امنیت تراکنش های بیت کوین واقعا چقدر است؟

مبادلات رمز ارزی در مقایسه با روش‌های انتقال پول رایج ایمن‌تر خطاب می‌شوند. اما امنیت تراکنش های بیت کوین واقعا چقدر است؟

به لطف استفاده از فناوری بلاک چین، امنیت رمز ارزها در مقایسه با ارزهای رایج به مراتب بیشتر است. دلیل این موضوع، امنیت بالاتر شبکه غیر متمرکز ارزهای دیجیتال در مقایسه با سیستم‌های متمرکز بانک‌ها و موسسات مالی است. در بیت کوین به عنوان بهترین مثال از یک سیستم پول دیجیتال غیر متمرکز، تراکنش‌ها در یک دفتر کل توزیع شده و قابل مشاهده برای عموم ذخیره می‌شوند. این نحوه ذخیره‌سازی شفافیت را افزایش داده و امکان دست‌کاری پایگاه داده را به شدت دشوار می‌کند.

با وجود امنیتی که بلاک چین و رمز ارزها برای سیستم‌های پولی رقم زده‌اند، شبیه هر فناوری دیگر نمی‌توان آن‌ها را کاملا بدون نقص و عاری از ایراد امنیتی دانست؛ امنیت تراکنش های بیت کوین کامل نیست و دفتر کل‌های توزیع شده، یک سری رخنه امنیتی دارند. گفتنی است بلاک چین به زبان ساده، نوع خاصی از پایگاه داده (دیتابیس) است. ممکن است در بررسی تخصصی رمز ارزها عبارت دفتر کل توزیع شده (DLT –> Distributed Ledger Technology) را نیز در کنار BlockChain شنیده باشید. هر دو، به مفهوم یکسانی اشاره می‌کنند.

البته نباید تکنولوژی بستر رمز ارزها را مقصر دانست. در حقیقت، ساختار بیت کوین و بلاک چین آن به گونه‌ای است که از چند دیدگاه، امنیت تراکنش های بیت کوین را به شدت افزایش داده و در برابر یک سری رخنه امنیتی متداول در سیستم‌های مالی متمرکز ایمن می‌کند. با این حال، همین ساختار سبب بروز یک سری رخنه دیگر شده است.

پیش از بررسی امنیت تراکنش های بیت کوین ابتدا بد نیست مروری کوتاه بر فناوری بلاک چین داشته باشیم. درک آن برای یادگیری نحوه انجام تراکنش‌های رمز ارز ضروری است.

بلاک چین چیست؟

بلاک چین را نوع خاصی از پایگاه داده با ساختار متفاوت خطاب کردیم. این نوع دیتابیس دارای خصوصیات منحصر‌به‌فردی است. در اینجا چارچوب و روال متفاوتی درباره نحوه اضافه شدن داده وجود دارد. همینطور که در زمان پیش‌ می‌رویم، دیتا در قالب بلاک‌ها به پایگاه داده اضافه می‌شود. هر بلاک سوار بر آخرین مورد ساخته شده و حاوی اطلاعاتی برای لینک (متصل) شدن به بلاک قبلی است. به عبارتی بلاک‌ها به عنوان دسته‌بندی‌هایی منظم از داده، به یکدیگر اتصال دارند. برای درک نحوه اتصال آن‌ها به یکدیگر، به مثال زیر توجه کنید. گفتنی است اتصال و وابسته بودن بلاک‌ها در یک بلاک چین علت غیر ممکن بودن دست‌کاری یا تغییر داده بعد از ذخیره‌سازی آن است. امنیت تراکنش های بیت کوین بر همین مبنا است.

فرض کنید یک صفحه گسترده‌ حاوی دو ستون داریم. در اولین ستون از نخستین صف، دیتا قرار دارد. این داده سپس وارد یک تابع ریاضی شده و شناسه‌ای دو حرفی از آن ایجاد می‌شود. این شناسه در ادامه به عنوان قسمتی از ورودی بعدی مورد استفاده قرار می‌گیرد. به عبارتی شناسه دو حرفی ساخته شده از روی دیتای اولین سلول، بخشی از محتوای دومین سلول است. در این مثال، شناسه دو حرفی KP باید برای پر کردن سلول بعدی در صف دوم (defKP) استفاده شود. در نتیجه اگر اولین داده ورودی (abcAA) را تغییر بدهید، ترکیب متفاوتی از حروف را در سایر سلول‌ها دریافت خواهید کرد. امنیت تراکنش بیت کوین در صورت وقوع این اتفاق زیر سوال می‌رود.

حال تصور کنید دیتای اولین سلول در این پایگاه داده بلاک چینی عوض شده است. این اتفاق سبب خواهد شد یک شناسه متفاوت از KP حاصل شود. از طرفی می‌دانیم این شناسه قسمتی از داده سلول بعدی است، پس آن نیز متناظر با این تغییر، داده‌ای متفاوت خواهد داشت. در پی این اتفاق شناسه ایجاد شده از روی داده سلول دوم نیز تغییر یافته و این روال همینطور ادامه پیدا می‌کند؛ دست بردن در دیتای نخستین سلول، سبب می‌شود تغییر به صورت ویروسی در سرتاسر پایگاه داده پخش و کل ماهیت آن عوض شود. بر اساس این نحوه کار بلاک چین می‌توان دریافت شناسه TH در آخرین صف (پنجمین سلول)، محصول تمام اطلاعات موجود پیش از آن است. هر تغییر پیش از صف چهارم، به ایجاد شناسه‌ای دیگر ختم می‌شود. این نحوه کار امنیت بالای تراکنش های بیت کوین را سبب شده است.

نحوه وصل شدن بلاک‌ها در بلاک چین

مثال بالا، تشبیهی بسیار ساده از نحوه کاربرد هشینگ در بلاک چین بود. در واقع هشینگ همان چیزی است که اتصال بلاک‌ها به یکدیگر را سبب می‌شود. در این فرآیند، داده‌ای بدون توجه به اندازه‌اش گرفته شده و وارد یک تابع ریاضی می‌شود. خروجی (یک هش نام دارد) همیشه طول ثابتی دارد. اندازه خروجی برای یک تابع خاص همیشه ثابت است و به طول ورودی بستگی ندارد.

امنیت تراکنش بیت کوین به لطف همین توابع تامین می‌شود. مجموعه‌ای از تراکنش‌های در حال انتظار داخل یک بلاک قرار گرفته و آماده پردازش و اضافه شدن به بلاک چین می‌شوند. سپس این مجموعه داده از داخل یک تابع Hash عبور داده شده و یک خروجی تولید می‌شود. این خروجی بخشی از محتوای بلاک بعدی است. به این شیوه، بلاک‌ها همانند یک زنجیر به یکدیگر وصل می‌شوند. دلیل انتخاب نام بلاک چین (زنجیره بلاک‌ها) برای فناوری مورد بحث، همین بوده است.

توابع هشینگ مورد استفاده در تراکنش‌ های بیت کوین قطعی هستند. قطعی بودن به این معنی است که تا زمان عدم تغییر ورودی، الگوریتم همیشه خروجی یکسانی تولید خواهد کرد. اما تغییر داده ورودی به تابع حتی به میزانی جزئی، سبب تولید یک Hash کاملا متفاوت می‌شود. به عنوان نمونه تابع SHA256 که به طور گسترده در شبکه بلاک چین بیت کوین مورد استفاده قرار می‌گیرد را در نظر بگیرید. همانطور که مشاهده می‌کنید، حتی تغییر دادن بزرگی و کوچکی حروف انگلیسی متن (داده)، به ایجاد یک خروجی کاملا متفاوت منجر شده است.

پیش از این در مطالبی جداگانه، به طور مفصل درباره فناوری بلاک چین و فرآیند هشینگ صحبت کردیم. برای کسب اطلاعات بیشتر در این رابطه به مطالب زیر مراجعه کنید:

• بیشتر بخوانید: بلاک چین چیست و چگونه کار می‌کند ؛ 0 تا 100 بلاکچین به زبان ساده
• بیشتر بخوانید: هشینگ چیست؟ آشنایی با انواع الگوریتم، توابع و کاربرد هشینگ (Hashing)

تراکنش های بیت کوین : غیر متمرکز و شفاف

تمام تراکنش‌های مالی در یک دفتر کل ذخیره می‌شوند. این یک پایگاه داده عظیم از تحرکات، جزئیات و سوابق است. بر اساس اطلاعات داخل این دفتر کل (پایگاه داده) یک بانک متوجه میزان موجودی شما می‌شود. تفاوت اصلی بین بانک‌ها و موسسات مالی مختلف با رمز ارزها نظیر بیت کوین، متمرکز یا غیر متمرکز بودن آن است. ارزهای دیجیتال رمزنگاری شده از یک پایگاه داده غیر متمرکز و بانک‌ها از یک دیتابیس متمرکز استفاده می‌کنند.

امنیت یک دفتر کل توزیع شده به مراتب بیشتر است. موارد متمرکز، تحت نظر و کنترل یک موجودیت خاص (نهاد، سازمان یا شرکت) قرار دارند. این موجودیت خاص قادر است بر اساس منافع خود در دیتابیس دست ببرد، بدون این که کاربرانش از موضوع اطلاع پیدا کنند، چنانکه می‌بینیم در سراسر دنیا به وفور چنین اتفاقاتی رخ داده و پول‌های نامشروع زیادی جابه‌جا می‌شوند. اطمینان از برخورد صادقانه بانک با دفتر کل در اختیارش یک دغدغه بزرگ است.

نگرانی دیگر امکان هک سیستم است. شبکه بانک‌ها متمرکز و پایگاه داده هر یک در یک سرور مشخص متمرکز است. در نتیجه هدف برای هکر واضح است. با نگاهی به امنیت تراکنش بیت کوین متوجه خواهیم شد این نگرانی‌ها در شبکه رمز ارزها برطرف شده‌اند.

نقطه مقابل، دفتر کل‌ توزیع شده (یک بلاک چین) قرار می‌گیرد. این پایگاه داده غیر متمرکز است و فرد، تیم، گروه، شرکت، سازمان و در کل موجودیت خاصی روی آن کنترل ندارد. در نتیجه امکان دست‌کاری پشت پرده و به دور از نگاه بقیه سلب می‌شود. شبکه بیت کوین غیر متمرکز است، به این معنی که یک سرور مرکزی وجود نداشته و نتورک متشکل از هزاران کامپیوتر واقع در سراسر دنیا است. حال هر یک از کامپیوترها که نود یا گره نام دارند، نسخه‌ای از بلاک چین را نگهداری می‌کنند. آن‌ها با یکدیگر دائما در تعامل هستند تا نسخه در اختیارشان از پایگاه داده را بر اساس آخرین تغییرات به‌روز کنند.

تصور کنید یکی از نودها تلاش کند با دور زدن امنیت تراکنش بیت کوین مقداری BTC را دو مرتبه خرج کرده یا موجودی کیف پول ارز دیجیتال خود را افزایش بدهد. سایر گره‌ها این تغییر را نپذیرفته و آن را رد می‌کنند؛ شبکه به صورت جمعی اداره شده و در اختیار یک موجودیت خاص نیست.

با این حال، همانطور که در ابتدای مطلب تاکید کردیم، بلاک چین و رمز ارزها نیز شبیه هر فناوری دیگر به طور کامل مصون از حملات سایبری نیستند و همیشه احتمال رخنه به آن‌ها وجود دارد.

امنیت تراکنش های بیت کوین چطور زیر سوال می‌رود؟

در شبکه‌های بلاک چینی، هکرها از روش‌های متفاوتی برای حمله و رخنه به سیستم استفاده می‌کنند. در ادامه به بررسی چهار مورد از متداول‌ترین روش‌های حمله به شبکه‌های بلاک چینی خواهیم پرداخت.

اتک 51 درصد (حمله اکثریت)

نتورک بیت کویت غیر متمرکز است، در نتیجه تمامی اعضای آن می‌بایست درباره وضعیت فعلی بلاک چین به توافق دست پیدا کنند. به این ترتیب از صحت اطلاعات اطمینان پیدا می‌کنیم. برای دستیابی به این مهم، اکثر گره‌ها باید به طور منظم در مورد روند استخراج، نسخه نرم افزار مورد استفاده، اعتبار تراکنش‌ها و بسیاری دیگر از موارد به توافق برسند. الگوریتم اجماع (رسیدن به توافق) در بیت کوین یعنی اثبات کار (PoW)، این اطمینان را می‌دهد که ماینرها تنها در صورت موافقت جمعی نودهای شبکه درباره دقت بلاک هش ارائه شده توسط آن‌ها، قادر به اعتبارسنجی بلاک‌های جدید تراکنش خواهند بود. بلاک هش اثبات می‌کند استخراج‌کننده کار کافی انجام داده و راه حلی معتبر (هش مناسب) برای یک بلاک مشخص یافته است.

