از هزاران خط کد تشکیل شده است. در دنیای رمزارزها، کدهای قرارداد هوشمند معمولا به صورت متن‌ باز (Open Source - کدهایی که برای همه قابل مشاهده و بررسی هستند) منتشر می‌شوند تا شفافیت شبکه حفظ شود. اما این شفافیت یک شمشیر دو لبه است.

هکرها با دقت بسیار بالا، خط به خط این کدها را بررسی می‌کنند تا یک نقطه‌ی ضعف پیدا کنند. این کار دقیقا شبیه به رفتار سارقی است که در تاریکی شب، تمام درها و پنجره‌های یک ساختمان بزرگ را چک می‌کند تا شاید نگهبان فراموش کرده باشد یکی از پنجره‌های کوچک را قفل کند. این نقطه‌ی ضعف می‌تواند یک اشتباه تایپی ساده از سوی برنامه‌نویس یا یک نقص پیچیده در منطق ریاضی قرارداد باشد.

مرحله‌ی دوم: دور زدن محدودیت‌های عرضه و دسترسی‌های ادمین

پس از پیدا کردن نقطه‌ی ضعف، هکر باید راهی پیدا کند تا سیستم او را به عنوان یک فرد مجاز بشناسد. در حالت عادی، فقط مدیران پروژه یا کدهای تایید شده حق دارند دستور تولید توکن جدید را صادر کنند.

هکر با استفاده از باگی که در مرحله‌ی قبل پیدا کرده بود، سیستم امنیتی را فریب می‌دهد و سطح دسترسی خود را بالا می‌برد. او در واقع شاه‌کلید سیستم را کپی می‌کند تا بتواند بدون نیاز به اجازه‌ی هیچکس، وارد بخش مدیریت عرضه‌ی توکن شود. حالا سیستم به اشتباه تصور می‌کند که یک مدیر قانونی در حال صدور دستور برای تولید دارایی‌های جدید است.

مرحله‌ی سوم: تولید نامحدود توکن و تخلیه استخرهای نقدینگی

این مرحله، نقطه‌ی اوج فاجعه و زمان سرقت اصلی است. هکر که حالا کنترل ماشین چاپ توکن را در دست دارد، دکمه‌ی تولید را فشار می‌دهد و در عرض چند ثانیه، میلیون‌ها یا میلیاردها توکن جدید خلق می‌کند که هیچ پشتوانه‌ای ندارند. اما این توکن‌های جعلی به خودی خود ارزشی ندارند؛ هکر باید آن‌ها را به پول واقعی تبدیل کند.

به همین دلیل، او بلافاصله توکن‌های تازه تولید شده را به استخرهای نقدینگی (Liquidity Pool - محلی در صرافی‌های غیرمتمرکز که سرمایه‌گذاران دارایی‌های ارزشمند خود را در آن قرار می‌دهند تا خرید و فروش برای دیگران آسان شود) منتقل می‌کند. هکر توکن‌های بی‌ارزش خود را با سرعت بسیار بالا به این استخرها می‌ریزد و در ازای آن، دارایی‌های ارزشمند دیگران مانند تتر یا اتریوم را برداشت می‌کند. با این کار، استخر نقدینگی به طور کامل تخلیه شده و چیزی جز توکن‌های بی‌ارزش برای سرمایه‌گذاران باقی نمی‌ماند.

چرخه‌ی عمر یک حمله مینت موفق

برای اینکه کل این مسیر پیچیده را به سادگی به خاطر بسپارید، بیایید چرخه‌ی عمر این حمله را به شکل یک نقشه‌ی راه ذهنی مرور کنیم. اگر می‌خواستیم این فرآیند را روی یک تابلوی آموزشی رسم کنیم، فلوچارت ما شامل چهار ایستگاه اصلی بود:

• ایستگاه اول (جستجو): هکر کدهای قرارداد هوشمند پروژه را اسکن می‌کند تا یک باگ یا حفره‌ی امنیتی پیدا کند.
• ایستگاه دوم (نفوذ): هکر از طریق حفره‌ی کشف شده، محدودیت‌ها را دور می‌زند و نقش ادمین شبکه را جعل می‌کند.
• ایستگاه سوم (چاپ): ماشین تولید توکن هک می‌شود و مهاجم بی‌نهایت توکن جدید به کیف پول خود واریز می‌کند.
• ایستگاه چهارم (تخلیه و فرار): توکن‌های جعلی به صرافی‌ها منتقل می‌شوند، با رمزارزهای ارزشمند مبادله می‌شوند و هکر با سرمایه‌ی به سرقت رفته فرار می‌کند.

پیامدهای مخرب و خطرات حمله‌ی Infinite Mint برای پروژه‌های دیفای

وقتی یک هکر موفق می‌شود کنترل ماشین چاپ توکن را به دست بگیرد، فاجعه‌ای تمام‌عیار برای آن پروژه‌ی رمزارزی رقم می‌خورد. این نوع حملات سایبری به ویژه در دنیای دیفای (DeFi - سیستم‌های مالی غیرمتمرکز که بدون نیاز به بانک یا واسطه و تنها بر اساس کدهای برنامه‌نویسی کار می‌کنند) خسارات سنگینی به بار می‌آورند. در این بخش، قدم به قدم بررسی می‌کنیم که پس از یک حمله‌ی موفق، چه بلایی بر سر سرمایه‌ی کاربران و آینده‌ی پروژه می‌آید.

تورم ناگهانی، افت شدید قیمت و نابودی ارزش بازار توکن

اولین و مشهودترین قربانی این حمله، قیمت خود توکن است. در علم اقتصاد، یک قانون بسیار ساده به نام عرضه و تقاضا وجود دارد: هرچه یک کالا فراوان‌تر شود، ارزش آن کمتر می‌شود.

زمانی که هکر میلیاردها توکن جدید را در یک لحظه تولید و وارد بازار می‌کند، یک تورم (Inflation - کاهش سریع ارزش پول به دلیل افزایش بی‌رویه‌ی عرضه‌ی آن) وحشتناک و ثانیه‌ای رخ می‌دهد. این افزایش ناگهانی عرضه باعث می‌شود:

• تقاضا برای خرید به صفر برسد، زیرا بازار بلافاصله متوجه غیرعادی بودن شرایط می‌شود.
• قیمت توکن در عرض چند دقیقه تا ۹۹ درصد سقوط کند و عملا بی‌ارزش شود.
• ارزش بازار (Market Cap - شاخصی که از ضرب قیمت فعلی یک توکن در تعداد کل توکن‌های در گردش به دست می‌آید) به طور کامل از بین برود.

تصور کنید در کشوری، دولت به جای کار و تولید، روزانه میلیاردها اسکناس جدید چاپ کند؛ خیلی زود برای خرید یک قرص نان به گونی‌های پول نیاز خواهید داشت! این دقیقا همان اتفاقی است که برای توکن هک شده می‌افتد.

به سرقت رفتن دارایی تامین‌کنندگان نقدینگی در صرافی‌های غیرمتمرکز

شاید بپرسید اگر توکن‌ها بی‌ارزش می‌شوند، هکر چگونه از این حمله سود مالی می‌برد؟ پاسخ در استخرهای نقدینگی نهفته است.

در صرافی‌های غیرمتمرکز (DEX - پلتفرم‌هایی که کاربران مستقیما و بدون دخالت هیچ شرکت یا نهاد مرکزی با هم معامله می‌کنند)، افرادی وجود دارند که به عنوان تامین‌کننده‌ی نقدینگی (Liquidity Provider - سرمایه‌گذارانی که ارزهای خود را در قراردادهای هوشمند قفل می‌کنند تا دیگران بتوانند به راحتی خرید و فروش کنند و در عوض از صرافی کارمزد می‌گیرند) فعالیت می‌کنند. این استخرها معمولا شامل جفت ارز هستند؛ مثلا توکن پروژه به همراه یک ارز ارزشمند و پایدار مانند تتر یا اتریوم.

هکر بلافاصله توکن‌های بی‌نهایت و جعلی خود را به این استخرها می‌فروشد و در مقابل، تمام تترها یا اتریوم‌های ارزشمند را از استخر خارج می‌کند. به زبان ساده‌تر، هکر پول‌های تقلبی و بی‌ارزش چاپ می‌کند و آن‌ها را با پول‌های واقعی و طلای ذخیره شده در خزانه‌ی صرافی معاوضه می‌کند. در نهایت، تامین‌کنندگان نقدینگی می‌مانند و انبوهی از توکن‌های بی‌ارزشی که دیگر هیچکس حاضر نیست برای آن‌ها پولی پرداخت کند.

آسیب جبران‌ناپذیر به اعتبار تیم توسعه‌دهنده و مرگ کامل پروژه

در دنیای رمزارزها، اعتماد مهم‌ترین و ارزشمندترین دارایی هر پروژه‌ای است. وقتی کدهای یک پلتفرم تا این حد آسیب‌پذیر باشند که به یک هکر اجازه‌ی تولید نامحدود توکن را بدهند، اعتماد کاربران به امنیت آن سیستم برای همیشه از بین می‌رود. مرگ کامل پروژه‌ی آسیب‌دیده معمولا طی این مراحل اتفاق می‌افتد:

• فرار دسته‌جمعی سرمایه‌گذاران: تمام کاربرانی که متوجه حمله می‌شوند، به سرعت سرمایه‌ی باقی‌مانده‌ی خود را از پلتفرم خارج می‌کنند تا ضرر بیشتری نبینند.
• حذف شدن از صرافی‌ها: صرافی‌های معتبر برای حفظ امنیت کاربرانشان، معاملات آن توکن را متوقف کرده و آن را از لیست پلتفرم خود حذف (Delist) می‌کنند.
• تخریب چهره‌ی تیم: تیم توسعه‌دهنده‌ی پروژه با موجی از انتقادات، شکایات قانونی و بی‌اعتمادی شدید در شبکه‌های اجتماعی روبرو می‌شود.

حتی اگر تیم توسعه‌دهنده بتواند مشکل امنیتی را برطرف کند، بازگرداندن اعتماد از دست رفته تقریبا غیر ممکن است. سرمایه‌گذاران ترجیح می‌دهند پول خود را در شبکه‌ای امن‌تر سرمایه‌گذاری کنند تا اینکه دوباره به سیستمی که یک بار دروازه‌های خزانه‌ی خود را برای سارقان باز گذاشته بود، اعتماد کنند.

مقایسه حمله مینت بی نهایت با حمله هک بازگشتی

در دنیای رمزارزها، هکرها روش‌های متنوعی برای سرقت دارایی‌ها دارند. برای اینکه درک عمیق‌تری از خطرات موجود داشته باشیم، بسیار مفید است که حمله‌ی مینت بی نهایت را با یکی دیگر از معروف‌ترین و مخرب‌ترین روش‌های سرقت، یعنی حمله هک بازگشتی (Reentrancy Attack - نوعی نفوذ که در آن هکر قبل از به‌روزرسانی موجودی، به طور مکرر و با سرعت بالا درخواست برداشت وجه می‌کند) مقایسه کنیم. هر دوی این روش‌ها بسیار خطرناک هستند و می‌توانند منجر به نابودی یک پروژه شوند، اما مکانیزم اجرایی و اهداف آن‌ها کاملا با یکدیگر متفاوت است.

تفاوت در نوع باگ و نحوه سوء استفاده هکرها

برای درک بهتر تفاوت این دو حمله، بیایید از یک مثال ساده استفاده کنیم. فرض کنید یک بانک بزرگ داریم که خزانه‌ی آن پر از پول است.

• در حمله‌ی مینت بی نهایت: هکر اصلا کاری به خزانه‌ی اصلی بانک ندارد. او در واقع دستگاه چاپ پول بانک را هک می‌کند و شروع به چاپ بی‌نهایت اسکناس جدید و جعلی برای خودش می‌کند. با این کار، او ارزش پول‌های واقعی درون خزانه و دست مردم را به شدت کاهش می‌دهد. تمرکز اصلی این نوع حمله، بر روی دور زدن قوانین تولید توکن و دستکاری عرضه‌ی در گردش (Circulating Supply - تعداد سکه‌ها یا توکن‌هایی که در حال حاضر در بازار وجود دارند و در دست عموم معامله می‌شوند) است.
• در حمله‌ی هک بازگشتی: هکر دستگاه چاپ پول را در اختیار ندارد، بلکه مستقیما به سراغ خزانه‌ی بانک می‌رود تا پول‌های موجود را بدزدد. او از یک نقص در سیستم حسابداری کامپیوتری استفاده می‌کند. به این شکل که یک بار درخواست برداشت موجودی خود را می‌دهد و درست قبل از اینکه کارمند بانک موجودی حساب او را صفر کند، در کسری از ثانیه هزاران بار دیگر همان درخواست را تکرار می‌کند. سیستم به اشتباه، هزار بار به او پول می‌دهد! تمرکز این حمله بر روی تاخیر قرارداد هوشمند در ثبت اطلاعات و سرقت توکن‌های از پیش موجود است.

