دیروز، در ساعت 18:24 UTC، شخصی یا چیزی از یک آسیبپذیری امنیتی در Wormhole سوء استفاده کرد، ابزاری که به کاربران اجازه میدهد داراییهای خود را بین اتریوم و تعدادی بلاک چین مبادله کنند و در نتیجه 120,000 اتر پیچیده شده (یا wETH به ارزش حدود 321 دلار) را از دست بدهند. میلیون) روی پلت فرم.
این دومین حمله بزرگ مالی غیرمتمرکز (DeFi) تا به امروز است، بر اساس رهبران rekt، در صنعتی که سوء استفاده های امنیتی نسبتاً رایج است و بخشی از منحنی ریسک کاربران است. یک تجارت کامل از بررسی کدها، واژگانی از اصطلاحات مخصوص صنعت برای توضیح آنچه در حال رخ دادن است و چیزی شبیه یک کتاب بازی وجود دارد که اگر و زمانی که "هک" ناگزیر رخ دهد، باید دنبال کنید.
این مقاله برگرفته از The Node ، گردآوری روزانه CoinDesk از محوری ترین داستانها در بلاک چین و اخبار رمزنگاری شده است. برای دریافت کامل می توانید مشترک شوید خبرنامه اینجا.
Wormhole، جدای از اینکه زودتر این باگ را پیدا کرده و وصله کند، ظاهراً سعی کرده کار درست را انجام دهد: آنها پلتفرم را خاموش کردند تا از ضررهای بیشتر جلوگیری کنند، مردم را از آنچه می دانند مطلع کردند و اعلام کردند که Jump Trading در خط است تا سکه های سرقت شده را دوباره پر کند. .
ادامه مطلب: کرم چاله پل بلاک چین از سوء استفاده احتمالی به ارزش بیش از 326 میلیون دلار رنج می برد
علاوه بر این، در اقدامی که به طور فزایندهای رایج میشود، Wormhole Deployer یک پیام باز به بهرهبردار در اتریوم ارسال کرده است که به آنها «توافق کلاه سفید» و 10 میلیون دلار برای توضیح حمله در ازای وجوه دزدیده شده پیشنهاد میدهد.
تشبیه را ببخشید، اما این مثل منتظر ماندن یک شعبده باز است که خرگوش را از کلاه بالایی بیرون بیاورد. جهان منتظر است ببیند آیا با یک هکر کلاه "سفید" یا "سیاه" سروکار دارند، اصطلاحاتی که برای توضیح انگیزه های یک هکر است. واقعیت احتمالا کمی خاکستری تر است.
هک در مقابل سوء استفاده
به گفته کارشناسان امنیتی کسپرسکی، هکرهای کلاه سیاه مجرمانی هستند که با نیت مخرب وارد شبکه های کامپیوتری می شوند. آنها ممکن است از بدافزار استفاده کنند، پسوردها را بدزدند یا کد سوء استفاده از آن را همانطور که به دلایل "خود خدمتی" یا شاید "ایدئولوژیک" نوشته شده است، انجام دهند. کسپرسکی می نویسد: «کلاه سفیدها، با نام مستعار «هکرهای اخلاقی» یا «هکرهای خوب»، «تضاد» هستند. «کسپرسکی مینویسد: «آنها از سیستمها یا شبکههای رایانهای برای شناسایی نقصهای امنیتی خود سوءاستفاده میکنند تا بتوانند توصیههایی برای بهبود ارائه دهند.
به دلیل نحوه طراحی شبکه های رمزنگاری، اغلب مشخص نیست که با چه کسی سروکار دارید. کاربران به صورت رشتههای طویل حرفهای الفبای عددی وجود دارند و گذشته آنها به یک سری تراکنشهای مرتبط با آدرسشان خلاصه میشود.
این سیستم مزایایی دارد. حتی اگر پلتفرمها «مشتریان» خود را «نشناسند»، همه تراکنشها در زنجیره ثبت میشوند و هر کسی میتواند «تأیید کند» که کدام سکه متعلق به چه کسی است. اکسپلویتهای دیفای اغلب به بنبست میآیند: صرافیهایی که بهعنوان رمپهای روشن و خارج از اقتصاد کریپتو مورد استفاده قرار میگیرند، میتوانند وجوه دزدیده شده را در لیست سیاه قرار دهند و ارزش و ارزش آن توکن را به هیچوجه کاهش دهند.