سهم یک استخراج‌کننده در کنترل شبکه (ماینر یکی از انواع گره‌ها در شبکه بیت کوین است) و در ادامه پاداش آن بر اساس قدرت پردازشی محاسبه می‌شود. شبکه غیر متمرکز است، پس هش ریت در دست یک موجودیت تک و متمرکز، مثلا یک سرور فیزیکی مشخص در نقطه‌ای از دنیا، قرار ندارد. هش ریت در سراسر دنیا، بین گره‌های تشکیل‌دهنده نتورک، توزیع شده است. به این ترتیب امنیت تراکنش های بیت کوین نیز تضمین می‌شود.

با وجود تلاش جامعه بیت کوین برای غیر متمرکز کردن آن، این شبکه تا حدی متمرکز شده است؛ افرادی با در اختیار داشتن مزارع بزرگ استخراج، هش ریت زیادی در مشت خود دارند. این اتفاق احتمال وقوع حمله اکثریت را افزایش می‌دهد؛ اتک 51 درصد یک حمله بالقوه به یک شبکه بلاک چین است، وقتی یک موجودیت تکی (یک فرد، گروه، شرکت یا سازمان) کنترل غالب هش پاور شبکه را در اختیار گرفته و در آن اختلال ایجاد کند. در چنین شرایطی، موجودیتی که حمله 51 درصد را ترتیب داده است، قادر خواهد بود در زمان کنترل شبکه، تراکنش‌های خود را معکوس کرده و قادر به دابل اسپندینگ باشد. منظور از دابل اسپندینگ، خرج کردن یک یا چند کوین بیت کوین (یا هر رمز ارز دیگر) برای دو مرتبه است.

حمله‌کننده می‌تواند از تایید برخی تراکنش‌ها جلوگیری کرده و جلوی فعالیت تعدادی از ماینرها یا حتی کل آن‌ها را بگیرد. به این ترتیب فرآیند استخراج بیت کوین که در عمل باید به صورت توزیع شده صورت بگیرد، در انحصار موجودیت دارای هش ریت بالا قرار خواهد گرفت.

در یکی از مطالب قبلی وبلاگ بیت 24 به طور مفصل درباره اتک 51 درصد، چگونگی اجرا و همچنین نحوه جلوگیری از آن صحبت کردیم. برای کسب اطلاعات بیشتر به مطلب زیر مراجعه کنید:

• بیشتر بخوانید: اتک یا حمله 51 درصد (حمله اکثریت) در سیستم‌های بلاک چین چیست؟

داستینگ اتک

در داستینگ اتک، هدف اصلی هکر، نفوذ به حریم خصوصی کاربر است. او به وسیله ارسال مقدار کمی رمز ارز به والت قربانی مورد نظر، حمله را آغاز می‌کند. در ادامه ارسال مبلغی اندک به کیف پول قربانی، امنیت تراکنش بیت کوین زیر سوال خواهد رفت؛ حمله‌کننده تاریخچه تراکنش‌های کیف پول را یافته و در ادامه با انجام یک تحلیل ترکیبی از آدرس‌های مختلف مربوط به آن، هویت شخص یا شرکت مالک والت را شناسایی می‌کند.

در شبکه بیت کوین تعریف دقیقی برای داست وجود ندارد، اما به طور کلی منظور از آن، مقدار اندکی از یک رمز ارز است. درباره BitCoin می‌توان آن را حدود چند صد ساتوشی (یک ساتوشی معادل ۰.۰۰۰۰۰۰۰۱ BTC) دانست. در نظر داشته باشید هر پیاده‌سازی نرم افزار بیت کوین (یا کلاینت) قادر است حد متفاوتی برای داست معین کند. برای مثال در Bitcoin Core هر خروجی تراکنشی که از کارمزد کمتر باشد، داست خطاب خواهد شد. حد تشخیص Dust بر اساس اندازه‌های ورودی و خروجی تعیین می‌شود که معمولا برای تراکنش‌های عادی بیت کوین، ۵۴۶ ساتوشی و برای تراکنش‌های سگویت ۲۹۴ عدد است. این یعنی هر تراکنش عادی که ارزشی مساوی یا کمتر از ۵۴۶ ساتوشی داشته باشد، به عنوان اسپم در نظر گرفته شده و به احتمال زیاد توسط گره‌های تایید کننده رد خواهد شد.

به طور معمول، افراد توجهی به مقادیر اندک واریزی به کیف پول کریپتوکارنسی خود ندارند. هکرها از این موضوع سواستفاده کرده و با ارسال مقادیر اندکی از بیت کوین، لایت کوین یا ارز دیجیتالی دیگر، داستینگ اتک را آغاز می‌کنند. در صورتی که هکر در تحلیل آدرس‌ها و شناسایی مالکان آن‌ها موفق باشد، قادر به پیاده‌سازی حملات فیشینگ پیچیده یا اخاذی سایبری از افراد قربانی خواهد بود.

نخست فقط در شبکه بیت کوین شاهد این نوع حمله بودیم، اما رفته رفته مواردی در بلاک چین‌های لایت کوین و حتی بایننس کوین نیز رخ داد. بلاک چین بیشتر رمز ارزهای محبوب، عمومی و قابل مشاهده برای همگان است، به همین دلیل امکان‌ پیاده‌سازی داستینگ اتک در آن‌ها وجود دارد.

در نظر داشت باشید برخلاق عقیده عموم مردم، امنیت بالای تراکنش های بیت کوین به معنی کاملا ناشناس و پیگیرگریز بودن آن‌ها نیست. موسسه‌های تحقیقاتی و سازمان‌های دولتی متعددی با وجود نداشتن برنامه‌ای برای ترتیب دادن داستینگ اتک، به وسیله انجام تحلیل‌های بلاک چینی، به دنبال از بین بردن وضعیت ناشناس کاربران هستند. عده‌ای معتقدند که در حال حاضر پیشرفت زیادی در این زمینه صورت گرفته است.

در یکی از مطالب قبلی وبلاگ بیت 24 به طور مفصل درباره داستینگ اتک و نحوه مقابله با آن صحبت کردیم. برای کسب اطلاعات بیشتر به مطلب زیر مراجعه کنید:

• بیشتر بخوانید: داستینگ اتک (حمله داستینگ) یا Dusting Attack چیست؟

اکلیپس اتک (حمله خسوف)

به زبان ساده، در اکلیپس اتک حمله‌کننده در تلاش است از طریق ارائه حجم بالایی داده غلط درباره بلاک چین، گره قربانی را منزوی کند. کاربر مالک این گره تصور می‌کنند ارتباطی عادی با شبکه و تعاملی سالم با سایر نودها دارد، در حالی که اطلاعات از طریق یک نود مخرب به وی خورانده می‌شود. در حمله خسوف، یک کاربر نتورک بلاک چینی قربانی می‌شود. هدف اصلی، دستیابی به توانایی دست‌کاری دیتای دریافت شده توسط قربانی است. در نتیجه هر نوع فعالیت مخربی را می‌توان علیه آن ترتیب داد.

در حمله خسوف نیز امنیت تراکنش های بیت کوین خدشه‌دار می‌شود. در اینجا، حمله‌کننده در تلاش است تا نمای واقعی بلاک چین را از دید یک شرکت‌کننده پنهان کند و او را از شبکه‌ دور نگه دارد تا قادر به ایجاد اخلال عمومی باشد. در برخی موارد هدف از اجرای اکلیپس اتک فراهم کردن بستر به منظور پیاده‌سازی حملات شدیدتر، پیچیده‌تر و گسترده‌تر است. به عبارتی اکلیپس اتک گاهی اوقات مقدمه و شروعی برای حملات سنگین‌تر است.

گفتیم نسخه‌ای از بلاک چین روی همه گره‌ها (فول نودها) قرار دارد. در یک گره، این پایگاه داده با همتایان آن نود همگام‌سازی شده و همیشه به‌روز نگه داشته می‌شود. عاملی بازدارنده برای بیشتر گره‌ها، پهنای باند است. بی‌شمار کامپیوتر در سراسر دنیا نرم افزار را اجرا می‌کنند و در اداره شبکه بیت کوین سهیم هستند، به همین دلیل اغلب آن‌ها به خاطر محدودیت‌های وضع شده توسط نرم افزار BitCoin Core قادر به برقراری ارتباط مستقیم با هم نیستند. حداکثر تعداد مجاز اتصال برای یک گره، بر اساس قوانین پروتکل، 125 است، هر چند بیشتر نودها در نهایت، تعداد بسیار کمتری اتصال با بقیه برقرار می‌کنند.

حال وقتی اکلیپس اتک علیه یک گره رخ داد، هکر مطمئن می‌شود قربانی فقط با گره‌های تحت کنترل خودش در ارتباط است. حمله‌کننده به وسیله بمباران کردن قربانی با آدرس‌های IP مورد نظر خود، اطمینان حاصل می‌کند این گره، به محض ری‌استارت شدن نرم افزارش، به آن‌ها اتصال پیدا خواهد کرد. نکته بسیار مهم در اینجا نیاز به ری‌استارت شدن نود و اجرای مجدد نرم افزار روی آن است. ترتیب‌دهنده اکلیپس اتک باید به وسیله حمله DDoS یا هر روش دیگر دستگاه قربانی را مجبور به ری‌استارت کرده یا تا زمان انجام این کار توسط خود قربانی، منتظر بماند. توجه به این نکته عاملی کلیدی برای مقابله با حمله خسوف و جلوگیری از افتادن در دام آن است.

در یکی از مطالب قبلی وبلاگ بیت 24 به بررسی کامل نحوه اجرای اکلیپس اتک و عواقب آن برای گره قربانی پرداختیم. برای کسب اطلاعات بیشتر در این رابطه به مطلب زیر مراجعه کنید:

• بیشتر بخوانید: حمله خسوف (کسوف) یا اکلیپس اتک (Eclipse Attack) در بلاک چین چیست؟

سیبل اتک

سیبل اتک از جمله حملاتی است که تاثیرات مخرب گسترده‌ای روی یک شبکه بلاک چینی می‌گذارد. اگر هکر بتواند چنین حمله‌ای ترتیب بدهد، قادر خواهد بود از طریق در اختیار گرفتن هویت‌های جعلی، حضوری گسترده در شبکه داشته باشد و اعمالی را به نفع خود انجام بدهد. گفتنی است در نگاه اول، سیبل اتک مشابه اکلیپس اتک به نظر می‌رسد، اما تفاوت بسیار مهمی بین آن‌ها وجود دارد.

در هر دو نوع حمله نام برده، هکر در تلاش است نتورک را با مجموعه‌ای از گره‌های جعلی، با اطلاعات غلط بمباران کند. با این حال سیبل اتک و اکلیپس اتک اهداف و گستره متفاوتی دارند؛ در حمله Eclipse، یک کاربر مشخص قربانی می‌شود، هر چند ممکن است در ادامه از قرارگیری وی تحت کنترل برای حمله به چند گره دیگر نیز استفاده شود. در Sybil هدف خدشه‌دار کردن سیستم اعتبار پروتکل است و وسعتش به سرتاسر سیستم گسترش پیدا می‌کند.

شبکه بیت کوین غیر متمرکز است. باید همواره با جذب گره‌های بیشتر، به تمرکززدایی بیشتر کمک کنیم. اما در سیبل اتک، با مجموعه‌ای از گره‌ها در نتورک توزیع شده خود مواجه هستیم که به ظاهر به افرادی جداگانه تعلق داشته و به شکلی مستقل اداره و مدیریت می‌شوند، اما در واقعیت، همگی تحت اختیار یک موجودیت خاص هستند. به زبان ساده، سیبل اتک برابر تلاش یک موجودیت (نفر، تیم، گروه یا حتی سازمان) برای در اختیار گرفتن کنترل یک شبکه بلاک چینی به وسیله ایجاد حساب‌های کاربری متعدد (گره‌ها) است. نکته بسیار مهم، عدم افشای این واقعیت و ادامه دادن رفتار طبیعی نودها است، به طوری که هر یک مستقل و متعلق به فرد و هویتی خاص به نظر می‌رسند. به این ترتیب دیگران به ارتباط داشتن گره‌ها با یکدیگر و کنترلشان تحت اختیار یک موجودیت شک نخواهند کرد.

در یکی از مطالب قبلی وبلاگ بیت 24 به طور مفصل درباره سیبل اتک، نحوه اجرا و تاثیرات مخرب آن روی بلاک چین و امنیت تراکنش های بیت کوین صحبت کردیم. برای کسب اطلاعات بیشتر به مطلب زیر مراجعه کنید:

• بیشتر بخوانید: سیبل اتک (Sybil Attack) چیست و چطور به شبکه بلاک چین آسیب می‌زند؟

ریسک‌ های تراکنش‌ های بیت کوین

کیف پول‌های رمز ارزی مورد استفاده برای نگهداری و ذخیره‌سازی بیت کوین یا دیگر کوین‌ها و توکن‌ها، عاری از ایراد و مصون از نفوذ نیستند. ضعف آ‌ن‌ها مربوط به کلیدهای خصوصی و کیف پول‌های گرم (هات والت) است. امنیت تراکنش های بیت کوین به خاطر آن‌ها به شدت تحت تاثیر قرار می‌گیرد.

کلیدهای خصوصی

بلاک چین از انواع مختلفی رمزنگاری استفاده می‌کند. یکی از آن‌ها رمزنگاری کلید عمومی است. هدف اصلی از به کار بردن کلیدهای خصوصی و عمومی، اثبات امضا شدن یک تراکنش به وسیله مالک دارایی است. وقتی مالکیت تعداد واحدی مشخص از یک ارز دیجیتال را در اختیار دارید، آن چه در عمل به شما تعلق گرفته، یک کلید خصوصی است. به عبارتی برخلاف زمان استفاده از ارزهای رایج، خود سکه (دیجیتالی) را در اختیار ندارید.

هر کیف پول بیت کوین دارای دو کلید است؛ یک کلید خصوصی (پرایویت کی) و دیگری کلید عمومی (پابلیک کی) است. کلید عمومی چیزی شبیه آدرس دیجیتال والت شما است. برای دریافت رمز ارز، باید آن را در اختیار بقیه قرار بدهید. بعد از این که دارایی در این آدرس قرار گرفت، با استفاده از کلید خصوصی مالکیت خود بر آن را حین ارسال مجدد ثابت می‌کنید. حتی اگر میلیون‌ها دلار بیت کوین در یک آدرس وجود داشته باشد، بدون وجود پرایویت کی قادر به ایجاد تراکنش نخواهید بود.

یک تشبیه مناسب، حساب کاربری پست الکترونیک است. برای دریافت ایمیل از دیگران، باید آدرس آن را در اختیارشان قرار بدهید. سپس به منظور ورود به حساب، مشاهده نامه‌ها و ارسال ایمیل جدید (مثل ایجاد تراکنش و ارسال رمز ارز) نیازمند پسورد حساب هستید. در صورتی که فرد دیگری به رمز عبور این حساب دست پیدا کند، قادر خواهد بود بدون اطلاع شما اقدام به ارسال ایمیل از این آدرس کند. به شکلی مشابه، امنیت تراکنش بیت کوین در گرو رمز عبور است؛ اگر فردی به پرایویت کی والت شما دسترسی داشته باشد، قادر به ایجاد تراکنش خواهد بود و می‌تواند موجودی بیت کوین شما را به کیف پول مورد نظرش انتقال بدهد.

در نظر داشته باشید از روی کلید خصوصی می‌توان کلید عمومی را استخراج کرد، اما بالعکس این کار ممکن نیست. به همین دلیل باید با جان و دل از پرایویت کی والت بیت کوین خود محافظت کنید! همچنین فراموش نکنید به خاطر غیر متمرکز بودن شبکه، گم کردن این کلید به معنی خداحافظی همیشگی با دارایی رمز ارزی خود است. در اینجا نهادی مثل بانک مرکزی وجود ندارد تا با مراجعه و ارائه مدارک شناسایی، مجددا رمز عبور حساب را در اختیارتان قرار بدهد.

مبحث رمزنگاری کلید عمومی مفصل و بررسی کامل آن از حوصله این مطلب خارج است. برای کسب اطلاعات بیشتر به مطلب زیر مراجعه کنید:

• بیشتر بخوانید: کلید عمومی و خصوصی چه مفهوم و تفاوتی در بلاک چین و ارز دیجیتال دارند؟

هات والت

از دیدگاه کلی، کیف پول‌های کریپتوکارنسی به دو دسته‌بندی گرم و سرد تقسیم می‌شوند. تفاوت آن‌ها، اتصال و عدم اتصال به اینترنت است. والت‌های گرم به وب متصل بوده و به صورت آنلاین در دسترس هستند، اما والت‌های سرد، کلیدهای خصوصی کاربر را در حافظه‌ای آفلاین نگهداری می‌کنند.

وقتی از یک کیف پول گرم استفاده می‌کنید، امنیت تراکنش های بیت کوین تحت شعاع قرار می‌گیرد؛ هر مشکل امنیتی در کیف پول یا صرافی آنلاین مورد استفاده برای نگهداری رمز ارزها، شما را در معرض خطر قرار می‌دهد. متاسفانه بلاک چین در این زمینه کمکی نمی‌کند. اگر والت هک شود، سارق قادر به انجام تراکنش از سوی شما خواهد بود.

البته از نظر امنیت، سطح همه کیف پول‌های گرم یکسان نیست. والت‌های آنلاین نظیر اپلیکیشن‌های تحت وب، افزونه‌های مرورگر و صرافی‌ها کریپتوکارنسی کلیدهای خصوصی را نزد خود و روی سرورهایی متمرکز نگهداری می‌کنند، به همین دلیل ریسک آن‌ها به مراتب بالاتر است. در سوی دیگر با اپلیکیشن‌های دسکتاپ و موبایل مواجه هستیم که با وجود آنلاین بودن، پرایویت کی‌ها را بعد از رمزنگاری، روی حافظه دستگاه ذخیره می‌کنند.

برگشت ناپذیری تراکنش های بیت کوین تا چه حد است؟

معاملات بیت کوین قابل برگشت نیست. این مبلغ فقط توسط شخصی که وجه را دریافت کرده قابل استرداد است. البته بیت کوین، غلط‌های تایپی در آدرس‌ها را تشخیص داده و در بیشتر مواقع از ارسال وجه به آدرسی اشتباه جلوگیری می‌کند، اما همچنان باید قبل از ارسال، مخصوصا وجوه بالا، از صحت آدرس اطمینان حاصل کنید.

تصور کنید در سیستم بانکی عادی، پولی را به اشتباه برای شخصی دیگر ارسال کرده‌اید. از طریق بانک مبدا و مقصد قادر به پیگیری موضوع هستید، چرا که نهادی متمرکز برای کنترل تراکنش‌ها وجود داشته و از طرفی اطلاعات هویتی شخص دریافت‌کننده نظیر نام، آدرس و تلفن در دسترس قرار دارند. با کمی پیگیری، قادر به بازگرداندن پول خواهید بود، اما چنین کاری در شبکه رمز ارزها نظیر بیت کوین امکان‌پذیر نیست. به همین دلیل باید قبل از ارسال وجه، آدرس را چند مرتبه چک کنید.

آدرس کیف پول‌ها شامل تعداد زیادی کاراکتر است، به همین دلیل حین تایپ کردن، احتمال بروز اشتباه به شدت بالا می‌رود. در نتیجه آدرس‌ها همواره باید بین دریافت‌کننده و ارسال‌کننده به صورت کپی – پیست (Copy – Paste) جابه‌جا شوند.

اگر می‌خواهید مبلغی هنگفت به یک آدرس ارسال کنید، با توجه به برگشت ناپذیری تراکنش های بیت کوین ابتدا بهتر است مقدار کمی به آدرس فرستاده و منتظر تایید بمانید. در صورتی که این تراکنش خرد با موفقیت انجام شد، مبلغ اصلی را به همان کیف پول انتقال بدهید.

در نظر داشته باشید یک تراکنش رمز ارزی، مثلا در شبکه بیت کوین، از همان ابتدا برگشت ناپذیر نیست! در عوض، برای هر تراکنش امتیازی به عنوان «تاییدیه» در نظر گرفته می‌شود. هر تاییدیه چیزی بین چند ثانیه تا 90 دقیقه زمان نیاز دارد، با این حال متوسط این زمان ده دقیقه است. در صورتی که مبلغ کارمزد پایینی برای یک تراکنش تعیین شود، زمان دریافت تاییدیه برای آن افزایش پیدا خواهد کرد. هر چه تعداد تاییدیه‌های یک معامله بیشتر باشد، برگشت زدن آن دشوارتر می‌شود.

منبع: blocksdecoded