متوسط مقالات

چگونه پل‌ های بلاکچینی به هدف اصلی هکرها تبدیل شدند؟

افزایش راه‌حل‌های لایه ۱ و لایه ۲ نیاز به پلتفرم‌های میان زنجیره‌ای برای جابجایی دارایی‌ بین شبکه‌ها و قابلیت همکاری بین بلاک‌چین‌ها را ضروری کرده است. به همین دلیل تعداد و استفاده از پل های بلاک چینی افزایش یافته است. با ایجاد قابلیت‌های جدید فرصت برای حملات هکری نیز افزایش یافته است، مخصوصا اینکه نقص‌هایی در این پل‌ها وجود دارد. با توجه به آمار و داده‌ها حداقل ۸۰ درصد از دارایی‌های از دست رفته در سال ۲۰۲۲ از پل‌ها به سرقت رفته است. در این مقاله از میهن بلاک چین به بررسی علل افزایش هک پل های بلاک چین و بزرگترین حملات هکری به پل‌ها خواهیم پرداخت.

چرا پل های بلاک چینی مورد توجه هکرها ‌هستند؟

 افزایش هک پل های بلاکچینی

صنعت کریپتو به اکوسیستمی تبدیل شده است که می‌تواند چندین بلاک چین لایه ۱ و راه‌حل‌های مقیاس‌پذیری لایه ۲ با قابلیت‌های منحصر به فرد را به هم متصل کند. پروژه‌‌های دیفای زیادی روی شبکه‌هایی مانند فانتوم یا آوالانچ شکل گرفته‌اند، بازی‌های play-to-earn بزرگی مانند Axie Infinity و DeFi Kingdoms روی اکوسیستم‌هایی مانند Ronin و هارمونی (Harmony) ایجاد شده‌اند. این بلاک‌چین‌ها به‌عنوان جایگزینی برای هزینه‌های گس اتریوم و کندی تراکنش مطرح شده‌اند. با این شرایط نیاز به روشی آسان برای جابجایی دارایی‌ بین پروتکل‌ها در بلاک‌چین‌های متفاوت، بیش از هر زمان دیگری حیاتی شد. اینجا بود که پل‌ های بلاک‌ چینی وارد شدند.

در نتیجه سناریوی چند زنجیره‌ای، ارزش کل قفل شده (TVL) در تمام برنامه های DeFi به شدت افزایش یافت. در پایان مارس ۲۰۲۲، TVL صنعت کریپتو ۲۱۵ میلیارد دلار تخمین زده شد که ۱۵۶ درصد بیشتر از مارس ۲۰۲۱ است. مقدار ارزش قفل شده و بریج شده در این برنامه‌های DeFi، توجه هکرها را به خود جلب کرد. احتمالا مهاجمان یک حلقه ضعیف در پل های بلاکچینی پیدا کرده‌اند.

هک پل های بلاکچینی

۵ حمله بزرگ به پل های بلاک چین
منبع:thedefiant.io

با توجه به پایگاه داده Rekt، نزدیک به ۱.۲ میلیارد دلار دارایی‌ در سه ماهه اول ۲۰۲۲ به سرقت رفته است که بر اساس همان منبع، ۳۵.۸٪ از وجوه سرقت شده تمام دوران را تشکیل می دهد. جالب اینجاست که حداقل ۸۰ درصد از دارایی‌های از دست رفته در سال ۲۰۲۲، از پل‌ها به سرقت رفته است.

یکی از شدیدترین حملات مدتی پیش رخ داد که در آن پل رونین به ارزش ۵۴۰ میلیون دلار هک شد. قبل از آن در سال ۲۰۲۲ پل‌های Wormhole سولانا و Qubit Finance زنجیره BNB با بیش از ۴۰۰ میلیون دلار ارزش مورد حمله قرار گرفتند. بزرگترین هک در تاریخ کریپتو در آگوست ۲۰۲۱ رخ داد که در آن پل PolyNetwork به مبلغ ۶۱۰ میلیون دلار مورد حمله قرار گرفت؛ البته وجوه سرقت شده بعدا بازگردانده شد.

پل‌ها یکی از با ارزش‌ترین ابزارها در صنعت کریپتو هستند، اما قابلیت همکاری آن‌ها چالش مهمی برای پروژه‌‌های سازنده آنها شده است.

آشنایی با پل های بلاکچینی

آشنایی با پل های بلاک چینی

پل‌ های بلاک چینی پلتفرم‌هایی هستند که دو شبکه مختلف را به هم متصل می‌کنند و امکان انتقال میان زنجیره‌ای دارایی‌ها و اطلاعات را از یک بلاک‌چین به زنجیره‌ی دیگر فراهم می‌کنند. به این ترتیب ارزهای دیجیتال و NFTها به بلاک‌چین اصلی خود محدود نمی‌شوند و می‌توان آن‌ها را در میان بلاک‌چین‌های مختلف بریج کرد و تنوع استفاده از این دارایی‌ها را چند برابر کرد.

به لطف پل‌ها بیت‌کوین در شبکه‌های مبتنی بر قرارداد هوشمند برای اهداف DeFi استفاده می‌شود، یا NFL All Day NFT را می‌توان از بلاک‌چین Flow به بلاک‌چین اتریوم پل زد تا فراکشنال (تقسیم) شود یا به عنوان وثیقه استفاده شود.

در خصوص انتقال دارایی رویکردهای مختلفی وجود دارد. پل های Lock-and-Mint (قفل و ضرب کردن) همانطور که از نام آن‌ها پیداست دارایی‌های اصلی را در داخل یک قرارداد هوشمند در شبکه مبدا قفل کرده و یک کپی از توکن اصلی را در شبکه دریافت‌کننده مینت می‌کنند. اگر اتر از اتریوم به سولانا پل شود، اتر موجود در سولانا فقط یک نمایش رپد شده از رمزارز خواهد بود نه خود توکن واقعی.

پل های Lock-and-Mint(قفل و ضرب کردن)
منبع:thedefiant.io

با اینکه رویکرد lock-and-mint محبوب‌ترین روش پل زدن است، روش‌های دیگری نیز برای تکمیل انتقال دارایی‌ها مانند سوزاندن و ضرب (burn-and-mint) یا مبادله اتمی وجود دارد که توسط یک قرارداد هوشمند برای مبادله دارایی‌ها بین دو شبکه انجام می‌شود. Connext (قبلا با نام xPollinate) و cBridge پل‌هایی هستند که بر مبادله اتمی متکی هستند.

از نقطه نظر امنیتی پل‌ها را می‌توان به دو گروه اصلی طبقه بندی کرد: بریج‌های با واسطه و بریج‌های بدون نیاز به اعتماد. بریج‌های با واسطه پلتفرم‌هایی هستند که برای اعتبارسنجی تراکنش‌ها به شخص ثالث متکی هستند، اما مهم‌تر از آن به عنوان نگهبان دارایی‌های پل‌شده عمل می‌کنند. پل بایننس، پل Polygon POS، پل WBTC، پل آوالانچ، پل هارمونی و برنامه‌های خاصی مانند Multichain (Anyswap سابق) یا Tron’s Just Cryptos نمونه‌هایی از پل‌ های بلاکچینی با واسطه هستند.

پلتفرم‌هایی که برای نگهداری دارایی‌ها فقط به قراردادهای هوشمند و الگوریتم‌ها متکی هستند، پل‌ های بدون نیاز به اعتماد هستند. عامل امنیتی در پل‌‌های بدون واسطه به شبکه زیربنایی که دارایی‌ها در آن پل می‌شوند، یعنی جایی که دارایی‌ها قفل می‌شوند، گره خورده است. پل Rainbow شبکه نیر، پل ورم‌هول شبکه سولانا، پل Snow شبکه پولکادات، پل IBC کازموس و پلتفرم‌هایی مانند Hop، کانکست و Celer نمونه‌هایی از پل‌ های بلاکچینی بدون واسطه هستند.

در نگاه اول ممکن است به نظر برسد که پل‌‌های بدون واسطه گزینه امن‌تری برای انتقال دارایی‌ها بین بلاک‌چین‌ها ارائه می‌دهند. باید بدانید که پل‌های متمرکز و غیرمتمرکز هردو با چالش‌های متفاوتی روبرو هستند.

محدودیت پل های با واسطه و بدون واسطه

پل رونین به عنوان یک پلتفرم متمرکز عمل می‌کند. این پل از یک کیف پول Multisig برای نگهداری دارایی‌های بریج شده استفاده می‌کند. به طور خلاصه کیف پول چند امضایی آدرسی است که برای تایید یک تراکنش به دو یا چند امضای رمزنگاری نیاز دارد. در مورد Ronin، زنجیره جانبی دارای ۹ تاییدکننده است که برای تایید سپرده‌ها و برای برداشت‌ها به پنج امضای مختلف نیاز دارند.

پلتفرم‌های دیگر از همین رویکرد استفاده می‌کنند اما ریسک را متنوع‌تر می‌کنند. به عنوان مثال Polygon به هشت اعتبارسنج متکی است و به پنج امضا نیاز دارد. این پنج امضا توسط گروه‌های مختلف کنترل می‌شود. در رونین چهار امضا توسط تیم اسکای ماویس نگه داشته شد که یک نقطه شکست را ایجاد کرد. پس از اینکه هکر توانست چهار امضای Sky Mavis را به طور همزمان کنترل کند، فقط یک امضای دیگر برای تایید برداشت از دارایی‌ها لازم بود.

در ۲۳ مارس هکر کنترل امضای Axie DAO یعنی آخرین قطعه مورد نیاز برای تکمیل حمله را به دست آورد. ۱۷۳۶۰۰ اتر و ۲۵.۵ میلیون USDC از قرارداد نگهدارنده رونین در دو تراکنش مختلف در دومین حمله بزرگ کریپتو تاکنون، به سرقت رفت. همچنین شایان ذکر است که تیم Sky Mavis تازه یک هفته بعد متوجه این هک شد و نشان داد که مکانیسم‌های نظارتی Ronin ناقص بوده‌اند و نقص دیگری را در این پلتفرم با واسطه آشکار کرد.

با اینکه تمرکز یک نقص اساسی است، پل‌های بدون واسطه به دلیل اشکالات و آسیب‌پذیری‌ها در نرم‌افزار و کدگذاری‌شان مستعد حمله هستند.

۵ هک بزرگ تاریخ
منبع:thedefiant.io

Solana Wormhole، پلتفرمی که تراکنش‌های متقابل بین سولانا و اتریوم را امکان‌پذیر می‌کند، در فوریه ۲۰۲۲ مورد حمله قرار گرفت که در آن ۳۲۵ میلیون دلار به دلیل نقص در قراردادهای نگهبان سولانا به سرقت رفت. فقط یک نقص در قراردادهای ورم‌هول به هکر اجازه داد تا اعتبارسنج‌های میان‌زنجیره‌ای را طراحی کند. این مهاجم ۰.۱ اتریوم از بلاک‌چین اتریوم به سولانا ارسال کرد تا مجموعه‌ای از «پیام‌های انتقال» را راه‌اندازی کند و برنامه را فریب داد تا واریز فرضی ۱۲۰۰۰۰ اتر را تایید کند.

هک Wormhole پس از سوء استفاده از Poly Network به مبلغ ۶۱۰ میلیون دلار در آگوست ۲۰۲۱ به دلیل نقص در طبقه بندی و ساختار قراردادها اتفاق افتاد. تراکنش‌های میان زنجیره‌ای در این برنامه غیرمتمرکز توسط یک گروه متمرکز از نودها به نام “keepers” تایید شده و در شبکه دریافت کننده توسط یک قرارداد Gateway تایید می‌شوند. در این حمله هکر توانست امتیازاتی را به عنوان نگهبان به دست آورد و به این ترتیب با تنظیم پارامترهای خود، درگاه را فریب داد. مهاجم این فرآیند را در اتریوم، بایننس، نئو و سایر بلاک‌چین‌ها برای استخراج دارایی‌های بیشتر تکرار کرد.

همه پل‌ها به اتریوم منتهی می‌شوند

اتریوم غالب‌ترین اکوسیستم DeFi در صنعت بلاک چین است و تقریبا ۶۰ درصد از TVL صنعت را به خود اختصاص می‌دهد. ظهور بلاک‌چین‌های مختلف به‌عنوان جایگزینی برای برنامه‌های DeFi اتریوم، فعالیت بین‌زنجیره‌ای پل‌ های بلاک چینی را به یک نیاز تبدیل کرد.

