پیشرو تلاشگران

راه‌های هک و حمله‌ به بلاک چین قسمت ۲

حمله‌های کیف پول کاربر

نام بلاک چین و امنیت سایبری مانند نمک و فلفل کنار یکد‌یگر می‌آیند.
کاربران بلاک چین خود بزرگ‌ترین تهدید برای امنیت بلاک چین به شمار می‌روند. مردم تمایل دارند که امنیت بلاک چین را دست بالا بگیرند و احتمال حملات بالقوه را نیز نادیده بگیرند.

در اختیار گرفتن اطلاعات و اسناد هویتی کیف پول کاربران هدف اصلی مجرمان سایبری است. هکرها سعی دارند از هم از روش‌های سنتی مانند فیشینگ و لغت‌نامه (Dictionary) و هم از روش‌های مدرن و جدیدی مثل یافتن نقطه ضعف در الگوریتم‌های رمزنگاری، استفاده کنند. در زیر به مرور رایج‌ترین حملات به کیف پول کاربران خواهیم پرداخت.

فیشینگ

حمله فیشینگ (Phishing)، تلاشی مجرمانه برای بدست آوردن داده‌های حساس مانند اطلاعات کاربری شخصی و بانکی است که طی آن یک مهاجم خود را به عنوان نهادی قابل اعتماد جا می‌زند و برای کاربر یک ایمیل یا پیام حاوی لینک مخرب ارسال می‌کند.
با کلیک بر روی این لینک، در صفحه ورودی از کاربر خواسته می‌شود تا اطلاعات شخصی یا هر چیز دیگری که مورد نظر هکر باشد را وارد کند.

حمله به کیف پول‌های شبکه آیوتا با راه‌اندازی iotaseed.io که تولید‌کننده سید آنلاین بود، آغاز شد.

حمله لغت نامه

در طی حمله لغت‌نامه (Dictionary)، هکرها تلاش می‌کنند تا هش قربانیان را بشکنند و در آن دست ببرند. آن‌ها مقادیر هشی از گذر واژه‌های معمولی و آسان مانند password1 انتخاب می‌کنند.

در این نوع حملات فرد هکر لیستی از واژه‌ها، عبارات و حتی ترکیب حروف، ارقام و نمادها را مورد استفاده قرار می‌دهد که از احتمال بیشتری برای انتخاب شدن به عنوان رمز برخوردار هستند.
سپس با ترجمه کلمه عبور از متن به هش رمزنگاری شده، می‌توانند به اطلاعات شخصی کیف پول‌ها دست یابند.

امضاهای آسیب‌پذیر در امنیت بلاک چین

امضای دیجیتال فرآیندی است که در آن صحت و اعتبار یک پیام دیجیتالی تایید می‌گردد.
یک امضای دیجیتال معتبر، به گیرنده‌ اطمینان می‌دهد که پیام توسط فرستنده‌ی اصلی ارسال شده و فرستنده نیز نمی‌تواند پیامی که ارسال کرده را انکار نماید.
علاوه بر این، خود پیام نیز از تغییر و دستکاری مصون می‌ماند.

همه راه‌های هک و حمله‌ به بلاک چین

بلاک چین از الگوریتم‌های رمزنگاری مختلفی برای ساختن امضای کاربر استفاده می‌کنند؛ اما این فناوری‌ها ممکن است آسیب‌پذیری‌ها و نقاط ضعفی نیز داشته باشند.
برای مثال، بیت کوین از الگوریتم رمزنگاری ECDSA برای تولید خودکار کلیدهای خصوصی منحصر به فرد استفاده می‌کند.
با این حال به نظر می‌رسد که ECDSA از انتروپی کافی برخوردار نیست و ممکن است منجر به انتخاب یک مقدار تصادفی در بیش از یک امضا شود.

ایجاد کلید ناقص

با سوءاستفاده از آسیب‌پذیری در تولید کلید، هکری به نام Johoe در دسامبر سال ۲۰۱۴ به سرویس ارائه‌دهنده کلیدهای خصوصی Blockchain.info دسترسی پیدا کرد.
این حمله در نتیجه یک اشتباه که در طی به‌روز رسانی یک کد اتفاق افتاد، رخ داد و منجر به ضعف تصادفی بودن ورودی‌ها در ساختن کلیدهای عمومی کاربران شد.
اگرچه این این مشکل و ضعف به سرعت مرتفع شد، اما هنوز این نقص در الگوریتم ECDSA وجود دارد.

حمله به کیف پول سرد

کیف پول سرد دستگاه های فوق العاده کوچکی هستند که ارزهای دیجیتال را به صورت آفلاین و با امنیت فوق العاده بالا ذخیره می‌کنند و می‌توانید از آن‌ها برای انجام تراکنش‌ها استفاده کنید.
لازم به ذکر است که برای انجام تراکنش به صورت خیلی امن به اینترنت متصل می شوند.

کیف پول‌های سخت‌افزاری و یا همان کیف پول‌های سرد نیز می‌توانند هک شوند. به عنوان مثال، پژوهشگران با به‌کارگیری باگ‌های کیف پول نانو اس لجر (Nano S Ledger) حمله‌ای با نام Evil Maid را طراحی و آغاز کردند.
در نتیجه این هک پژوهشگران به کلید‌های خصوصی، پین‌ها (PIN)، سیدهای بازیابی و گذرواژه‌های قربانیان دست یافتند.

حمله به کیف پول داغ

خدمات کیف پول داغ توسط شرکت‌های خدمات کیف پول شخص ثالث در سرویس های ابری ارائه می‌شود.
دسترسی به این کیف پول، تنها از طریق اتصال به اینترنت امکان پذیر است و برای ذخیره کلیدهای عمومی رمزنگاری مورد استفاده قرار می‌گیرند.


همچنین بخوانید...!

مشاهده : 66 بار

پاسخی بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *