راه پرداخت
رسانه فناوری‌های مالی ایران

عوامل انسانی، سرقت از تبادلات رمزارزی را تسهیل می‌کند / چرا امنیت ICO یک الزام است؟

یکی از باورهای ضعیفی که بسیاری از مشتاقان بلاکچین دارند این است که کدی که خودِ بلاکچین حمایتش کند کفایت می‌کند. آن‌ها می‌گویند: «کد، قانون است». متأسفانه از خیلی وقت پیش ثابت شده که این باور کذبی است؛ چراکه کد را افراد می‌نویسند و افراد نیز خود پیوسته در معرض خطا هستند.

حتی وقتی ماشین‌ها هم کدنویسی می‌کنند باز هم امکان بروز خطا وجود دارد دیگر چه برسد به انسان. برای مثال بهره‌برداری از قرارداد هوشمند سازمان غیرمتمرکز مستقل DAO نهایتاً از اتریوم به «انشعاب سختِ» (hard fork) اتریوم کلاسیک رسید. چنین دردسرهایی بیش از یک بار و با بیش از یک بلاکچین اتفاق می‌افتد.

این مشکلات تنها محدود به نقایص کد نیستند. از دیدگاه امنیت اطلاعات، سیستم‌های بلاکچین -شامل نودها و کیف‌پول‌ها- تنها نرم‌افزارند و بس. افرادی هم که از این نرم‌افزارها استفاده می‌کنند خیلی راحت فریب ترفندهای مهندسی اجتماعی را می‌خورند.

برخی مشکلات از جمله استفاده از فیشینگ برای سرقت سکه‌ها از کیف‌پول می‌تواند با نرم‌افزاری امنیتی از سوی مشتری رفع گردد اما یک‌سری مشکلات به این آسانی‌ها حل‌شدنی نیستند؛ مثلا آن‌هایی که وقتی اسکمرها بازده سرمایه‌گذاری صددرصدی را وعده می‌دهند باورشان می‌شود؛ غافل از اینکه خیلی ناگهانی هم غیبشان می‌زند.

«عرضه اولیه سکه» (ICO) هنوز هم میانِ استارت‌آپ‌هایی که جذب سرمایه می‌کنند باب است؛ تعداد توکن‌های فروش از تعداد آن‌ها در سال 2017 بیشتر شده است. در عین حال، آنقدر که قیمت‌های رمزی کاهش یافت، از خودِ کلاه‌برداری کم نشد.

برخی برآوردها حاکی از این است که جمع خسارات از سال گذشته 1.7 میلیارد دلار بوده و در سال 2017 بالای 400 درصد بوده است (سال تنظیمات رکورد برای میزان خسارت هر رخداد). نمونه بارِزش آسیب‌پذیری‌های Parity Wallet که نخست به خسارت 30 میلیون دلار ارزش اتریوم و بعد به بسته شدن 154 میلیون دلار ارزش توکن اتریوم (با پاک کردن اطلاعات از بلاکچین) منجر شد.

و سناریو وخیم‌تر هم شد: در سال 2018 حدود 950 میلیون بابت دزدی از تبادلات رمزارزها و کیف‌پول‌ها از دست رفت و 750 میلیون دیگر نیز در نتیجه ICO های کلاه‌بردار و یا توکن‌های فروش، هک تبادل‌های ارزی و دیگر نقشه‌ها به باد هوا رفت. البته که هیچ تعجبی نیست رگولاتورها نیز دست‌به‌کار شده‌اند.

موضع چنین مقامات مالی (مانند کمیسیون بورس و اوراق بهادار آمریکا) این است که با توکن‌ها باید درست مانند اوراق بهادار با تمام مفاهیم آن (شامل پیگرد قانونی مجرم) رفتار کرد. این برای STO (عرضه توکن اوراق بهادار) نیز صادق است؛ بنابراین اگر توکن‌های فروش را به چشم وسیله‌ای برای ارتقای سطح سازمانی می‌بینید پیشنهاد می‌دهیم درست همانطور به توکن‌های فروش فکر کنید که در مورد صدور اوراق بهادار فکر می‌کنید.

چهار حوزه اصلی که در بحث توکن‌های فروش قابل توجه هستند، عبارتند از: آسیب‌پذیری‌های قرارداد هوشمند، اشتباهات پرسنل، حملات فیشینگ بر روی سرمایه‌گذاران و امنیت عملیات‌ها.

 

آسیب‌پذیری‌های قرارداد هوشمند

قراردادهای هوشمند خیلی ضعیف نوشته می‌شوند. برآوردهای چندین سال پیش حاکی از این است که کد قرارداد هوشمند 6 برابر کد قرارداد تجاری بیشتر باگ دارد. بر اساس آمار سال 2018، ظاهراً این وضعیت همچنان رو به بهبود نیست.

از نظر ما که بیش از دو دهه است داریم با نقایص نرم‌افزاری دست‌وپنجه نرم می‌کنیم، بررسی روی قراردادهای هوشمند چیزی شبیه به انجام آزمایش روی امنیت اپلیکیشن است. شاید حتی ساده‌تر از آن، زیرا قراردادهای هوشمند پیش از گردآوری، به زبان اسکریپت نوشته می‌شوند.

چیز جدیدی در کار نیست؛ شما می‌توانید خودتان هم ببینید که بیشتر خطاهای انسانی مدت‌هاست در جهان قاعده‌مندِ نرم‌افزاری شناخته‌شده‌اند. برای مثال، تماس‌های خالیِ بازگشتی که به سرقت DAO و انشعاب سخت اتریوم حاصل از آن و یا کنترل دسترسی نادرست منجر می‌شوند (مانند Parity Wallet) از جمله خطاهای ناشیانه در جهان امنیت اطلاعات به حساب می‌آید.

برای این بخش نگاهی تیزبینانه به کد نیاز است؛ پس پیش از اینکه کد را به بلاکچین نسپردید به خودتان افتخار نکنید که از متخصصی خواستید قرارداد هوشمندتان را بازنگری کند چرا که دیگر نخواهید توانست تغییراتِ اعمال‌شده را به حالت اول بازگردانید.

 

اشتباهات پرسنل

شاید فکر کنید می‌خواهیم بگوییم انسان خطاکار است و در معرض اشتباه کردن است اما نه… در این بخش می‌خواهیم به نکته‌ای دیگر اشاره کنیم: تبدیل کردن کارمندان به دیوار آتشین. در حقیقت دیده شده که در برخی سازمان‌ها تعداد وقایع بعد از آموزش ما 90 درصد کاهش یافته است.

 

حملات فیشینگ

هیچ‌گاه شهرت بدون پیامد نخواهد بود و یک‌بار که ICO ردیابی شود دیگر جولانگاهی برای اسکمرهای فیشینگ خواهد شد. تحلیل‌های ما اینطور نشان داده است که سایت‌های فیشینگ حتی پیش از سایت‌های رسمی سر و کله‌شان پیدا می‌شود.

شاید سخت بتوان سایت‌های فیشینگ را که هدفشان خریداران توکن است گیر انداخت؛ اما همچنان می‌توانید آن‌ها را شناسایی کرده و سرمایه‌گذاران فعلی و احتمالی را آگاه سازید. خوب است که انسان خوشنام باشد تا بدنام، اینطور نیست؟

 

امنیت عملیات‌ها

برای شرکت‌هایی که در بازار اوراق بهادار فعالیت می‌کنند، قابلیت واکنش‌دهی به وقایع و آموزش کارمندان ریخت‌وپاش اضافی نیست بلکه واجبند. در حوزه امنیت سایبری نباید چیزی را پشت گوش انداخت و باید تا حد امکان جانب احتیاط را رعایت کرد. همیشه مبنا را روی این بگذارید که حادثه اتفاق افتاده است؛ نگویید حالا بگذارید اول رخ دهد تا بعد ببینیم چه می‌شود.

منبع: کسپرسکی آنلاین (ایدکو)

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.