حمله دستکاری اوراکل (Oracle Manipulation) چیست؟ هکرها چگونه قیمت‌ها را در دیفای تغییر می‌دهند؟

تصور کنید در یک پروتکل وام‌دهی غیرمتمرکز، مقداری اتریوم وثیقه گذاشته‌اید تا وام دریافت کنید. در حالی که بازار در آرامش کامل به سر می‌برد و قیمت اتریوم ثابت است، ناگهان به دلیل یک قیمت‌گذاری اشتباه یا دستکاری‌شده در یک استخر نقدینگی کوچک، اوراکل قیمت اتریوم را بسیار پایین‌تر از حد واقعی گزارش می‌دهد. در کسری از ثانیه، قرارداد هوشمند بر اساس این داده‌ی جعلی عمل کرده و دارایی شما به صورت ناحق لیکویید می‌شود. در این مقاله، ساختار عملکرد انواع اوراکل‌ها را بررسی می‌کنیم، مکانیسم دقیق حملات دستکاری قیمت را بررسی کرده و در نهایت، راهکارهای فنی شبکه‌های بلاک چینی برای خنثی‌سازی این تهدیدات را در اختیار شما قرار می‌دهیم.

سیستم اوراکل در کریپتو چیست و چه کاربردی دارد؟

دنیای ارزهای دیجیتال و بلاک چین، پر از مفاهیم جذاب و شگفت‌انگیز است. یکی از این مفاهیم بسیار مهم اما کمتر شناخته‌شده، اوراکل است. اگر بخواهیم خیلی ساده بگوییم، سیستم اوراکل در دنیای رمزارز مانند چشم و گوش برای شبکه‌ی بلاک چین عمل می‌کند. شبکه‌های بلاک چینی به خودی خود بسیار امن و قدرتمند هستند، اما یک نقطه‌ی ضعف بزرگ دارند: آن‌ها به دنیای بیرون از خودشان هیچ دسترسی مستقیمی ندارند. اینجا است که اوراکل‌ها وارد میدان می‌شوند تا این محدودیت را از بین ببرند و کاربردهای ارزهای دیجیتال را هزاران برابر کنند.

اوراکل به عنوان پل ارتباطی بین بلاک چین و دنیای واقعی

برای درک بهتر این موضوع، شبکه‌ی بلاک چین را مانند یک جزیره‌ی دورافتاده اما فوق‌العاده پیشرفته تصور کنید. مردم این جزیره برای کارهای داخلی خودشان بهترین سیستم‌ها را دارند، اما هیچ راهی برای باخبر شدن از اخبار، آب و هوا یا قیمت کالاهای کشورهای دیگر ندارند. در این مثال، اوراکل دقیقا نقش یک پل ارتباطی یا یک پیام‌رسان معتمد را بازی می‌کند.

وظیفه‌ی اصلی اوراکل این است که اطلاعات دنیای واقعی یا همان داده‌های آف‌چین (Off-chain: اطلاعات و اتفاقاتی که در دنیای فیزیکی و بیرون از شبکه‌ی بلاک چین رخ می‌دهند) را جمع‌آوری کند و آن‌ها را به داده‌های قابل فهم برای شبکه‌ی بلاک چین یا همان داده‌های آن‌چین (On-chain: اطلاعاتی که مستقیما روی خود شبکه‌ی بلاک چین ثبت و پردازش می‌شوند) تبدیل کند. برای مثال، اگر بخواهیم قیمت لحظه‌ای طلا را به یک سیستم مالی در دنیای کریپتو وارد کنیم، این اوراکل است که قیمت را از بازارهای جهانی می‌خواند و روی بلاک چین ثبت می‌کند.

چرا قراردادهای هوشمند بدون اوراکل‌ها نابینا هستند؟

بسیاری از برنامه‌های مدرن و پیشرفته در دنیای کریپتو، بر اساس قراردادهای هوشمند (Smart Contracts: کدهای برنامه‌نویسی شده‌ای که وقتی شرایط خاصی برآورده شود، به صورت خودکار و بدون نیاز به واسطه یک دستور را اجرا می‌کنند) کار می‌کنند. این قراردادها فوق‌العاده دقیق هستند، اما یک مشکل اساسی دارند: آن‌ها کاملا نابینا هستند!

کدهای یک قرارداد هوشمند نمی‌توانند مرورگر وب را باز کنند تا ببینند قیمت بیت کوین در این لحظه چقدر است یا فلان مسابقه‌ی ورزشی چه نتیجه‌ای داشته است. بیایید یک مثال ملموس بزنیم:

فرض کنید شما با دوستتان روی برد یک تیم فوتبال شرط می‌بندید و پول خود را در یک قرارداد هوشمند قفل می‌کنید. این قرارداد برنامه‌ریزی شده تا در پایان بازی، تمام پول را به حساب برنده‌ی شرط‌بندی واریز کند. اما قرارداد هوشمند از کجا می‌فهمد که بازی تمام شده و چه تیمی برنده شده است؟

دقیقا در همین نقطه است که قرارداد هوشمند دست یاری به سوی اوراکل دراز می‌کند. اوراکل نتیجه‌ی بازی را از سایت‌های معتبر ورزشی می‌گیرد و به قرارداد هوشمند اعلام می‌کند تا پول به درستی پرداخت شود. بدون این چشم‌های بینا، قراردادهای هوشمند هرگز نمی‌توانستند با اتفاقات دنیای واقعی تعامل داشته باشند.

بررسی جریان انتقال داده‌ها از منابع خارجی به درون شبکه بلاک چین

حالا که متوجه شدیم اوراکل چیست، بیایید ببینیم این فرآیند دریافت و ارسال اطلاعات دقیقا چگونه انجام می‌شود. برای اینکه این مسیر را بهتر تجسم کنید، جریان داده‌ها را در قالب یک نمودار متنی و مرحله به مرحله بررسی می‌کنیم:

• تولید داده در دنیای واقعی: همه چیز از یک اتفاق در دنیای بیرون شروع می‌شود. این اتفاق می‌تواند تغییر قیمت یک دارایی در صرافی‌ها، تغییر دمای هوا یا نتیجه‌ی یک انتخابات باشد.
• ارتباط از طریق ای‌پی‌آی: اوراکل‌ها از طریق API (رابط برنامه‌نویسی اپلیکیشن: یک پل نرم‌افزاری که به برنامه‌های مختلف اجازه می‌دهد با هم ارتباط برقرار کنند و داده رد و بدل کنند) به منابع اطلاعاتی اینترنتی مانند سایت‌های خبری یا سرورهای بازار بورس متصل می‌شوند و داده‌های خام را استخراج می‌کنند.
• تایید و ترجمه‌ی اطلاعات در نود اوراکل: داده‌های دریافت شده وارد نود اوراکل (Node: کامپیوترها یا سرورهای قدرتمندی که بخشی از یک شبکه هستند و وظیفه‌ی پردازش و تایید اطلاعات را بر عهده دارند) می‌شوند. در اینجا، اطلاعات بررسی شده و به زبان ماشین و کدهایی تبدیل می‌شوند که برای شبکه‌ی بلاک چین قابل خواندن باشد.
• ارسال به قرارداد هوشمند: در نهایت، داده‌های ترجمه شده و معتبر، به قرارداد هوشمند در داخل شبکه‌ی بلاک چین ارسال می‌شوند.
• اجرای خودکار دستورات: قرارداد هوشمند با دریافت این اطلاعات جدید، فعال می‌شود و وظیفه‌ای که برای آن برنامه‌ریزی شده بود را به صورت خودکار اجرا می‌کند.

با این جریان منظم، سیستم‌های اوراکل تضمین می‌کنند که دنیای غیرمتمرکز رمزارزها همواره به ضربان قلب دنیای واقعی متصل بماند.

آشنایی با انواع اوراکل‌های بلاک چینی و کاربرد آن‌ها

همان‌طور که در دنیای واقعی پیام‌رسان‌ها و ابزارهای ارتباطی مختلفی داریم، در دنیای رمزارزها نیز اوراکل‌ها یک‌شکل و یک‌اندازه نیستند. هر شبکه‌ی بلاک چین بر اساس نیازی که دارد، از نوع خاصی از اوراکل استفاده می‌کند. برای اینکه بتوانیم امنیت و نحوه‌ی کار پروژه‌های مختلف را بهتر درک کنیم، باید با انواع این واسطه‌های هوشمند آشنا شویم. در ادامه، اوراکل‌ها را در چند دسته‌بندی ساده اما مهم بررسی می‌کنیم.

اوراکل نرم افزاری و سخت افزاری و تفاوت آن‌ها در دریافت داده

اوراکل‌ها بر اساس اینکه اطلاعات خود را از کجا می‌آورند، به دو دسته‌ی اصلی نرم‌افزاری و سخت‌افزاری تقسیم می‌شوند:

• اوراکل نرم افزاری (Software Oracle): این نوع اوراکل‌ها رایج‌ترین مدل در بازار هستند. کار آن‌ها جستجو در دنیای دیجیتال و اینترنت است. مثلا وقتی یک قرارداد هوشمند می‌خواهد قیمت لحظه‌ای دلار یا بیت کوین را بداند، اوراکل نرم‌افزاری این اطلاعات را از وب‌سایت‌های مالی، صرافی‌ها یا سرورهای آنلاین دریافت کرده و به شبکه منتقل می‌کند.
• اوراکل سخت افزاری (Hardware Oracle): گاهی اوقات شبکه‌ی بلاک چین به اطلاعاتی نیاز دارد که در اینترنت نیستند، بلکه در دنیای فیزیکی اتفاق می‌افتند. فرض کنید یک قرارداد هوشمند برای بیمه‌ی محصولات کشاورزی نوشته شده است. اوراکل سخت‌افزاری در اینجا می‌تواند یک دماسنج هوشمند یا یک سنسور رطوبت‌سنج در مزرعه باشد. این سنسور اطلاعات فیزیکی (مثل افت شدید دما) را می‌خواند و به داده‌ی دیجیتال تبدیل می‌کند تا قرارداد هوشمند بتواند خسارت کشاورز را به صورت خودکار پرداخت کند.

اوراکل ورودی و خروجی در مدیریت جریان اطلاعات

اوراکل‌ها را می‌توانیم بر اساس مسیر حرکت اطلاعات نیز دسته‌بندی کنیم. مسیر ارتباطی همیشه یک‌طرفه نیست:

• اوراکل ورودی (Input Oracle): همان‌طور که از نامش پیداست، این اوراکل‌ها داده‌ها را از دنیای بیرون می‌گیرند و به داخل شبکه‌ی بلاک چین وارد می‌کنند. مثال دماسنج مزرعه یا دریافت نتیجه‌ی یک مسابقه‌ی ورزشی، هر دو از نوع اوراکل ورودی هستند.
• اوراکل خروجی (Output Oracle): این اوراکل‌ها دقیقا برعکس عمل می‌کنند. آن‌ها دستورات را از داخل بلاکچین می‌گیرند و به دنیای بیرون می‌فرستند تا یک اتفاق فیزیکی رخ دهد. برای مثال، تصور کنید هزینه‌ی اجاره‌ی یک خانه‌ی هوشمند را با ارز دیجیتال پرداخت می‌کنید. وقتی قرارداد هوشمند پرداخت شما را تایید کرد، از طریق یک اوراکل خروجی دستوری به قفل هوشمند درب خانه می‌فرستد تا قفل باز شود.