بزرگترین پل در این صنعت پل WBTC است که توسط BitGo، Kyber و پروتکل ریپابلیک (Republic) که تیم پشتیبان RenVM است، نگهداری می‌شود. از آنجایی که توکن‌های بیت‌کوین از نظر فنی با بلاک‌چین‌های مبتنی بر قرارداد هوشمند سازگار نیستند، پل WBTC بیت‌کوین بومی را رپد می‌کند، آن را در قرارداد نگهبان پل قفل می‌کند و نسخه ERC-20 آن را در اتریوم ضرب می‌کند. این پل در تابستان DeFi محبوبیت زیادی پیدا کرد و اکنون حدود ۱۲.۵ میلیارد دلار بیت کوین دارد. WBTC به بیت‌کوین اجازه می‌دهد تا به عنوان وثیقه در dappهایی مانند آوه، کامپوند و میکر، برای ییلد فارمینگ یا کسب سود در چندین پروتکل DeFi استفاده شود.

Multichain که قبلا به نام Anyswap شناخته می‌شد، برنامه‌ای است که تراکنش‌های میان زنجیره‌ای را به بیش از ۴۰ بلاک چین با یک پل داخلی ارائه می‌دهد. Multichain دارای ۶.۵ میلیارد دلار در تمام شبکه‌های متصل است. با این حال پل فانتوم به اتریوم با ۳.۵ میلیارد دلار ارزش قفل‌شده، با اختلاف بزرگترین استخر است. در نیمه دوم سال ۲۰۲۱ شبکه مبتنی بر اثبات سهام فانتوم خود را به عنوان یک مقصد محبوب DeFi با فرصت‌های ییلد فارمینگ جذاب شامل FTM، استیبل کوین‌های مختلف یا رپد اتریوم (WETH) موجود در SpookySwap تثبیت کرد.

ارزش کل قفل شده پل های بلاک چین
منبع:thedefiant.io

برخلاف فانتوم بیشتر بلاک‌چین‌های لایه۱ از یک پل مستقیم و مستقل برای اتصال شبکه‌ها استفاده می‌کنند. پل آوالانچ عمدتا توسط بنیاد آوالانچ نگهداری می‌شود و بزرگترین پل لایه ۱ به لایه ۱ است. Avalanche دارای یکی از قوی‌ترین مقاصد DeFi با برنامه‌هایی مانند تریدر جو، ‌آوه، Curve و Platypus Finance است. پل بایننس نیز با ۴.۵ میلیارد دلار دارایی قفل شده جزو برترین‌ها است و پس از آن Solana Wormhole با ۳.۵ میلیارد دلار در رتبه بعدی قرار دارد.

به طور مشابه راه‌حل‌های مقیاس‌پذیری مانند Polygon، آربیتروم (Arbitrum) و Optimism نیز از مهم‌ترین پل‌ها از نظر دارایی‌های قفل‌شده هستند. پل Polygon POS، نقطه ورود اصلی بین اتریوم و زنجیره جانبی آن و سومین پل بزرگ با حدود ۶ میلیارد دلار دارایی قفل‌شده است. نقدینگی در پل پلتفرم‌های محبوب لایه 2 مانند Arbitrum و Optimism نیز در حال افزایش است.

پل دیگری که قابل توجه است پل Rainbow Near است که هدف آن حل سه گانه معروف قابلیت همکاری است. این پلتفرم که Near و Aurora را به اتریوم متصل می‌کند، فرصت ارزشمندی برای دستیابی به امنیت در پل‌های بدون نیاز به اعتماد محسوب می‌شود.

بهبود امنیت بین زنجیره‌ای (Cross-Chain)

پل‌های با واسطه و بدون واسطه مستعد ضعف‌های اساسی و فنی هستند. با این حال راه‌هایی برای جلوگیری و کاهش تاثیر مهاجمان مخربی که پل‌ های بلاکچین را هدف قرار می‌دهند، وجود دارد.

در مورد پل‌های با واسطه افزایش نسبت امضاکنندگان مورد نیاز کارساز است، اما چند امضایی‌ها در کیف پول‌های مختلف توزیع می‌شوند. اگرچه پل‌های بدون نیاز به اعتماد خطرات مربوط به تمرکز را حذف می‌کنند، اما اشکالات و سایر محدودیت‌های فنی موقعیت‌های خطرناکی را ایجاد می‌کند. بنابراین لازم است اقدامات خارج از زنجیره برای محافظت از پلتفرم‌های میان‌زنجیره‌ای تا حد امکان اجرا شود.