این ممکن است توضیح دهد که چرا برخی از برجسته ترین سوء استفاده ها می بینند که مغز متفکران نعمت های خود را پس می دهند. به عنوان مثال، آگوست گذشته، «هکر» شبکه پولی، همانطور که از آنها یاد میشود، تقریباً تمام 610 میلیون دلار داراییهای رمزنگاری سرقت شده را برگرداند و از مردم درخواست کرد که سوءاستفاده از آنها را «هک کلاه سفید» ببینند. به معنای آگاهی بخشی به یک اشکال فاجعه بار است.
این ممکن است بازنویسی تاریخ باشد - توضیحی برای حمله ای که در نهایت ضعیف اجرا شده است؟ ممکن است دوباره اتفاق بیفتد: ما از انگیزه های استثمارگر Wormhole اطلاعی نداریم، اما به نظر می رسد تیم پل از آنها می خواهد که در ازای دریافت 10 میلیون دلار مرتب، حشره را بخورند.
به یک معنا، سیستم به نفع یک مهاجم تنظیم شده است. هنگامی که شخصی از کد همانطور که نوشته شده است استفاده می کند، اما نه آنطور که در نظر گرفته شده است، فناوران از آن به عنوان یک "اکسپلویت" یاد می کنند. کد بر عملکرد انسان ارجحیت داده می شود، به طوری که خطاهای انسانی - مانند ضربه زدن به یک تراکنش بد یا از دست دادن یک حفره امنیتی شکاف - به عنوان یک فرآیند طبیعی کد توضیح داده می شود.
حمله تنها زمانی به سطح "هک" ارتقا می یابد که کد بازنویسی یا شکسته شود. این یک تمایز تکنولوژیکی مهم است، حتی اگر اصطلاحات احتمالاً از صنعت بازی نشات میگیرند که در آن «هک کردن» یک بازی برای به دست آوردن یک مزیت ناعادلانه اغلب مورد انزجار قرار میگیرد، در حالی که «سوءاستفاده» یا یافتن حفرههای موجود در بازی مورد مباهات قرار میگیرد.
احتمالاً منصفانه است که بگوییم این حمله اخیر بخشی از برنامهها یا انگیزههای Wormhole Deployer نبوده است. اشتباهی در کد ظاهراً انجام شده است یا پیدا نشده است و راه حل هایی در دست بررسی است. همانطور که ویتالیک بوترین، یکی از خالقان اتریوم چند هفته پیش در پستی پیش بینی شده در وبلاگ خود اشاره کرد، ممکن است به "محدودیت های امنیتی اساسی پل ها" اشاره کند.
مهاجم مجموعهای از تراکنشها را انجام داد به طوری که «قرارداد هوشمند» Wormhole مقدار واقعی چیزهای واقعی را با هم اشتباه گرفت - یک تفکیک کامل در اینجا. این روزنه ای بود که فردی با دانش عمیق و زمان زیاد توانست از آن بهره برداری کند.
برخی از افراد این حمله را به عنوان کمکی به مجموعه دانش کلی در مورد کریپتو در نظر می گیرند. برخی حتی گفتهاند که این فرآیند ممکن است در نهایت منجر به "کد غیرقابل هک" شود، زیرا هر قرارداد هوشمند یک "پاداش باگ میلیون دلاری" است.
بنابراین، ارزش این را دارد که بپرسیم آیا زبانی که کریپتو برای توضیح آسیبپذیریهای بیشمار خود استفاده میکند (خطرات روی هم رفته در ریسکها) به کسبوکار جاری ناشی از هک کمک میکند یا خیر. یا اگر گاهی تعاریف را از کلاه بیرون می آوریم.
منبع: https://www.coindesk.com/layer2/2022/02/03/calling-a-hack-an-exploit-minimizes-human-error/