اوراکل متمرکز و غیرمتمرکز (پاشنه آشیل امنیت در دیفای)

این بخش یکی از مهم‌ترین مفاهیم برای درک حملات سایبری در بازار ارزهای دیجیتال است:

• اوراکل متمرکز (Centralized Oracle): در این حالت، اطلاعات فقط از یک منبع واحد و مشخص دریافت می‌شود. این روش بسیار سریع است، اما یک خطر بزرگ به همراه دارد که به آن نقطه‌ی شکست واحد (Single Point of Failure: بخشی از یک سیستم که اگر خراب شود یا هک شود، کل سیستم از کار می‌افتد) می‌گویند. اگر هکرها بتوانند همان یک منبع اطلاعاتی را دستکاری کنند، تمام سرمایه‌ی قرارداد هوشمند به خطر می‌افتد.
• اوراکل غیرمتمرکز (Decentralized Oracle): برای رفع خطر بالا، اوراکل‌های غیرمتمرکز به وجود آمدند. در این سیستم، اطلاعات به جای یک منبع، از چندین منبع مستقل و مختلف جمع‌آوری می‌شود. سپس این داده‌ها با هم مقایسه شده و میانگین آن‌ها به عنوان اطلاعات درست به شبکه ارسال می‌شود. در حوزه‌ی دیفای (DeFi: سیستم مالی بدون واسطه و غیرمتمرکز که روی شبکه‌ی بلاک چین فعالیت می‌کند)، استفاده از اوراکل متمرکز یک اشتباه مرگبار است و پاشنه‌ی آشیل امنیت محسوب می‌شود، زیرا ذات دیفای بر پایه‌ی حذف تمرکز است.

اوراکل بین زنجیره ای برای ارتباط بلاک چین‌های مختلف

شبکه‌های بلاک چین مانند اتریوم، سولانا یا بیت کوین، در حالت عادی شبیه به جزیره‌هایی هستند که هیچ راه ارتباطی با یکدیگر ندارند. اوراکل بین زنجیره ای (Cross-chain Oracle) ابزاری است که قابلیت همکاری (Interoperability: توانایی سیستم‌ها و شبکه‌های مختلف برای درک زبان یکدیگر و تبادل ایمن اطلاعات) را بین این جزیره‌ها فراهم می‌کند. این اوراکل‌ها اطلاعات و پیام‌ها را از یک شبکه‌ی بلاک چین می‌خوانند و به شبکه‌ی دیگری منتقل می‌کنند تا امکان نقل و انتقال دارایی‌ها بین شبکه‌های مختلف فراهم شود.

اوراکل خاص قرارداد و اوراکل انسانی

علاوه بر دسته‌بندی‌های کلی، دو نوع اوراکل خاص دیگر نیز وجود دارند که در شرایط ویژه‌ای استفاده می‌شوند:

• اوراکل خاص قرارداد (Contract Specific Oracle): این اوراکل‌ها فقط و فقط برای یک قرارداد هوشمند خاص طراحی و ساخته می‌شوند. از آنجایی که ساخت آن‌ها زمان‌بر و پرهزینه است، معمولا در پروژه‌های بسیار بزرگ و پیچیده که نیازهای اختصاصی دارند، استفاده می‌شوند.
• اوراکل انسانی (Human Oracle): شاید برایتان عجیب باشد، اما گاهی اوقات انسان‌ها بهترین اوراکل هستند! ماشین‌ها و سنسورها نمی‌توانند کیفیت یک اثر هنری یا صحت یک سند حقوقی پیچیده را بررسی کنند. در این موارد، افراد متخصص با استفاده از دانش خود اطلاعات را بررسی کرده و با هویت رمزنگاری شده‌ی خود، صحت آن داده را برای شبکه‌ی بلاک چین تایید می‌کنند.

حمله دستکاری اوراکل (Oracle Manipulation) چیست؟

در بخش‌های قبلی متوجه شدیم که اوراکل‌ها پیام‌رسان‌های وفادار شبکه‌ی بلاک چین هستند. اما چه اتفاقی می‌افتد اگر کسی به این پیام‌رسان اطلاعات دروغ بدهد؟ حمله‌ی دستکاری اوراکل دقیقا همین سناریوی ترسناک است. در این نوع حمله، هکرها هیچ نیازی به شکستن کدهای پیچیده ندارند؛ آن‌ها فقط چشم و گوش قرارداد هوشمند را فریب می‌دهند.

مفهوم دستکاری قیمت در اکوسیستم دیفای

تصور کنید به یک فروشگاه بزرگ رفته‌اید و قصد دارید یک تلویزیون بخرید. روی برچسب قیمت تلویزیون نوشته شده صد هزار تومان! شما بلافاصله آن را می‌خرید و فروشنده هم بدون اینکه بداند قیمت واقعی چقدر است، فقط به برچسب قیمت اعتماد می‌کند و تلویزیون را به شما تحویل می‌دهد.

در اکوسیستم دیفای، حمله‌ی دستکاری اوراکل دقیقا به همین شکل انجام می‌شود. هکرها با استفاده از روش‌های مختلف، قیمت یک ارز دیجیتال را در منبعی که اوراکل از آن اطلاعات می‌گیرد، به صورت موقت و مصنوعی بالا یا پایین می‌برند. اوراکل بی‌خبر از همه‌جا، این قیمت دروغین را می‌خواند و به قرارداد هوشمند می‌فرستد. قرارداد هوشمند هم که نابینا است و فقط دستورات را اجرا می‌کند، بر اساس این برچسب قیمت جعلی، دارایی‌ها را جابجا می‌کند. در نهایت، هکر ارزها را با قیمتی بسیار ارزان می‌خرد یا با قیمتی نجومی به خود سیستم می‌فروشد.

تفاوت هک مستقیم قرارداد هوشمند با حمله دستکاری اوراکل

برای اینکه این موضوع را بهتر درک کنیم، بیایید تفاوت این حمله را با هک‌های معمولی بررسی کنیم:

• هک مستقیم قرارداد هوشمند: در این حالت، هکر مانند سارقی است که با یک دریل و ابزار پیشرفته، به جان گاوصندوق بانک می‌افتد. او در کدهای برنامه‌نویسی شده‌ی قرارداد هوشمند یک باگ (Bug: خطای نرم‌افزاری یا نقص در کدنویسی) پیدا می‌کند و از همان نقطه به سیستم نفوذ کرده و پول‌ها را می‌دزدد.
• حمله‌ی دستکاری اوراکل: در اینجا هکر اصلا به گاوصندوق دست نمی‌زند. گاوصندوق (یعنی همان قرارداد هوشمند) کاملا سالم است و کدها بدون هیچ خطایی کار می‌کنند. هکر در اینجا نقش یک کارمند بانک را بازی می‌کند که برگه‌ی موجودی حساب‌ها را جعل کرده است. سیستم بانک (قرارداد هوشمند) با دیدن برگه‌ی جعلی، خودش با دستان خودش در گاوصندوق را برای هکر باز می‌کند! به همین دلیل است که جلوگیری از این حملات بسیار دشوارتر است، چون از نظر سیستم، هیچ کار غیرقانونی و هکی در کدها رخ نداده است.

چرا پروتکل‌های وام‌دهی و صرافی‌های غیرمتمرکز بیشترین آسیب‌پذیری را دارند؟

پلتفرم‌های مالی در دنیای کریپتو وابستگی شدیدی به قیمت‌های لحظه‌ای دارند. در این میان، دو بخش بیشتر از بقیه در خطر هستند:

• پروتکل‌های وام‌دهی: در این سیستم‌ها، شما باید یک دارایی را به عنوان وثیقه (Collateral: دارایی باارزشی که برای دریافت وام در سیستم گرو می‌گذارید) قفل کنید تا بتوانید وام بگیرید. اگر هکر بتواند اوراکل را دستکاری کند و به دروغ به سیستم بگوید که ارزش وثیقه‌ی شما به صفر رسیده است، قرارداد هوشمند بلافاصله برای جلوگیری از ضرر، دارایی شما را حراج می‌کند. به این اتفاق تلخ لیکویید شدن (Liquidation: فروش اجباری دارایی‌های کاربر توسط سیستم برای تسویه بدهی وام) می‌گویند.
• صرافی‌های غیرمتمرکز: برخلاف صرافی‌های متمرکز و معتبر داخلی مانند صرافی ارز دیجیتال کیف پول من که برای خرید تتر یا سایر ارزهای دیجیتال، قیمت‌ها را با اتصال به بازارهای جهانی و بر اساس عرضه‌ و تقاضای واقعی به شکلی امن مدیریت می‌کنند، صرافی‌های غیرمتمرکز کاملا به اوراکل‌ها وابسته‌اند. اگر هکر قیمت را در یک صرافی غیرمتمرکز دستکاری کند، می‌تواند تمام نقدینگی موجود در استخرهای آن پلتفرم را با قیمت‌های اشتباه به نفع خود تخلیه کند.

بررسی نحوه انجام حملات دستکاری اوراکل

حالا که متوجه شدیم دستکاری اوراکل چیست، بیایید مانند یک کارآگاه سایبری وارد صحنه‌ی جرم شویم تا ببینیم هکرها چگونه این نقشه‌ی پیچیده را اجرا می‌کنند. در این بخش، قطعات مختلف پازل یک حمله‌ی سایبری را کنار هم می‌گذاریم تا به زبان ساده متوجه شویم مجرمان چگونه از ابزارهای قانونی شبکه‌ی بلاک چین برای سرقت استفاده می‌کنند.

نقش استخرهای نقدینگی با نقدینگی پایین در قیمت‌گذاری‌های اشتباه

برای درک این موضوع، بیایید یک استخر واقعی را تصور کنیم. اگر شما یک سنگ بزرگ را در یک حوضچه‌ی کوچک آب بیندازید، موج‌های بزرگی ایجاد می‌شود و آب به بیرون می‌پاشد. اما اگر همان سنگ را در اقیانوس بیندازید، هیچ اتفاق خاصی نمی‌افتد.

در دنیای دیفای، ما چیزی به نام استخر نقدینگی (Liquidity Pool: خزانه‌ای دیجیتال که کاربران سرمایه‌ی خود را در آن قفل می‌کنند تا دیگران بتوانند بدون نیاز به فروشنده‌ی مستقیم، ارزهایشان را معامله کنند) داریم.

اگر یک اوراکل برای تشخیص قیمت، فقط به یک استخر نقدینگی کوچک و خلوت (همان حوضچه‌ی کوچک) نگاه کند، هکر به راحتی می‌تواند با خرید یا فروش مقدار نسبتا کمی از یک ارز دیجیتال، قیمت آن را در آن استخر به شدت بالا یا پایین ببرد. اوراکل با دیدن این موج بزرگ در حوضچه، فکر می‌کند که قیمت جهانی آن ارز تغییر کرده است و این اطلاعات اشتباه را به قراردادهای هوشمند مخابره می‌کند.

سوءاستفاده از وام های فلش یا Flash Loans برای تغییر ناگهانی قیمت

شاید بپرسید هکرها پول لازم برای ایجاد این موج‌های قیمتی را از کجا می‌آورند؟ پاسخ در یکی از ابزارهای عجیب و جالب دنیای دیفای به نام وام فلش (Flash Loan: نوعی وام فوری و بدون نیاز به وثیقه در شبکه‌ی بلاک چین که کاربر باید کل مبلغ وام را در همان تراکنش و در کسری از ثانیه پس بدهد، در غیر این صورت وام به طور خودکار لغو می‌شود) نهفته است.