همکاری بین پروتکل‌ها ضروری است. فضای وب ۳ با جامعه پیوند خورده‌اش مشخص می‌شود، بنابراین داشتن باهوش‌ترین ذهن‌های صنعت که با هم کار می‌کنند تا فضا را به مکانی امن‌تر تبدیل کنند، سناریویی عالی خواهد بود. شرکت‌های Animoca، Binance و سایر برندهای وب ۳، ۱۵۰ میلیون دلار جمع آوری کردند تا به Sky Mavis برای کاهش تاثیر مالی هک پل Ronin را کمک کنند. همکاری برای آینده مولتی‌چین می‌تواند قابلیت همکاری را به سطح بعدی برساند.

به همین ترتیب هماهنگی با پلتفرم‌های تحلیل زنجیره‌ای و صرافی‌های متمرکز (CEX) باید به ردیابی توکن‌های سرقت‌شده کمک کند. این شرایط ممکن است در میان مدت مجرمان را بی‌انگیزه کند، زیرا درگاه نقدینگی ارزهای دیجیتال برای فیات باید توسط روش‌های KYC در صرافی‌های متمرکز کنترل شود. ماه گذشته چند جوان ۲۰ ساله به دلیل کلاهبرداری در فضای NFT به طور قانونی تحریم شدند. منصفانه است که برای هکرهای شناسایی شده نیز همین مجازات اجرا شود.

بررسی‌ها و پاداش‌های پیدا کردن باگ نیز راه دیگری برای بهبود سلامت هر پلتفرم وب ۳ از جمله پل‌ها هستند. سازمان‌های معتبر مانند Certik ، Chainsafe، Blocksec و چندین سازمان دیگر به ایمن‌تر کردن تعاملات وب ۳ کمک می‌کنند. تمام پل‌های فعال باید توسط حداقل یک سازمان معتبر بازرسی شوند.

برنامه‌های پاداش باگ نیز بین پروژه و جامعه هم‌افزایی ایجاد می‌کند. هکرهای سفید نقش حیاتی در شناسایی آسیب‌پذیری‌ها قبل از حمله‌های مخرب دارند. به عنوان مثال Sky Mavis اخیرا یک برنامه پاداش پیدا کردن باگ ۱ میلیون دلاری را برای تقویت اکوسیستم خود راه اندازی کرده است.

با ایجاد قابلیت‌های جدید فرصت برای حملات هکری نیز افزایش یافته است، مخصوصا اینکه نقص‌هایی در این پل ها وجود دارد. لذا اقدامات امنیتی قوی‌تری در این نوع پلت‌فرم‌ها مورد نیاز است. سناریوی تعاملی فعلی به جای رویکرد مولتی‌چین، بیشتر بر پروتکل‌های میان زنجیره‌ای تکیه دارد که ویتالیک بوترین در آغاز سال احتیاط بیشتر در مورد آن‌‌ها را خواستار شد.

سخن پایانی

پل‌ها به یکی از بخش‌‌های مهم و ضروری در فضای بلاکچین تبدیل شده‌اند که روزانه تراکنش‌های زیادی به کمک آن‌ها انجام می‌شود. حجم سرمایه‌ای که بریج می‌شود نیز رقم قابل توجهی است و همین موضوع توجه هکرها را جلب می‌کند. همانطور که گفتیم هکرها با پیدا کردن نقص‌ در این پل‌ها توانسته‌اند میلیون‌ها دلار را به سرقت ببرند. در این مقاله به بررسی علت افزایش هک پل های بلاکچینی و بزرگترین حملات هکری به پل ها پرداختیم. در انتها نیز راهکارهایی برای بهبود امنیت مطرح شد. آیا تاکنون از مشکلات امنیتی پل‌ها آسیب دیده‌اید؟ نظرات خود را با ما به اشتراک بگذارید.

منبع
thedefiant.io

نوشته های مشابه

0 دیدگاه
Inline Feedbacks
View all comments
دکمه بازگشت به بالا