راههای هک و حمله به بلاک چین قسمت ۳
حملههای قرارداد هوشمند
قرارداد های هوشمند ، درواقع پروتکل ویژه ای هستند که برای مشارکت ، تأیید یا اجرای مفاد یک قرارداد خاص، فعال میشود. قراردادهای هوشمند معاملات و فرایند ها را به صورت کاملا تضمینی و بدون اشخاص ثالث انجام می دهند.
فعالیت و ثبتهای قرارداد هوشمند قابل پیگیری هستند اما غیرقابل برگشت می باشند. قراردادهای هوشمند شامل تمام اطلاعات مربوط به شرایط قرارداد و اجرای تمام اقدامات هدفگذاری شده به طور خودکار هستند.
بیشترین مشکلات امنیتی بلاک چین مربوط به موارد این می باشند :
- قراردادهای هوشمند
- اشکالات احتمالی در سورس کد و یا همان کد منبع
- ماشین مجازی شبکه
- محیط زماناجرای (Runtime) قراردادهای هوشمند
بیایید نگاهی جزییتر به هر کدام از این موارد بیندازیم.
آسیبپذیری در کد منبع قرارداد
اگر در کد منبع یک قرارداد هوشمند اشکال و یا آسیبپذیری وجود داشته باشد ، این مساله برای هر دو طرف قرارداد می تواند مشکل ساز باشد. به عنوان مثال باگ شناسایی شده در قرارداد اتریوم در سال ۲۰۱۶
یکی از آسیبپذیریهای رایج در زبان برنامهنویسی سالیدیتی (Solidity) ، امکان کنترل توابع غیر قابل اعتماد از دیگر قراردادهای هوشمند است. این اسیب پذیری حمله بازدخولی (Reentrancy) نام دارد.
آسیبپذیری در ماشین مجازی
ماشین مجازی اتریوم (EVM)، یک کامپیوتر پشتهای (Stack) توزیعشده می باشد. که تمام قراردادهای هوشمند بر بلاک چین اتریوم روی آن اجرا میشوند. شایعترین آسیبپذیریهای EVM موارد زیر هستند :
۱- نقصهای تغییرناپذیر: ماهیت بلاکهای بلاک چین تغییرناپذیر می باشد. و این به این معنا است که زمانی که یک قرارداد هوشمند ایجاد میشود، دیگر قابل تغییر نیست. اما این همیشه یک ویژگی مثبت نیست.
زیرا که اگر در کد منبع یک قرارداد هوشمند اشکال و باگی وجود داشته باشد ، برطرف کردن آن غیرممکن است. پس این احتمال خطر وجود دارد که محاجمان سایبری بتوانند آسیبپذیری کد را کشف کنند. و در نتیجه از آن برای دزدیدن اتر و یا ایجاد یک فورک جدید ، همانطور که در حمله DAO اتفاق افتاد، سوءاستفاده کنند.
۲- ارز دیجیتال از دست رفته در انتقال : اگر اتر به آدرسی که هیچ صاحب و یا هیچ قراردادی ندارد ارسال شود ، ارز دیجیتال در فرآیند انتقال از بین خواهد رفت.
۳- باگ در کنترل دسترسی : یک باگ اصلاحکننده در قراردادهای هوشمند اتریوم وجود دارد. این آسیب پذیری به هکر اجازه میدهد که به عملکردها و قابلیتهای حساس در قرارداد دسترسی داشته باشند.
۴- حمله آدرس کوتاه : احتمال این حمله به دلیل اینکه EVM میتواند شناسه و مدارک نادرست را بپذیرد، وجود دارد. هکرها میتوانند با فرستادن آدرسهای ساختگی به قربانیان خود از این ویژگی سوء استفاده کنند.
درواقع قراردادهای هوشمند یک هدف حمله جدید به بلاک چین هستند. زیرا هکرها میتوانند آن را با اجرای روشهای دیگر به خطر انداختن فناوری بلاک چین از جمله حمله خسوف، دیداس و … که معمول هستند، تطبیق دهند.
بلاک چینهای جدیدتر مثل کاردانو و زیلیکا از ماشینهای مجازی مختلفی از جمله IELE، KEVM و … استفاده میکنند. این بلاک چینهای جدید ادعا میکنند که میتوانند امنیت ماشیتن های مجازی را در پروتکل شان تضمین کنند.
تاریخ آخرین بروز رسانی: 2019/06/11
مشاهده : 255 بار
دیدگاهتان را بنویسید