در دنیای واقعی، برای گرفتن وام میلیاردی باید ضامن و وثیقه‌های سنگین داشته باشید. اما در دنیای کریپتو، وام فلش به هر کسی اجازه می‌دهد برای چند ثانیه، میلیون‌ها دلار سرمایه قرض بگیرد. هکرها از این ابزار به ظاهر مفید، سوءاستفاده می‌کنند. آن‌ها میلیون‌ها دلار وام فلش می‌گیرند، با این پول هنگفت به یک استخر نقدینگی کوچک حمله می‌کنند تا قیمت را دستکاری کنند، سود خود را از طریق یک قرارداد هوشمند دیگر به جیب می‌زنند و در نهایت، در کمتر از چند ثانیه وام را پس می‌دهند!

بررسی نحوه بازتولید یک قرارداد حمله

هکرها برای انجام این حملات پشت کامپیوتر نمی‌نشینند تا دکمه‌ی خرید و فروش را با موس کلیک کنند، زیرا انسان به اندازه‌ی کافی سریع نیست. آن‌ها برای این کار یک قرارداد حمله (Attack Contract: یک کد برنامه‌نویسی شده‌ی مخرب که تمام مراحل دریافت وام، دستکاری قیمت و سرقت را به صورت خودکار و زنجیره‌وار انجام می‌دهد) می‌نویسند.

از دیدگاه آموزشی، وقتی متخصصان امنیت سایبری می‌خواهند شبکه‌ی بلاک چین را ایمن کنند، خودشان این قراردادهای حمله را در محیط‌های آزمایشی بازتولید می‌کنند. آن‌ها کدی می‌نویسند که نشان می‌دهد چگونه یک تراکنش واحد می‌تواند همزمان هم وام بگیرد، هم قیمت را در صرافی تغییر دهد و هم از پروتکل وام‌دهی سوء استفاده کند. درک ساختار این قراردادهای مخرب به برنامه‌نویسان کمک می‌کند تا راه‌های نفوذ را قبل از ورود هکرهای واقعی ببندند.

مراحل قدم به قدم یک حمله کلاسیک در سیستم دیفای

برای اینکه تصویر کاملا شفافی از این عملیات داشته باشیم، تمام مراحلی که در یک چشم به هم زدن رخ می‌دهد را به صورت مرحله به مرحله مرور می‌کنیم:

• تامین سرمایه‌ی اولیه: هکر از یک پلتفرم ارائه‌دهنده‌ی وام فلش، مبلغ بسیار بزرگی (مثلا 10 میلیون دلار تتر) را بدون هیچ وثیقه‌ای قرض می‌گیرد.
• ایجاد شوک قیمتی: هکر تمام این 10 میلیون دلار را وارد یک استخر نقدینگی هدف می‌کند و یک ارز دیجیتال خاص را به شدت می‌خرد. این کار باعث می‌شود قیمت آن ارز در آن استخر به صورت مصنوعی و حبابی چند برابر شود.
• فریب سیستم قربانی: پروتکل وام‌دهی (پلتفرم قربانی) برای بررسی قیمت‌ها به همان استخر نقدینگی دستکاری شده متصل است. اوراکل این پروتکل، قیمت حباب‌دار را می‌خواند و به اشتباه تایید می‌کند که ارزش آن ارز دیجیتال بسیار بالا رفته است.
• سرقت یا سوءاستفاده: حالا هکر از این فرصت استفاده می‌کند و ارزهایی که به صورت مصنوعی گران شده‌اند را به عنوان وثیقه در پلتفرم قربانی قرار می‌دهد. سیستم که فریب خورده است، بر اساس آن ارزش دروغین، وام بسیار بزرگی از ارزهای معتبر (مثل اتریوم یا بیت کوین) به هکر می‌دهد.
• فرار و تسویه حساب: هکر با پول‌های به سرقت رفته، وام فلش 10 میلیون دلاری را به همراه کارمزد کوچک آن پس می‌دهد.
• سود خالص: پس از بازپرداخت وام، ارزهای ارزشمندی که هکر از پلتفرم قربانی بیرون کشیده است، به عنوان سود خالص این هک در جیب او باقی می‌ماند و در مقابل، پروتکل دیفای با مقداری ارز بی‌ارزش و خزانه‌ی خالی رها می‌شود.

بررسی میزان خسارت و پیامدهای هک در سیستم دیفای

وقتی صحبت از دستکاری قیمت در سیستم‌های مالی غیرمتمرکز می‌شود، فقط با یک خطای کامپیوتری ساده روبرو نیستیم. این حملات می‌توانند در کسری از ثانیه، میلیون‌ها دلار سرمایه‌ی کاربران را دود کنند و اعتماد به کل شبکه‌ی دیفای را از بین ببرند. برای درک بهتر عمق فاجعه، باید ببینیم وقتی اوراکل‌ها فریب می‌خورند، چه بلایی بر سر پول‌های موجود در سیستم می‌آید. پیامدهای این حملات معمولا به دو شکل بسیار دردناک خود را نشان می‌دهند.

تاثیر حمله بر لیکویید شدن ناحق دارایی‌های کاربران

همان‌طور که در بخش‌های قبل اشاره کردیم، پروتکل‌های وام‌دهی بر اساس ارزش وثیقه‌ی شما کار می‌کنند. حالا تصور کنید شما یک بیت کوین را به عنوان وثیقه در یک پلتفرم قفل کرده‌اید تا مقداری پول قرض بگیرید. در دنیای واقعی، بازار آرام است و قیمت بیت کوین کاملا امن و ثابت مانده است؛ اما هکر موفق می‌شود اوراکل آن پلتفرم را فریب دهد و به دروغ اعلام کند که قیمت بیت کوین ناگهان سقوط کرده و تقریبا بی‌ارزش شده است!

