مشکلات پل در بلاک چین هدف بسیاری از هکرها & زومیت است

هفته گذشته، شبکه ارز دیجیتال Ronin مورد حمله سایبری قرار گرفت که در آن مهاجمان بیش از 600 میلیون دلار از اتریوم و سکه ثابت USDC را سرقت کردند. این حادثه یکی از بزرگ‌ترین سرقت‌ها در تاریخ ارزهای دیجیتال بود و به‌ویژه، وجوهی را از سرویسی به نام «پل رونین» حذف کرد. در چند سال گذشته، شاهد افزایش حملات سایبری به بلاک چین بوده‌ایم و وضعیت رونین یادآور این مشکل است.

به گزارش Wired، پله‌های بلاک چین که به شبکه‌ها نیز معروف هستند، برنامه‌هایی هستند که به افراد اجازه می‌دهند دارایی‌های دیجیتال را از یک بلاک چین به بلوک دیگر منتقل کنند. ارزهای دیجیتال معمولاً نمی توانند مستقیماً با یکدیگر تعامل داشته باشند و به عنوان مثال، نمی توانید با استفاده از دوج کوین در یک شبکه بیت کوین معامله کنید. بنابراین، پل ها به مکانیزم مهمی تبدیل شده اند، تقریباً مانند حلقه مفقوده در اقتصاد ارز دیجیتال.

بلاک چین ارزهای دیجیتال را برای تبدیل از یک نوع به نوع دیگر جمع می کند. بنابراین اگر یک ارز دیجیتال مانند بیت کوین (BTC) را به پل هدایت کنید، پل مورد نظر آن را به بیت کوین رپید (WBTC) تبدیل می کند. این فرآیند مانند یک کارت هدیه یا چک است که مبلغ ذخیره شده را در قالب اصلی، منعطف و منعطف خود نشان می دهد. پل‌ها به ذخیره‌ای از سکه‌های ارز دیجیتال برای پذیره‌نویسی تمام سکه‌های سرقت شده نیاز دارند و این مخزن هدف اصلی هکرها است.

مهاجمان علاوه بر سرقت از رونین، تقریباً 80 میلیون دلار پول دیجیتالی را از پل کیوبیت در اواخر ژانویه، 320 میلیون دلار از پل Wormhole در اوایل فوریه و 4.2 میلیون دلار از پل Meter.io را چند روز بعد سرقت کردند. در سرقت دیگری، 611 میلیون دلار ارز دیجیتال توسط یکی از مهاجمان کشف و ضبط شد. اما او پس از چند روز تمام وجوه را پس داد. در تمام این حملات، هکرها از آسیب پذیری های نرم افزاری برای تخلیه سرمایه سوء استفاده کردند. اما حمله به پل رونین آسیب پذیری دیگری هم داشت.

Ronin توسط شرکت ویتنامی Sky Mavis توسعه یافته است. این شرکت بازی ویدیویی محبوب مبتنی بر NFT Oxy Infinity را تولید کرد. در مورد هک شبکه، به نظر می رسد که مهاجمان از مهندسی اجتماعی برای دسترسی به کلیدهای رمزگذاری خصوصی مورد استفاده برای احراز هویت تراکنش های شبکه استفاده کرده اند. نحوه استفاده از این کلیدها برای احراز هویت تراکنش ها چندان دقیق نیست و به مهاجمان اجازه می دهد تا برداشت های خود را تأیید کنند.

در روز حمله، رونین نقص مورد نظر را کشف کرد. اما گره‌های احراز هویت پلتفرم در 23 مارس به خطر افتادند که طی آن مهاجمان 173600 اتریوم و 25.5 میلیون دلار را سرقت کردند. پل رونین از آن زمان از کار افتاده است و کاربران دیگر نمی توانند در این پلتفرم تجارت کنند.

نقض رونین ممکن است نشان دهنده تکامل روش هک بلاک چین باشد. زیرا این حمله شبکه ای بر تکنیک های مهندسی اجتماعی سنتی متمرکز شده بود و به جای آسیب پذیری های نرم افزاری خاص از مسائل طراحی امنیتی استفاده شد. در سایر حملات، رایج ترین مشکل روش اجرای پل ها و قراردادهای هوشمند است. اما مهندسی اجتماعی یک استراتژی تهاجمی کلاسیک برای گرفتن حساب‌های هدفمند ممتاز است که به طور گسترده در کنار تامین مالی غیرمتمرکز استفاده می‌شود.

پلتفرم‌های ارز دیجیتال و به طور کلی جنبش مالی غیرمتمرکز با مشکلات امنیتی در توسعه و بلوغ فناوری‌های زیرساختی مواجه می‌شوند و خدماتی که گرد هم می‌آیند تا ستون فقرات این اکوسیستم مالی جدید را تشکیل دهند، یک تجربه آزمایشی خطرناک هستند. زیرا هجوم طلا به ارزهای دیجیتال در حال وقوع است. حملات به پله های بلاک چین می تواند مانند هک صرافی های ارز دیجیتال باشد. اما در پلتفرم های پرخطری که مقادیر زیادی را ذخیره می کنند، همان مسائل را هدف قرار می دهد.