بنابراین، تفاوت اصلی در این است که در مینت بی نهایت، هکر توکن‌های جدید خلق می‌کند تا بازار را نابود کند، اما در هک بازگشتی، هکر توکن‌های ارزشمند فعلی را از سیستم بیرون می‌کشد.

جدول مقایسه فنی هک بازگشتی و تولید نامحدود توکن

برای اینکه این مفاهیم فنی بهتر در ذهن شما ثبت شوند، خلاصه‌ی تفاوت‌های این دو روش را در قالب یک جدول ساده آماده کرده‌ایم. با مرور این جدول، به راحتی می‌توانید تفاوت‌های ساختاری آن‌ها را به خاطر بسپارید:

ویژگی مورد بررسی	حمله‌ی مینت بی نهایت	حمله‌ی هک بازگشتی
هدف اصلی هکر	ماشین تولید توکن (بخش مینت در قرارداد)	خزانه‌ی قرارداد هوشمند (بخش برداشت وجه)
نحوه‌ی عملکرد	ایجاد توکن‌های جدید و کاملا بدون پشتوانه	سرقت دارایی‌های موجود با تکرار فریبنده‌ی درخواست برداشت
ریشه‌ی مشکل در کدها	ضعف در محدود کردن دسترسی‌ها و تعیین نکردن سقف تولید	تاخیر در به‌روزرسانی وضعیت موجودی پس از پرداخت پول
تاثیر بر تعداد توکن‌ها	تعداد کل توکن‌های شبکه به شدت افزایش می‌یابد	تعداد کل توکن‌ها ثابت می‌ماند و فقط مالکیت آن‌ها عوض می‌شود
نمونه‌ی واقعی و معروف	هک پروژه‌ی کاور در سال ۲۰۲۰	هک شبکه‌ی دائو (The DAO) در بلاک چین اتریوم

بررسی نمونه‌های واقعی از هک‌های بزرگ و قربانیان مینت بی نهایت

برای اینکه مفاهیمی که تا اینجا یاد گرفتیم فقط در حد تئوری باقی نمانند، بهترین راه این است که به گذشته‌ی بازار نگاهی بیندازیم. خواندن داستان پروژه‌هایی که قربانی این حملات شده‌اند، به ما کمک می‌کند تا با چشمان بازتری در دنیای پرنوسان رمزارزها قدم برداریم. در این بخش، دو مورد از معروف‌ترین پرونده‌های سرقت از طریق تولید نامحدود توکن را با هم بررسی می‌کنیم.

هک پروتکل کاور و دلایل سقوط ۹۷ درصدی ارزش توکن آن

پروتکل کاور یک پروژه‌ی بیمه‌ی غیرمتمرکز بود که قصد داشت امنیت سرمایه‌ی کاربران را در بازار ارزهای دیجیتال تضمین کند. اما در کمال ناباوری، در دسامبر سال ۲۰۲۰، خود این پروژه قربانی یک حمله‌ی وحشتناک شد.

هکرها متوجه شدند که در بخش استیکینگ ارز دیجیتال (Staking - فرآیند قفل کردن دارایی در یک شبکه برای کمک به امنیت آن و دریافت سود ماهانه یا سالانه) یک باگ بسیار خطرناک وجود دارد. این نقص فنی به هکر اجازه داد تا سیستم پاداش‌دهی را فریب دهد و در یک لحظه، بیش از ۴۰ کوینتیلیون (عددی با ۱۸ صفر) توکن کاور جدید تولید کند! اتفاقاتی که پس از این هک رخ داد به این شرح است:

• تخلیه‌ی استخرها: هکر بلافاصله این توکن‌ها را به صرافی‌ها برد و آن‌ها را با ارزهای ارزشمندی مثل اتریوم عوض کرد.
• سقوط آزاد قیمت: به دلیل افزایش ناگهانی و شدید توکن‌های در گردش، قیمت توکن کاور در کمتر از چند ساعت بیش از ۹۷ درصد سقوط کرد و دارایی سرمایه‌گذاران پودر شد.
• از دست رفتن اعتماد: با وجود اینکه هکر بعدا بخشی از پول‌ها را پس داد و ادعا کرد هدفش فقط نشان دادن ضعف سیستم بوده است، اما این پروژه دیگر هرگز نتوانست اعتماد سرمایه‌گذاران را جلب کند.

هک شبکه پاید نتورک و بررسی میزان خسارت وارد شده به سرمایه گذاران

شبکه‌ی پاید نتورک یکی دیگر از پروژه‌های شناخته شده‌ای بود که در مارس ۲۰۲۱ هدف این نوع سرقت قرار گرفت. این پلتفرم برای ساده‌سازی قراردادهای تجاری طراحی شده بود، اما یک اشتباه امنیتی فاجعه‌بار باعث نابودی ارزش آن شد.

در این حمله، مشکل از کدهای پیچیده‌ی برنامه‌نویسی نبود، بلکه هکر توانست به کلید خصوصی (Private Key - رمز عبور فوق امنیتی که کنترل کامل یک کیف پول یا مدیریت یک قرارداد را در اختیار دارد) مربوط به ادمین اصلی دست پیدا کند. این اتفاق دقیقا مثل این است که دزد بتواند کلید گاوصندوق مرکزی یک بانک را بدزدد. با داشتن این کلید، هکر به راحتی تنظیمات قرارداد هوشمند را تغییر داد و این نتایج تلخ را رقم زد:

• تولید میلیون‌ها توکن جعلی: هکر توانست محدودیت‌ها را لغو کرده و بیش از ۵۹ میلیون توکن جدید تولید کند.
• فروش سریع و خروج سرمایه: با فروش سریع این توکن‌های جعلی در بازار، هکر توانست میلیون‌ها دلار از سرمایه‌ی واقعی کاربران را به سرقت ببرد و به کیف پول شخصی خود منتقل کند.
• ریزش شدید قیمت: این عرضه‌ی ناگهانی و ترس ایجاد شده در بازار باعث شد قیمت توکن پاید نتورک در مدت کوتاهی حدود ۸۰ درصد افت کند و خسارت سنگینی به خریداران عادی وارد شود.

این دو مثال به خوبی نشان می‌دهند که حتی پروژه‌هایی با ایده‌های عالی، اگر در بخش امنیت و کنترل دسترسی‌ها ضعیف عمل کنند، می‌توانند در یک روز تمام ارزش و اعتبار خود را از دست بدهند و سرمایه‌ی هزاران نفر را نابود کنند.

راهکارهای توسعه‌دهندگان و کاربران برای پیشگیری از حمله Infinite Mint

حالا که با خطرات و پیامدهای ویرانگر این نوع سرقت سایبری در دنیای رمزارزها آشنا شدیم، زمان آن رسیده است که به دنبال راه‌حل باشیم. در بازارهای مالی دیجیتال، پیشگیری همیشه بهتر از درمان است؛ زیرا وقتی دارایی‌ها از یک قرارداد هوشمند به سرقت بروند، بازگرداندن آن‌ها تقریبا غیرممکن است. تامین امنیت شبکه‌ی بلاک چین یک مسیر دوطرفه است؛ هم تیم برنامه‌نویسی باید دیوارهای دفاعی مستحکمی بسازد و هم کاربران باید با احتیاط و آگاهی قدم بردارند. در این بخش، مهم‌ترین سپرهای دفاعی در برابر این حملات را به زبان ساده بررسی می‌کنیم.

ضرورت ممیزی کدهای قرارداد هوشمند توسط شرکت‌های امنیتی معتبر

اولین و مهم‌ترین خط دفاعی برای هر پروژه‌ی دیجیتال، ممیزی (Audit - بررسی دقیق و خط به خط کدهای برنامه‌نویسی توسط متخصصان امنیتی مستقل برای کشف باگ‌ها) است. همان‌طور که قبل از افتتاح یک برج تجاری، مهندسان ناظر باید استحکام ستون‌ها و ایمنی ساختمان را تایید کنند، پروژه‌های رمزارزی نیز باید کدهای خود را پیش از انتشار به شرکت‌های امنیتی معتبر بسپارند.

این شرکت‌ها، کدهای قرارداد هوشمند را زیر ذره‌بین قرار می‌دهند و تلاش می‌کنند مانند یک هکر واقعی به آن نفوذ کنند. اگر حفره‌ای برای تولید نامحدود توکن یا دور زدن قوانین وجود داشته باشد، تیم ممیزی آن را پیدا کرده و قبل از عرضه‌ی عمومی پروژه، به توسعه‌دهندگان گزارش می‌دهد تا سریعا برطرف شود.

تعیین هارد کپ سخت‌گیرانه و استفاده از قفل‌های زمانی برای تولید توکن

توسعه‌دهندگان می‌توانند با اضافه کردن چند قانون ساده اما قدرتمند به کدهای خود، جلوی فاجعه را بگیرند. دو ابزار بسیار مهم در این زمینه وجود دارد که امنیت سیستم را به شدت افزایش می‌دهند:

• تعیین هارد کپ غیرقابل تغییر: پیش‌تر گفتیم که هارد کپ همان سقف نهایی تولید توکن است. برنامه‌نویسان باید این محدودیت را به گونه‌ای در هسته‌ی اصلی کدهای خود بنویسند که تحت هیچ شرایطی، حتی توسط مدیران ارشد شبکه، قابل دستکاری یا لغو نباشد. این کار مانند نصب یک سرعت‌گیر محکم و غیرقابل برداشت روی ماشین تولید پول است.
• استفاده از قفل زمانی: قفل زمانی (Timelock - یک دستور برنامه‌نویسی که اجرای عملیات‌های مهم را برای مدت مشخصی به تاخیر می‌اندازد) ابزار حیاتی دیگری برای حفظ امنیت است. با استفاده از این قفل، اگر شخصی بخواهد دستور مهمی مانند تولید توکن جدید را صادر کند، این دستور بلافاصله اجرا نمی‌شود و برای مثال ۲۴ ساعت در صف انتظار می‌ماند. این زمان طلایی به جامعه‌ی کاربری و تیم اصلی اجازه می‌دهد تا متوجه تغییرات مشکوک شوند و جلوی اجرای دستور مخرب هکر را بگیرند.

محدود کردن دسترسی توابع کلیدی با استفاده از کیف پول‌های چند امضایی

یکی از بزرگ‌ترین اشتباهات در طراحی پروژه‌های دیفای، سپردن تمام قدرت سیستم به یک نفر یا یک رمز عبور واحد است. اگر هکر بتواند آن رمز یا کلید را بدزدد، کنترل کل ماشین چاپ توکن را به دست می‌گیرد.

راه‌حل هوشمندانه‌ی این مشکل، استفاده از کیف پول چند امضایی (Multi-signature Wallet - نوعی کیف پول دیجیتال پیشرفته که برای تایید تراکنش‌ها به امضا و تایید همزمان چند فرد مختلف نیاز دارد) است. با این روش، قدرت مدیریت بین چند نفر (مثلا پنج نفر از اعضای اصلی تیم) تقسیم می‌شود. حالا اگر نیاز به تولید توکن جدید باشد، باید حداقل سه نفر از این پنج نفر با دستگاه‌های مجزای خود آن را تایید کنند. این کار دقیقا شبیه به گاوصندوقی است که سه قفل مختلف دارد و کلید هر قفل در دست یک نفر است؛ بنابراین سرقت یک کلید برای نفوذ به خزانه‌ی سیستم به هیچ وجه کافی نخواهد بود.

کاهش ریسک‌های دیفای با خرید بایننس کوین و سایر دارایی‌ها از صرافی متمرکز

تا اینجا راهکارهایی را برای سازندگان پروژه‌ها بررسی کردیم، اما شما به عنوان یک کاربر عادی چگونه می‌توانید از سرمایه‌ی خود محافظت کنید؟ فعالیت در صرافی‌های غیرمتمرکز همیشه با خطرات مربوط به باگ‌های قرارداد هوشمند و حملات هکرها به استخرهای نقدینگی همراه است.

برای کاربرانی که می‌خواهند بدون استرس و به دور از دغدغه‌های امنیتی دیفای سرمایه‌گذاری کنند، استفاده از یک پلتفرم متمرکز و معتبر بهترین و عاقلانه‌ترین انتخاب است. شما می‌توانید برای خرید بایننس کوین یا سایر دارایی‌های دیجیتال، از صرافی ارز دیجیتال کیف پول من استفاده کنید. در این پلتفرم‌ها، دارایی‌های شما به صورت آفلاین نگهداری می‌شوند و دیگر به طور مستقیم در معرض خطرات هک قراردادهای هوشمند یا تخلیه‌ی ناگهانی استخرها قرار ندارند. این ساده‌ترین راه برای لذت بردن از سود بازار ارزهای دیجیتال با کمترین میزان ریسک است.

منابع:

Kriptomat

Coinmarketcap

Indodax