قرارداد هوشمند با دریافت این خبر دروغین، بلافاصله فکر می‌کند که وثیقه‌ی شما دیگر ارزش کافی برای پوشش دادن وام را ندارد. بنابراین، برای جلوگیری از ضرر سیستم، به صورت خودکار دارایی شما را حراج می‌کند. به این ترتیب، کاربرانی که هیچ کار اشتباهی نکرده‌اند و بازار هم ریزشی نداشته است، به ناحق تمام سرمایه‌ی خود را از دست می‌دهند. این دردناک‌ترین بخش ماجرا برای سرمایه‌گذاران خرد است که صبح بیدار می‌شوند و می‌بینند کیف پول دیجیتال آن‌ها بدون هیچ دلیل منطقی و واقعی خالی شده است.

تخلیه استخرهای نقدینگی و سرقت سرمایه‌های قفل‌شده

آسیب حمله‌ی دستکاری اوراکل فقط به وام‌گیرندگان محدود نمی‌شود؛ کسانی که پول خود را در سیستم سرمایه‌گذاری کرده‌اند تا سود بگیرند نیز قربانی اصلی ماجرا هستند. هکرها از یک روش بسیار هوشمندانه برای خالی کردن خزانه‌ی پلتفرم‌ها استفاده می‌کنند.

• آن‌ها یک ارز دیجیتال بسیار ارزان و بی‌ارزش را در بازار انتخاب می‌کنند. سپس با ایجاد حباب مصنوعی در قیمت آن در یک صرافی خلوت، به اوراکل القا می‌کنند که این ارز بی‌ارزش، ناگهان میلیون‌ها دلار قیمت پیدا کرده است.
• در قدم بعدی، هکر این ارزهای حباب‌دار را به عنوان یک وثیقه‌ی فوق‌العاده ارزشمند در سیستم وام‌دهی گرو می‌گذارد. سیستم که فریب اوراکل را خورده است، در ازای این وثیقه‌ی دروغین، تمام ارزهای معتبر و واقعی (مانند تتر، اتریوم یا بیت کوین) که متعلق به سایر کاربران است را به عنوان وام به هکر تقدیم می‌کند.
• هکر پول‌ها را برمی‌دارد و دیگر هرگز برنمی‌گردد تا بدهی خود را صاف کند. در نهایت، پلتفرم می‌ماند با یک خزانه‌ی خالی و کوهی از ارزهای دیجیتال کاملا بی‌ارزش.

بررسی پرونده‌های واقعی از پروژه‌های قربانی دستکاری اوراکل در سال‌های اخیر

برای اینکه بدانیم این خطر چقدر جدی است، کافی است نگاهی به تاریخچه‌ی حملات دیفای بیندازیم. در سال‌های گذشته، پروژه‌های بسیار بزرگی قربانی این نقطه ضعف شده‌اند و سرمایه‌ی عظیمی به سرقت رفته است. در ادامه چند نمونه از معروف‌ترین این پرونده‌ها را بررسی می‌کنیم:

• پروژه‌ی مانگو مارکتس (Mango Markets): در اواخر سال 2022، این پلتفرم معاملاتی در شبکه‌ی سولانا هدف یکی از بزرگترین حملات قرار گرفت. هکر با دستکاری قیمت توکن اختصاصی این شبکه، ارزش دارایی‌های خود را به صورت کاذب بالا برد و توانست بیش از 110 میلیون دلار از سرمایه‌ی پلتفرم را به شکل وام‌های بی‌بازگشت خارج کند. این اتفاق باعث شد کل سیستم فلج شود.
• کریم فایننس (Cream Finance): این پلتفرم وام‌دهی در سال 2021 قربانی یک حمله‌ی بسیار پیچیده شد. هکرها با دستکاری اوراکل‌های قیمت‌گذاری، توانستند حدود 130 میلیون دلار از دارایی‌های این شبکه را به سرقت ببرند. این اتفاق ضربه‌ی مهلکی به اعتبار این پروژه وارد کرد و کاربران زیادی پول خود را از دست دادند.
• پروتکل بی زی ایکس (bZx): این پروژه در سال 2020 دو بار پیاپی هدف قرار گرفت. هکرها با استفاده از ترکیب وام‌های سریع و دستکاری قیمت در صرافی‌های غیرمتمرکز مختلف، اوراکل این پلتفرم را گیج کردند و توانستند میلیون‌ها دلار اتریوم را از سیستم خارج کنند. این حمله یکی از اولین زنگ خطرهای جدی برای توسعه‌دهندگان بازار ارزهای دیجیتال بود.

این پرونده‌ها نشان می‌دهند که اگر سیستم اوراکل به درستی طراحی نشود و امنیت آن تامین نگردد، حتی بزرگترین و ثروتمندترین پروژه‌ها نیز در عرض چند دقیقه خلع سلاح می‌شوند و دارایی کاربران به یغما می‌رود.

راهکارهای امنیتی برای جلوگیری از Oracle Manipulation

تا اینجا دیدیم که هکرها چطور از نقاط ضعف جریان اطلاعات سوءاستفاده می‌کنند و سرمایه‌ی کاربران را به خطر می‌اندازند. اما خبر خوب این است که توسعه‌دهندگان بلاک چین هم بیکار ننشسته‌اند. آن‌ها برای محافظت از دارایی‌های دیجیتال، سپرهای دفاعی قدرتمندی طراحی کرده‌اند که راه نفوذ را به روی سارقان می‌بندد. در این بخش می‌خواهیم ببینیم پروژه‌های معتبر با چه روش‌هایی امنیت سیستم اوراکل را تضمین می‌کنند.

استفاده از شبکه‌های اوراکل غیرمتمرکز معتبر به جای تکیه بر یک صرافی غیرمتمرکز

بزرگترین اشتباه یک قرارداد هوشمند این است که برای استعلام قیمت، فقط به یک صرافی غیرمتمرکز کوچک متکی باشد. این کار دقیقا مثل این است که برای فهمیدن قیمت واقعی یک ماشین، فقط از یک دلال در یک خیابان خلوت سوال بپرسید! هکر به راحتی می‌تواند همان یک دلال را فریب دهد.

راهکار درست و اصولی این است که از شبکه‌های اوراکل غیرمتمرکز (Decentralized Oracle Networks: شبکه‌هایی که از ده‌ها کامپیوتر و منبع مستقل برای تایید صحت یک خبر یا قیمت استفاده می‌کنند) کمک بگیریم. این شبکه‌های معتبر، اطلاعات را از ده‌ها نقطه‌ی مختلف جمع‌آوری می‌کنند. بنابراین، حتی اگر هکر بتواند قیمت را در یک صرافی کوچک دستکاری کند، اوراکل غیرمتمرکز با بررسی سایر منابع متوجه این تقلب می‌شود و شبکه‌ی بلاک چین را از خطر نجات می‌دهد.

پیاده‌سازی مکانیزم میانگین قیمت وزنی زمان یا TWAP برای خنثی‌سازی نوسانات لحظه‌ای

یکی از قوی‌ترین و هوشمندانه‌ترین سپرهای دفاعی در دنیای کریپتو، ابزاری به نام میانگین قیمت وزنی زمان (TWAP: یک فرمول ریاضی که به جای گزارش قیمت در یک ثانیه‌ی خاص، میانگین قیمت‌ها را در یک بازه‌ی زمانی مشخص محاسبه می‌کند) است.

همان‌طور که قبلا بررسی کردیم، هکرها معمولا با استفاده از وام‌های فلش، قیمت را فقط برای چند ثانیه به صورت حبابی بالا می‌برند و سپس وام را پس می‌دهند. اگر سیستم از مکانیزم TWAP استفاده کند، به جای اینکه فریب آن چند ثانیه‌ی طوفانی را بخورد، میانگین قیمت در مثلا نیم ساعت یا یک ساعت گذشته را بررسی می‌کند. با این کار، اثر آن نوسان شدید و لحظه‌ای کاملا خنثی می‌شود و قیمت‌گذاری به حالت واقعی خود بازمی‌گردد.

استفاده از چند منبع داده مستقل و ادغام قیمت‌ها

ضرب‌المثل معروفی داریم که می‌گوید تمام تخم‌مرغ‌هایت را در یک سبد نگذار. طراحان سیستم‌های مالی ایمن نیز دقیقا همین کار را می‌کنند. آن‌ها قرارداد هوشمند را طوری برنامه‌ریزی می‌کنند که قیمت‌ها را فقط از یک سایت یا یک استخر نقدینگی استخراج نکند، بلکه از چندین منبع کاملا مستقل داده‌ها را دریافت کند.

این منابع می‌توانند ترکیبی از بازارهای جهانی، صرافی‌های غیرمتمرکز بزرگ و سیستم‌های متمرکز باشند. برای مثال، یک اوراکل ایمن برای تعیین دقیق قیمت ارزها، داده‌های جهانی را با بخش خدمات معاملاتی متمرکز و خرید استیبل کوین در پلتفرم‌های معتبری مانند صرافی کیف پول من ترکیب می‌کند و سپس این داده‌ها را با هم ادغام (Aggregate: ترکیب کردن چند داده‌ی مختلف با فرمول‌های ریاضی برای رسیدن به یک عدد نهایی و بسیار دقیق) می‌کند. با این معماری، اگر یک منبع اطلاعاتی هک شود یا دیتای اشتباهی بدهد، سایر منابع بلافاصله آن را اصلاح می‌کنند.

تعریف تاخیر در اجرای تراکنش‌ها و سیستم‌های پایش لحظه‌ای انحراف قیمت

گاهی اوقات بهترین راه برای جلوگیری از یک سرقت بزرگ، کمی صبر کردن است. در شبکه‌های بلاک چینی می‌توانیم یک سیستم تاخیر زمانی (Time Delay: ایجاد یک وقفه‌ی کوتاه و عمدی قبل از نهایی شدن تراکنش‌های بسیار بزرگ) تعریف کنیم. وقتی هکر قیمت را به شدت دستکاری می‌کند و می‌خواهد در همان ثانیه وام سنگینی بگیرد تا فرار کند، این سیستم ترمز او را می‌کشد و تراکنش را برای چند دقیقه معلق نگه می‌دارد.

در همین زمان وقفه، ربات‌های نگهبانی به نام سیستم‌های پایش انحراف قیمت (Price Deviation Monitors) وارد عمل می‌شوند. وظیفه‌ی این نگهبان‌های دیجیتال این است که بازار را رصد کنند و اگر دیدند قیمت یک ارز به صورت ناگهانی و غیرمنطقی تغییر کرده است، سریعا زنگ خطر را به صدا درآورند و قرارداد هوشمند را متوقف کنند. این وقفه‌ی کوتاه، تمام نقشه‌ی هکر را که بر اساس سرعت و غافلگیری در کسری از ثانیه طراحی شده بود، به طور کامل نابود می‌کند و سرمایه‌ی کاربران ایمن می‌ماند.

کدام شبکه‌ها و ارزهای دیجیتال از اوراکل استفاده می‌کنند؟

تا اینجای مقاله متوجه شدیم که اوراکل‌ها چقدر برای حیات قراردادهای هوشمند ضروری هستند. حالا شاید برایتان سوال پیش بیاید که دقیقا کدام ارزهای دیجیتال از این پیام‌رسان‌ها استفاده می‌کنند؟ پاسخ کوتاه این است: تقریبا تمام شبکه‌های پیشرفته‌ای که می‌خواهند کاربردی فراتر از یک انتقال پول ساده داشته باشند! در این بخش، نگاهی می‌اندازیم به نام‌های آشنای بازار و می‌بینیم که هر کدام چگونه از این ابزار قدرتمند بهره می‌برند.

نقش اوراکل‌ها در شبکه‌های لایه یک مانند اتریوم و بیت کوین

وقتی از شبکه‌های لایه یک (Layer 1: شبکه‌های اصلی و پایه در دنیای رمزارز که بلاک چین اختصاصی خود را دارند و زیربنای ساخت برنامه‌های دیگر هستند) صحبت می‌کنیم، نام بیت کوین و اتریوم می‌درخشد. اما رابطه‌ی این دو پادشاه با اوراکل‌ها کاملا متفاوت است:

• اتریوم: شبکه‌ی اتریوم خانه‌ی اصلی قراردادهای هوشمند است. از آنجایی که هزاران برنامه‌ی مالی غیرمتمرکز روی اتریوم ساخته شده است، این شبکه به شدت به اوراکل‌ها وابسته است. بدون اوراکل‌ها، تمام سیستم‌های وام‌دهی و صرافی‌های روی اتریوم فلج می‌شوند و عملا هیچ کارایی نخواهند داشت.
• بیت کوین: شبکه‌ی بیت کوین در ابتدا فقط برای انتقال پول طراحی شده بود و قراردادهای هوشمند پیچیده‌ای نداشت، بنابراین نیازی هم به اوراکل نداشت. اما امروزه با پیشرفت تکنولوژی، توسعه‌دهندگان در حال ساخت برنامه‌های مالی جدیدی روی شبکه‌ی بیت کوین هستند. برای اینکه این برنامه‌ها بتوانند قیمت‌ها را از دنیای بیرون بخوانند، پای اوراکل‌ها به آرامی به دنیای بیت کوین هم باز شده است.

همگام‌سازی داده‌ها و تامین امنیت دیفای در پالیگان، سولانا، کاردانو، آوالانچ و اپتوس

علاوه بر اتریوم، ما شبکه‌های بسیار سریع و مدرن دیگری هم داریم که میزبان پروژه‌های دیفای هستند. برای این شبکه‌ها، سرعت و دقت اطلاعات حرف اول را می‌زند. اوراکل‌ها در این پلتفرم‌ها وظیفه‌ی همگام‌سازی (Synchronization: دریافت و به‌روزرسانی مداوم اطلاعات در کسری از ثانیه تا همه چیز با دنیای واقعی هماهنگ باشد) را بر عهده دارند:

• سولانا و اپتوس: این دو شبکه به خاطر سرعت برق‌آسای خود در پردازش تراکنش‌ها معروف هستند. بنابراین، برنامه‌های مالی آن‌ها به اوراکل‌های ویژه‌ای نیاز دارند که بتوانند قیمت‌ها را در کسری از ثانیه و همگام با سرعت بالای شبکه به‌روزرسانی کنند.
• پالیگان و آوالانچ: این شبکه‌ها میزبان میلیاردها دلار سرمایه‌ی کاربران در استخرهای نقدینگی هستند. اوراکل‌ها در اینجا نقش نگهبانان امنیتی را بازی می‌کنند تا با ارائه‌ی قیمت‌های دقیق و لحظه‌ای از چندین منبع معتبر، جلوی حملات دستکاری قیمت را بگیرند.
• کاردانو: شبکه‌ی کاردانو رویکردی بسیار علمی و محتاطانه دارد. قراردادهای هوشمند در کاردانو برای اتصال به دنیای واقعی از اوراکل‌های غیرمتمرکزی استفاده می‌کنند که بارها از نظر امنیتی آزمایش شده‌اند تا هیچ راه نفوذی برای هکرها باقی نگذارند.

معرفی پروژه‌هایی که خودشان به عنوان اوراکل شبکه فعالیت می‌کنند (مانند چین لینک)

نکته‌ی بسیار جالب در بازار رمزارزها این است که برخی از پروژه‌ها، خودشان شبکه‌ی بلاک چین مستقلی مانند اتریوم نیستند که بخواهند از اوراکل استفاده کنند؛ بلکه ماهیت اصلی آن‌ها تبدیل شدن به یک اوراکل است! این پروژه‌ها به صورت تخصصی زیرساخت ارتباطی را برای سایر شبکه‌ها فراهم می‌کنند. چند نمونه از معروف‌ترین آن‌ها عبارتند از:

• چین لینک (Chainlink): این پروژه پادشاه بی‌رقیب دنیای اوراکل‌ها است. چین لینک یک شبکه‌ی غیرمتمرکز از پیام‌رسان‌ها ساخته است که اطلاعات را با بالاترین سطح امنیت جمع‌آوری کرده و به شبکه‌هایی مثل اتریوم و پالیگان ارائه می‌دهد. خرید ارز دیجیتال LINK برای پرداخت هزینه‌ی همین پیام‌رسانی‌ها انجام می شود.
• بند پروتکل (Band Protocol): یک رقیب قدرتمند برای چین لینک که بیشتر تمرکزش روی ارائه‌ی سریع اطلاعات برای شبکه‌های متنوع و متصل کردن بلاک چین‌های مختلف به یکدیگر است.
• پایت نتورک (Pyth Network): این پروژه نسل جدیدی از اوراکل‌ها است که اطلاعات بازارهای مالی سنتی (مثل بورس آمریکا) و ارزهای دیجیتال را با سرعتی بی‌نظیر، مستقیما از دل بزرگترین شرکت‌های مالی و سرمایه‌گذاری جهان دریافت کرده و به شبکه‌های فوق‌سریع مانند سولانا تحویل می‌دهد.

وجود این پروژه‌های تخصصی باعث شده است تا برنامه‌نویسان به جای اینکه خودشان یک سیستم انتقال داده‌ی ضعیف بسازند، از شبکه‌های امن و آزمایش‌شده‌ی آن‌ها استفاده کنند و امنیت پلتفرم خود را به بالاترین سطح ممکن برسانند.

منابع:

Cyfrin

Halborn

SCSFG