هک پروژه های دیفای از موضوعات مهم در زمینه ارزهای دیجیتال است که کسب اطلاعات درباره آن برای علاقه مندان این زمینه ضروری محسوب می شود. بهترین راه برای شناختن حملات هکری و دلایل آن، بررسی خود حملات است. تجزیه و تحلیل ده ها حمله هکری که تا به حال رخ داده، باعث شده است که بتوانیم عاملان اصلی و آسیب های رایج در بخش امور مالی غیرمتمرکز را به خوبی شناسایی کنیم. اگر شما هم مشتاق هستید تا این عوامل را بیشتر بشناسید، با ما همراه باشید.
هک پروژه های دیفای
بخش امور مالی غیرمتمرکز با سرعت فوق العاده ای در حال رشد است. سه سال پیش، کل ارزشی که در دیفای (DeFi) بلوکه شده بود، تنها 800 میلیون دلار بود. این رقم تا فوریه سال 2021 به 40 میلیارد دلار رسید. در آوریل 2021، این رقم توانست حتی فراتر از آن برود و به نقطه عطف 80 میلیارد دلاری دست یابد.
در حال حاضر نیز این بخش 140 میلیارد دلار ارزش بلوکه را در خود دارد. چنین رشد سریعی در بازاری جدید، توجه انواع گوناگونی از هکرها و کلاهبرداران را به خود جلب کرد. بر اساس گزارشی از شرکت تحقیقات ارزهای دیجیتال در رابطه با هک پروژه های دیفای، از سال 2019، بخش دیفای تقریبا 284.9 میلیون دلار را طی هک ها، کلاهبرداری ها و دیگر سوء استفاده ها از دست داده است.
هک اکوسیستم های بلاک چین از نظر هکرها، راه ایده آلی برای ثروتمند شدن است. چرا که چنین سیستم هایی ناشناس بوده، پول های زیادی برای سرقت داشته و هرکسی می تواند به راحتی بدون آنکه قربانی بفهمد، آن ها را هک کند.
در چهار ماه اول سال 2021، ضررهای ناشی از هک پروژه های دیفای به 240 میلیون دلار هم رسید. البته باید خاطر نشان کرد که این ها تنها مواردی هستند که به صورت عمومی شناخته شده اند و موارد ناشناس بسیار دیگری هم در این زمینه وجود دارد. در حقیقت رقم ضررهای واقعی این زمینه را میلیاردها دلار برآورد کرده اند.
مهم ترین دلایل هک پروژه های دیفای
اما چطور پول از پروتکل های دیفای به سرقت می رود؟ ما در همین رابطه، ده ها حمله هکری را مورد تحلیل و بررسی قرار دادیم و به همین ترتیب رایج ترین مشکلاتی که منجر به حمله هکرها می شود را شناسایی کرده ایم. اگر شما نیز مشتاق هستید تا دلایل هک پروژه های دیفای را بدانید، با ما همراه باشید.
سوء استفاده از پروتکل های شخص ثالث و خطاهای منطقی تجارت
حمله هر هکری در وهله اول با تجزیه و تحلیل قربانی آغاز می شود. فناوری بلاک چین، فرصت های بسیاری را برای تنظیمات اتوماتیک و شبیه سازی سناریوهای هک کردن فراهم کرده است. یک هکر برای آنکه ناشناس و سریع باشد، باید مهارت های برنامه نویسی لازم و همچنین درباره نحوه کارکرد قراردادهای هوشمند، اطلاعات داشته باشد.
ابزارآلات معمولی یک هکر به آن ها اجازه دانلود کپی کامل خود از بلاک چین نسخه اصلی شبکه را می دهد. سپس همان ابزار، روند کامل هک را تنظیم می کند؛ به گونه ای که انگار معامله در حال انجام در شبکه واقعی است. بیشتر هک پروژه های دیفای هم به همین ترتیب شکل می گیرد.
سپس هکر باید مدل تجاری پروژه و سرویس های خارجی استفاده شده در آن را مطالعه کند. خطاهای موجود در مدل های ریاضی منطق پروژه و خدمات شخص ثالث، دو تا از رایج ترین مشکلاتی هستند که معمولا هکرها از آن ها سوء استفاده می کنند.
توسعه دهندگان قراردادهای هوشمند هم معمولا در زمان معامله بیشتر از هر زمان دیگری به اطلاعات مربوطه نیاز دارند. به همین دلیل هم آن ها مجبورند که از سرویس های خارجی برای هک پروژه های دیفای استفاده کنند.
برای مثال سرویس هایی همچون اوراکل (oracle) می تواند به آن ها کمک کند. البته این سرویس ها به گونه ای طراحی نشده اند تا در محیطی بدون اعتماد کار کنند. بنابراین استفاده از آن ها خود ریسک های اضافه را در بردارد.
بر اساس آمار و ارقام یک سال تقویمی از تابستان 2020، یک نوع ریسک که کمترین درصد زیان را به خود اختصاص داده است، 10 هک را به همراه داشته که همین نیز منجر به از دست دادن تقریبا 50 میلیون دلار شده است.
اشتباهات برنامه نویسی
این اشتباهات هم یکی دیگر از دلایل رایج هک پروژه های دیفای هستند. قراردادهای هوشمند، مفهوم نسبتا جدیدی در دنیای فناوری اطلاعات (IT) به حساب می آیند. با وجود سادگی، برای قراردادهای هوشمند به الگوی توسعه کاملا متفاوتی از زبان های برنامه نویسی نیاز است.
به زبان ساده، توسعه دهندگان اغلب اوقات مهارت های برنامه نویسی لازم را نداشته و مرتکب اشتباهات بزرگی می شوند که ضررهای عظیمی به کاربران وارد می کند. بازرسی های امنیتی هم می تواند تنها بخشی از این نوع ریسک ها را از میان بردارد.
این بدان دلیل است که بیشتر شرکت های بازرسی موجود در بازار، هیچ مسئولیتی در قبال کیفیت کاری که به شما ارائه می دهند، ندارند. آن ها فقط و فقط به جنبه مالی این کار علاقه مند هستند و همین یکی از دلایل اصلی هک پروژه های دیفای است.
بیش از 100 پروژه، به دلیل خطاهای برنامه نویسی و کدنویسی، هک شده اند و حجم ضرر و زیان آن ها حدود 500 میلیون دلار برآورد می شود. یکی از نمونه های چنین هکی، هک پروژه dForce بود که در 19 آوریل سال 2020 اتفاق افتاد.
هکرها در آن پروژه، از نقطه ضعف استاندارد توکن ERC-777 به همراه حمله هک اصطلاحا ورود مجدد استفاده کرده و با 25 میلیون دلار فرار کردند. این هم یکی از نمونه های هک پروژه های دیفای بزرگ به حساب می رود که باید از آن درس گرفت.
وام های فلش، دستکاری قیمت و حمله ماینرها
اطلاعاتی که به قراردادهای هوشمند ارائه میشوند، تنها در زمان اجرای معاملات، به کار می آیند. به صورت پیش فرض، قراردادها به هیچ عنوان از دستکاری های خارجی و پنهانی اطلاعات موجود در آن ها، در امان نیستند. همین باعث شده است که طیف گسترده ای از حملات و هک پروژه های دیفای از همین طریق انجام شود.
وام های فلش هم به زبان ساده، وام های بدون نیاز به وثیقه هستند. البته این وام ها مستلزم تعهد برگرداندن ارزهای دیجیتال قرض گرفته شده در ظرف همان معامله هستند. اگر گیرنده وام نتواند مبلغ گرفته شده را بازگرداند، معامله لغو شده و برگشت می خورد.
چنین وام هایی به گیرنده اجازه دریافت مبالغ بزرگی از ارزهای دیجیتال و استفاده از آن ها به منظور اهداف شخصی را می دهند. معمولا حمله های هکری وام های فلش، شامل دستکاری قیمت می شوند. یک هکر بدین صورت می تواند اول تعداد زیادی از توکن های قرضی را در یک معامله بفروشد.
به همین ترتیب قیمت آن توکن ها کاهش می یابد و سپس هکر پیش از آنکه توکن ها را بازخرید کند، محدوده ای از اقدامات را با قیمت بسیار پایین توکن انجام می دهد. این هم یکی دیگر از راه های هک پروژه های دیفای است.
حمله ماینر یا استخراج کننده هم حمله ای همچون وام فلش است اما در بلاک چین هایی روی می دهد که بر مبنای الگوریتم اجماع اثبات کار، عمل می کنند. این نوع از حمله ها، پیچیده تر و گران تر هستند اما می توانند به راحتی برخی از لایه های امنیتی وام های فلش را دور بزنند.
هک پروژه های دیفای از این طریق بدین صورت است: هکر مربوطه، ظرفیت های استخراجی را اجاره کرده و بلاکی را شکل می دهد که تنها معامله مورد نیاز خود را دربردارد. آن ها می توانند به وسیله بلاک گفته شده، اول از همه توکن ها را قرض بگیرند، قیمت ها را دستکاری کنند و سپس توکن های قرضی را بازگردانند.
از آنجایی که خود هکر، معاملاتی که مستقلا وارد بلاک می شوند و همچنین ترتیب آن ها را شکل می دهد، پس این نوع هک، غیرقابل تقسیم و برش است؛ به همین ترتیب هم هیچ معامله دیگری نمی تواند بریده و به آن اضافه شود. درست مانند هک پروژه های دیفای در روش وام های فلش.
از این نوع از حمله ها برای هک کردن بیش از 100 پروژه با ضرر و زیان حدودا 1 میلیارد دلار، استفاده می شود. باید خاطرنشان کنیم که میانگین تعداد هک ها در گذر زمان افزایش یافته است. در آغاز سال 2020، یک سرقت صدها هزار دلار برآورد شد. تا پایان این سال هم مقادیر سرقتی به ده ها میلیون دلار افزایش یافته بود.
بی کفایتی توسعه دهنده
خطرناک ترین ریسک هک پروژه های دیفای، عامل خطای انسانی محسوب می شود. مردم معمولا به دیفای متوسل می شوند تا بتوانند سریعا به درآمدزایی برسند. بسیاری از توسعه دهندگان هم با اینکه توانایی آن را ندارند اما همچنان تلاش می کنند تا با عجله پروژه هایی از این دست را به راه بیاندازند.
قراردادهای هوشمند، منبعی باز دارند و به همین دلیل هکرها می توانند به راحتی از طرق مختلف آن ها را کپی کرده و تغییر بدهند. اگر پروژه اصلی شامل سه نوع اولیه آسیب پذیری باشد، این آسیب پذیری ها به راحتی به صدها پروژه شبیه سازی شده دیگر هم سرایت می کند.
پروژه RFI SafeMoon یک نمونه خوب از این نظر است. این پروژه شامل آسیب پذیری بحرانی می شد که به بیش از صدها پروژه سرایت کرد و منجر به ضرر بیش از 2 میلیارد دلار شد.
جمع بندی
هک پروژه های دیفای از موضوعات بسیار مهم در زمینه ارزهای دیجیتال بود که امروز به آن پرداختیم و دلایل اصلی آن را برای شما بررسی کردیم. پروژه های دیفای و در کل امور مالی غیرمتمرکز، اگرچه موجب درآمدزایی بسیار خوب و سریعی شده است اما از سوی دیگر، زمینه ساز بسیاری از هک ها هم به حساب می آید. ما با بررسی حملات هکری بسیاری، توانستیم دلایل و عوامل اصلی رخ دادن چنین حملاتی در یک شبکه را شناسایی کنیم. بدین ترتیب با دانستن این دلایل می توان به راحتی از وقوع چنین حملاتی جلوگیری کرد.
