با گسترش روزافزون استفاده از بلاکچین در امور مالی، قراردادهای هوشمند و دیفای، سایه تهدیدات امنیتی نیز سنگینتر شده است. هکرها با بهرهگیری از تکنیکهای پیشرفته و ترکیب حملات نرمافزاری، شبکهای و حتی روشهای روانشناختی، میلیاردها دلار دارایی دیجیتال را هدف قرار دادهاند. در این مطلب، با زبانی تخصصی و قابل فهم، رایجترین روشهای هک بلاکچین، هکهای مشهور تاریخ و شیوههای مؤثر حفاظت را بررسی میکنیم.
۱. رایجترین روشهای هک بلاکچین
۱.۱ تسلط بر شبکه (۵۱ درصد و Sybil)
در حمله ۵۱ درصد، مهاجم با بهدست آوردن کنترل اکثریت توان پردازشی یا سهم سهامگذاری در یک شبکه، قادر به بازنویسی تاریخچه تراکنشها و اجرای حملات دوبارهخرجی است.
حمله Sybil شکل دیگری از نفوذ است که در آن با ایجاد دهها یا صدها گره جعلی، مهاجم توان دستکاری مسیر تبادل دادهها را پیدا میکند.
۱.۲ جداسازی گرهها (Routing و Eclipse)
در سناریوی Routing، مسیر ارتباطی بین گرهها قطع یا بازنویسی میشود تا دادههای جعلی تزریق گردد.
حمله Eclipse نیز با جدا کردن کامل یک نود از شبکه و تغذیه اطلاعات دستکاریشده، کنترل تصمیمگیری آن را بهدست میگیرد.
۱.۳ فیشینگ و دامهای آدرس مشابه
فیشینگ، همان روش کلاسیک سرقت اطلاعات، در بلاکچین با صفحات و لینکهای جعلی کیفپول یا صرافی انجام میشود.
در Typosquatting، مهاجم با ایجاد دامنه یا بسته نرمافزاری بسیار شبیه به نسخه اصلی، کاربران را به دام میاندازد.
۱.۴ حفرههای امنیتی در قراردادهای هوشمند
قراردادهای هوشمند اگر بدون حسابرسی و تست منتشر شوند، میتوانند به راحتی قربانی حملاتی مانند Flash Loan یا Reentrancy شوند؛ حملاتی که اجازه برداشتهای مکرر یا دستکاری منطق تراکنش را میدهند.
۱.۵ تغییرپذیری تراکنشها
مشکل Transaction Malleability به هکرها اجازه میدهد هش تراکنشها را قبل از نهاییشدن تغییر دهند؛ ماجرایی که در سقوط صرافی Mt. Gox نقش مهمی داشت.
۱.۶ حملات منع سرویس (DDoS)
این حملات با ایجاد حجم عظیمی از درخواستها، شبکه یا سرویس هدف را برای مدت طولانی از دسترس خارج میکنند.
۲. معروفترین هک بلاکچین در سالهای اخیر
- Bybit – سال ۲۰۲۵
نفوذی عظیم با استفاده از مهندسی اجتماعی که منجر به سرقت حدود ۱.۵ میلیارد دلار از کیفپول سرد این صرافی شد. - Poly Network – سال ۲۰۲۱
سرقت ۶۱۰ میلیون دلار که بخش زیادی از آن پس از مذاکره با هکر بازگردانده شد. - Ronin Network – سال ۲۰۲۲
هک ۶۲۵ میلیون دلاری که گروه لازاروس با سوءاستفاده از ضعف امنیتی پل شبکه انجام داد. - WazirX – سال ۲۰۲۴
نفوذ به کیفپول چندامضایی و سرقت بیش از ۲۳۰ میلیون دلار. - DMM Bitcoin – سال ۲۰۲۴
برداشت غیرمجاز ۴۵۰۰ بیتکوین (بیش از ۳۰۰ میلیون دلار) به علت لو رفتن کلید خصوصی. - Munchables – سال ۲۰۲۴
یک توسعهدهنده داخلی از حفره قرارداد هوشمند در شبکه Blast سوءاستفاده کرده و ۶۲.۸ میلیون دلار برداشت کرد. - LuBian – کشف در ۲۰۲۵
بزرگترین سرقت تاریخ با ارزش ۱۴.۵ میلیارد دلار بیتکوین که ۵ سال پنهان مانده بود.
۳. تهدیدات نوظهور در امنیت بلاکچین
۱. جرایم فیزیکی علیه سرمایهگذاران بزرگ
طی ۱۸ ماه اخیر، صدها مورد آدمربایی و تهدید فیزیکی علیه دارندگان کیفپولهای بزرگ ارز دیجیتال گزارش شده است.
- خطر محاسبات کوانتومی
پیشبینی میشود طی یک دهه آینده، پردازشگرهای کوانتومی بتوانند الگوریتمهای رمزنگاری فعلی را شکسته و حتی بیتکوین را در معرض خطر قرار دهند.
۴. راهکارهای پیشگیری و امنیت
| روش | توضیح |
|---|---|
| استفاده از کیفپول سختافزاری | کلیدهای خصوصی بهصورت آفلاین نگهداری شود تا خطر هک آنلاین به صفر برسد. |
| حسابرسی قراردادهای هوشمند | انجام ممیزی امنیتی توسط شرکتهای معتبر قبل از انتشار نهایی قرارداد. |
| آموزش امنیتی کاربران | جلوگیری از فیشینگ و حملات مهندسی اجتماعی از طریق آموزش عملی. |
| تقویت زیرساخت شبکه | توزیع مناسب نودها، استفاده از مکانیزمهای ضد Sybil و DDoS. |
| آمادگی برای عصر کوانتوم | مهاجرت به الگوریتمهای رمزنگاری مقاوم در برابر پردازش کوانتومی. |
| تدابیر امنیت شخصی | حفظ حریم خصوصی سرمایهگذاران و جلوگیری از نمایش عمومی داراییها. |
جمعبندی
امنیت بلاکچین دیگر تنها به کد و رمزنگاری محدود نمیشود. امروزه ترکیب حملات سایبری، آسیبپذیریهای فنی و حتی تهدیدات فیزیکی، امنیت این فناوری را به چالش میکشد. با بررسی روشهای نفوذ، یادگیری از هکهای تاریخی و اجرای راهکارهای پیشگیرانه، میتوان گامی بزرگ به سوی شبکههای غیرمتمرکز ایمنتر برداشت. آینده بلاکچین به هوشمندی و پیشبینی ما در برابر تهدیدات وابسته است.
همچنین بخوانید:
