آنچه مسلم است این است که اکسپلویت و هک هر دو غیراخلاقی هستند و مورد اول تنها از نظر فاجعه بار بودن نسبت به هک برتری دارد. اکسپلویت، یا همان کدهای مخرب، برنامهها و کدهایی هستند که توسط یک یا چند هکر یا محقق امنیتی برای اثبات یا استفاده از آسیبپذیری امنیتی خاصی در یک نرمافزار، سیستمعامل یا سختافزار خاص نوشته میشوند.
تاکنون صحبتهای زیادی در مورد حملات هک اخیر در حوزه امور مالی غیرمتمرکز (Defi)، به ویژه در موارد Harvest FInance و Pickle Finance به میان آمده است. با توجه به گزارش CipherTrace، این بحث بسیار اهمیت دارد زیرا هکرها بیش از ۱۰۰ میلیون دلار از پروژههای دیفای در سال ۲۰۲۰ را به سرقت بردهاند که این رقم ۵۰ درصد از کل حملات هک در سال جاری است.
برخی میگویند که این اتفاقها صرفا اکسپلویتهایی (exploit) هستند که از آسیب پذیریهای این قراردادهای هوشمند استفاده کردهاند. سارقان در واقع به چیزی نفوذ نکردند و فقط از یک درقفل نشده عبور میکردند. با این منطق از آنجایی که هکرها بدون اینکه به معنی سنتی هک کنند، از حفرههای موجود در پروژهها اکسپلویت کردند و این اکسپلویت از نظر اخلاقی قابل توجیه است.
اما آیا واقعا اینگونه است؟ آیا اکسپلویت و هک قابل توجیه هستند؟
تفاوت بین اکسپلویت و هک
ریشه اکسپلویتها حفرههای امنیتی هستند. حفره امنیتی نقطه ضعفی است که یک دشمن میتواند با استفاده از آن محرمانگی، در دسترس بودن یا یکپارچگی یک منبع را به خطر بیاندازد.
اکسپلویت کدی است که ماهرانه ساخته شده است و دشمنان از آن برای سو استفاده از یک شکاف امنیتی خاص و به خطر انداختن یک منبع استفاده میکنند.
حتی گفتن کلمه “هک” در رابطه با بلاک چین، کسانی را که خارج از این صتعت قرار دارند و با فناوری آشنایی چندانی ندارند را میترساند، زیرا امنیت یکی از نقاط کلیدی جذب جریان اصلی فناوری دفتر کل توزیع شده است. درست است بلاک چین یک واسطه امن برای تبادل اطلاعات است اما هیچ چیز کاملا غیرقابل هک نیست. شرایط خاصی وجود دارد که هکرها میتوانند به صورت غیر مجاز به بلاک چینها دسترسی پیدا کنند. موارد زیر این شرایط را فراهم میکنند.
حملات ۵۱ درصد: چنین هکهایی زمانی اتفاق میافتد که یک یا چند هکر بیش از نیمی از توان پردازشی یک شبکه را کنترل کنند. دستیابی به این هدف برای یک هکر بسیار دشوار است اما احتمال اتفاق افتادن آن وجود دارد. در آگوست ۲۰۲۰( شهریور ۹۹)، اتریوم کلاسیک (ETC) در یک ماه با سه حمله ۵۱ درصد موفق مواجه شد.
خطاهای ساخت: زمانی اتفاق میافتد که در هنگام ساخت قرارداد هوشمند، خطاها یا روزنههای امنیتی نادیده گرفته شوند. این سناریوها نشان دهنده شکافهای جدی در سیستم قرارداد هوشمند است.
امنیت ناکافی: حملات هک از طریق دستیابی غیرضروری به یک بلاک چین با اقدامات امنیتی ضعیف انجام میشوند. اینکه درب ورودی برای ورود سارقان باز باشد، هیچ توجیهی ندارد.
نگاه اخلاقی به اکسپلویت و هک
بسیاری معتقدند که انجام هر کاری بدون رضایت نمیتواند اخلاقی تلقی شود، چه برسد به اینکه عمل بدتری نیز انجام شود. با این منطق این سوال مطرح میشود که آیا اکسپلویت ۱۰۰ درصد غیرقانونی است؟ به عنوان مثال ثبت یک شرکت آمریکایی در جزایر ویرجین نیز میتواند به عنوان “اکسپلویت” مالیات قانونی تلقی شود، اگرچه از نظر خارجی غیرقانونی نیست. به همین ترتیب نقاط مبهم و شکافهای خاصی در سیستم وجود دارد که افراد قادر خواهند بود برای منافع خود از آنها استفاده کنند و یک اکسپلویت نیز میتواند به عنوان یک شکاف در سیستم دیده شود.
مواردی مانند حملات کریپتو ربایی (Cryptojacking) نیز وجود دارد؛ نوعی حمله سایبری که در آن یک هکر قدرت پردازش هدف میرباید و از آن برای ماینینگ ارز دیجیتال برای خود استفاده میکند. Cryptojacking میتواند مخرب یا غیر مخرب باشد.
شاید مطمئنترین گزینه این باشد که بگوییم اکسپلویتها غیراخلاقی و همچنین کاملا قابل اجتناب هستند. در مراحل اولیه فرآیند ساخت قرارداد هوشمند، پیروی کردن از استانداردهای سختگیرانه و بهترین شیوههای توسعه بلاک چین اهمیت زیادی دارد. این استانداردها برای جلوگیری از آسیب پذیری تنظیم شدهاند و نادیده گرفتن آنها میتواند منجر به اثرات غیرمنتظرهای شود.
همچنین انجام آزمایشات متمرکز بر روی یک شبکه آزمایشی برای تیمها بسیار حیاتی است. حسابرسی قراردادهای هوشمند میتواند روش موثری برای شناسایی شکافهای سیستم و جلوگیری از اکسپلویت و هک باشد. شرکتهای حسابرسی بسیاری وجود دارند که با هزینه اندکی وظیفه حسابرسی را انجام میدهند. بهترین روش این است که شرکتها از چندین شرکت مختلف درخواست حسابرسی بکنند.
نتیجهگیری
اکسپلویت و هک هردو کاری غیراخلاقی هستند و اینکه کدام یک از دیگری بدتر است را نمیتوان به طور کامل پاسخ داد. اما مهمترین کاری که برای همه وجود دارد است این است که از سرمایهگذاری در پروژههای ناشناخته جلوگیری کنند و در زمینه انواع هک ، دانش خود را در زمینه کریپتو بالا ببرند. شما نیز میتوانید نظر خود را در مورد این مقاله با ما و سایر کاربران به اشتراک بگذارید.