اکسپلویت یا هک: کدام یک غیراخلاقی‌تر است؟

آنچه مسلم است این است که اکسپلویت‌ و هک هر دو غیراخلاقی هستند و مورد اول تنها از نظر فاجعه بار بودن نسبت به هک برتری دارد. اکسپلویت، یا همان کدهای مخرب، برنامه‌ها و کدهایی هستند که توسط یک یا چند هکر یا محقق امنیتی برای اثبات یا استفاده از آسیب‌پذیری امنیتی خاصی در یک نرم‌افزار، سیستم‌عامل یا سخت‌افزار خاص نوشته می‌شوند.

تاکنون صحبت‌های زیادی در مورد حملات هک‌ اخیر در حوزه امور مالی غیرمتمرکز (Defi)، به ویژه در موارد Harvest FInance و Pickle Finance به میان آمده است. با توجه به گزارش CipherTrace، این بحث بسیار اهمیت دارد زیرا هکرها بیش از ۱۰۰ میلیون دلار از پروژه‌های دیفای در سال ۲۰۲۰ را به سرقت برده‌اند که این رقم ۵۰ درصد از کل حملات هک‌ در سال جاری است.

برخی می‌گویند که این اتفاق‌ها صرفا اکسپلویت‌هایی (exploit) هستند که از آسیب پذیری‌های این قراردادهای هوشمند استفاده کرده‌اند. سارقان در واقع به چیزی نفوذ نکردند و فقط از یک درقفل نشده عبور می‌کردند. با این منطق از آنجایی که هکرها بدون اینکه به معنی سنتی هک کنند، از حفره‌های موجود در پروژه‌ها اکسپلویت کردند و این اکسپلویت از نظر اخلاقی قابل توجیه است.

اما آیا واقعا اینگونه است؟ آیا اکسپلویت و هک قابل توجیه هستند؟

تفاوت بین اکسپلویت‌ و هک

ریشه اکسپلویت‌ها حفره‌های امنیتی هستند. حفره امنیتی نقطه ضعفی است که یک دشمن می‌تواند با استفاده از آن محرمانگی، در دسترس بودن یا یکپارچگی یک منبع را به خطر بیاندازد.

اکسپلویت کدی است که ماهرانه ساخته شده است و دشمنان از آن برای سو استفاده از یک شکاف امنیتی خاص و به خطر انداختن یک منبع استفاده می‌کنند.

حتی گفتن کلمه “هک” در رابطه با بلاک چین، کسانی را که خارج از این صتعت قرار دارند و با فناوری آشنایی چندانی ندارند را می‌ترساند، زیرا امنیت یکی از نقاط کلیدی جذب جریان اصلی فناوری دفتر کل توزیع شده است. درست است بلاک چین یک واسطه امن برای تبادل اطلاعات است اما هیچ چیز کاملا غیرقابل هک نیست. شرایط خاصی وجود دارد که هکرها می‌توانند به صورت غیر مجاز به بلاک چین‌ها دسترسی پیدا کنند. موارد زیر این شرایط را فراهم می‌کنند.

حملات ۵۱ درصد: چنین هک‌هایی زمانی اتفاق می‌افتد که یک یا چند هکر بیش از نیمی از توان پردازشی یک شبکه را کنترل کنند. دستیابی به این هدف برای یک هکر بسیار دشوار است اما احتمال اتفاق افتادن آن وجود دارد. در آگوست ۲۰۲۰( شهریور ۹۹)، اتریوم کلاسیک (ETC) در یک ماه با سه حمله ۵۱ درصد موفق مواجه شد.

خطاهای ساخت: زمانی اتفاق می‌افتد که در هنگام ساخت قرارداد هوشمند، خطاها یا روزنه‌های امنیتی نادیده گرفته شوند. این سناریوها نشان دهنده شکاف‌های جدی در سیستم قرارداد هوشمند است.

امنیت ناکافی: حملات هک‌ از طریق دستیابی غیرضروری به یک بلاک چین با اقدامات امنیتی ضعیف انجام می‌شوند. اینکه درب ورودی برای ورود سارقان باز باشد، هیچ توجیهی ندارد.

نگاه اخلاقی به اکسپلویت‌ و هک

بسیاری معتقدند که انجام هر کاری بدون رضایت نمی‌تواند اخلاقی تلقی شود، چه برسد به اینکه عمل بدتری نیز انجام شود. با این منطق این سوال مطرح می‌شود که آیا اکسپلویت ۱۰۰ درصد غیرقانونی است؟ به عنوان مثال ثبت یک شرکت آمریکایی در جزایر ویرجین نیز می‌تواند به عنوان “اکسپلویت” مالیات قانونی تلقی شود، اگرچه از نظر خارجی غیرقانونی نیست. به همین ترتیب نقاط مبهم و شکاف‌های خاصی در سیستم وجود دارد که افراد قادر خواهند بود برای منافع خود از آنها استفاده کنند و یک اکسپلویت نیز می‌تواند به عنوان یک شکاف در سیستم دیده شود.

مواردی مانند حملات کریپتو ربایی (Cryptojacking) نیز وجود دارد؛ نوعی حمله سایبری که در آن یک هکر قدرت پردازش هدف می‌رباید و از آن برای ماینینگ ارز دیجیتال برای خود استفاده می‌کند. Cryptojacking می‌تواند مخرب یا غیر مخرب باشد.

شاید مطمئن‌ترین گزینه این باشد که بگوییم اکسپلویت‌ها غیراخلاقی و همچنین کاملا قابل اجتناب هستند. در مراحل اولیه فرآیند ساخت قرارداد هوشمند، پیروی کردن از استانداردهای سختگیرانه و بهترین شیوه‌های توسعه بلاک چین اهمیت زیادی دارد. این استانداردها برای جلوگیری از آسیب پذیری تنظیم شده‌اند و نادیده گرفتن آنها می‌تواند منجر به اثرات غیر‌منتظره‌ای شود.

همچنین انجام آزمایشات متمرکز بر روی یک شبکه آزمایشی برای تیم‌ها بسیار حیاتی است. حسابرسی‌ قراردادهای هوشمند می‌تواند روش موثری برای شناسایی شکاف‌های سیستم و جلوگیری از اکسپلویت و هک باشد. شرکت‌های حسابرسی بسیاری وجود دارند که با هزینه اندکی وظیفه حسابرسی را انجام می‌دهند. بهترین روش این است که شرکت‌ها از چندین شرکت مختلف درخواست حسابرسی بکنند.

نتیجه‌گیری

اکسپلویت‌ و هک هردو کاری غیراخلاقی هستند و اینکه کدام یک از دیگری بدتر است را نمی‌توان به طور کامل پاسخ داد. اما مهمترین کاری که برای همه وجود دارد است این است که از سرمایه‌گذاری در پروژه‌های ناشناخته جلوگیری کنند و در زمینه انواع هک ، دانش خود را در زمینه کریپتو بالا ببرند. شما نیز می‌توانید نظر خود را در مورد این مقاله با ما و سایر کاربران به اشتراک بگذارید.