فن آوری

هک نامیدن یک اکسپلویت خطای انسانی را به حداقل می رساند

02/03/2022
اخبار بیت کوین اتریوم

دیروز، در ساعت 18:24 UTC، شخصی یا چیزی از یک آسیب‌پذیری امنیتی در Wormhole سوء استفاده کرد، ابزاری که به کاربران اجازه می‌دهد دارایی‌های خود را بین اتریوم و تعدادی بلاک چین مبادله کنند و در نتیجه 120,000 اتر پیچیده شده (یا wETH به ارزش حدود 321 دلار) را از دست بدهند. میلیون) روی پلت فرم.

این دومین حمله بزرگ مالی غیرمتمرکز (DeFi) تا به امروز است، بر اساس رهبران rekt، در صنعتی که سوء استفاده های امنیتی نسبتاً رایج است و بخشی از منحنی ریسک کاربران است. یک تجارت کامل از بررسی کدها، واژگانی از اصطلاحات مخصوص صنعت برای توضیح آنچه در حال رخ دادن است و چیزی شبیه یک کتاب بازی وجود دارد که اگر و زمانی که "هک" ناگزیر رخ دهد، باید دنبال کنید.

این مقاله برگرفته از The Node ، گردآوری روزانه CoinDesk از محوری ترین داستانها در بلاک چین و اخبار رمزنگاری شده است. برای دریافت کامل می توانید مشترک شوید خبرنامه اینجا.

Wormhole، جدای از اینکه زودتر این باگ را پیدا کرده و وصله کند، ظاهراً سعی کرده کار درست را انجام دهد: آنها پلتفرم را خاموش کردند تا از ضررهای بیشتر جلوگیری کنند، مردم را از آنچه می دانند مطلع کردند و اعلام کردند که Jump Trading در خط است تا سکه های سرقت شده را دوباره پر کند. .

ادامه مطلب: کرم چاله پل بلاک چین از سوء استفاده احتمالی به ارزش بیش از 326 میلیون دلار رنج می برد

علاوه بر این، در اقدامی که به طور فزاینده‌ای رایج می‌شود، Wormhole Deployer یک پیام باز به بهره‌بردار در اتریوم ارسال کرده است که به آن‌ها «توافق کلاه سفید» و 10 میلیون دلار برای توضیح حمله در ازای وجوه دزدیده شده پیشنهاد می‌دهد.

تشبیه را ببخشید، اما این مثل منتظر ماندن یک شعبده باز است که خرگوش را از کلاه بالایی بیرون بیاورد. جهان منتظر است ببیند آیا با یک هکر کلاه "سفید" یا "سیاه" سروکار دارند، اصطلاحاتی که برای توضیح انگیزه های یک هکر است. واقعیت احتمالا کمی خاکستری تر است.

هک در مقابل سوء استفاده

به گفته کارشناسان امنیتی کسپرسکی، هکرهای کلاه سیاه مجرمانی هستند که با نیت مخرب وارد شبکه های کامپیوتری می شوند. آنها ممکن است از بدافزار استفاده کنند، پسوردها را بدزدند یا کد سوء استفاده از آن را همانطور که به دلایل "خود خدمتی" یا شاید "ایدئولوژیک" نوشته شده است، انجام دهند. کسپرسکی می نویسد: «کلاه سفیدها، با نام مستعار «هکرهای اخلاقی» یا «هکرهای خوب»، «تضاد» هستند. «کسپرسکی می‌نویسد: «آنها از سیستم‌ها یا شبکه‌های رایانه‌ای برای شناسایی نقص‌های امنیتی خود سوءاستفاده می‌کنند تا بتوانند توصیه‌هایی برای بهبود ارائه دهند.

به دلیل نحوه طراحی شبکه های رمزنگاری، اغلب مشخص نیست که با چه کسی سروکار دارید. کاربران به صورت رشته‌های طویل حرف‌های الفبای عددی وجود دارند و گذشته آن‌ها به یک سری تراکنش‌های مرتبط با آدرس‌شان خلاصه می‌شود.

این سیستم مزایایی دارد. حتی اگر پلتفرم‌ها «مشتریان» خود را «نشناسند»، همه تراکنش‌ها در زنجیره ثبت می‌شوند و هر کسی می‌تواند «تأیید کند» که کدام سکه متعلق به چه کسی است. اکسپلویت‌های دی‌فای اغلب به بن‌بست می‌آیند: صرافی‌هایی که به‌عنوان رمپ‌های روشن و خارج از اقتصاد کریپتو مورد استفاده قرار می‌گیرند، می‌توانند وجوه دزدیده شده را در لیست سیاه قرار دهند و ارزش و ارزش آن توکن را به هیچ‌وجه کاهش دهند.

این ممکن است توضیح دهد که چرا برخی از برجسته ترین سوء استفاده ها می بینند که مغز متفکران نعمت های خود را پس می دهند. به عنوان مثال، آگوست گذشته، «هکر» شبکه پولی، همانطور که از آنها یاد می‌شود، تقریباً تمام 610 میلیون دلار دارایی‌های رمزنگاری سرقت شده را برگرداند و از مردم درخواست کرد که سوءاستفاده از آنها را «هک کلاه سفید» ببینند. به معنای آگاهی بخشی به یک اشکال فاجعه بار است.

این ممکن است بازنویسی تاریخ باشد - توضیحی برای حمله ای که در نهایت ضعیف اجرا شده است؟ ممکن است دوباره اتفاق بیفتد: ما از انگیزه های استثمارگر Wormhole اطلاعی نداریم، اما به نظر می رسد تیم پل از آنها می خواهد که در ازای دریافت 10 میلیون دلار مرتب، حشره را بخورند.

به یک معنا، سیستم به نفع یک مهاجم تنظیم شده است. هنگامی که شخصی از کد همانطور که نوشته شده است استفاده می کند، اما نه آنطور که در نظر گرفته شده است، فناوران از آن به عنوان یک "اکسپلویت" یاد می کنند. کد بر عملکرد انسان ارجحیت داده می شود، به طوری که خطاهای انسانی - مانند ضربه زدن به یک تراکنش بد یا از دست دادن یک حفره امنیتی شکاف - به عنوان یک فرآیند طبیعی کد توضیح داده می شود.

حمله تنها زمانی به سطح "هک" ارتقا می یابد که کد بازنویسی یا شکسته شود. این یک تمایز تکنولوژیکی مهم است، حتی اگر اصطلاحات احتمالاً از صنعت بازی نشات می‌گیرند که در آن «هک کردن» یک بازی برای به دست آوردن یک مزیت ناعادلانه اغلب مورد انزجار قرار می‌گیرد، در حالی که «سوءاستفاده» یا یافتن حفره‌های موجود در بازی مورد مباهات قرار می‌گیرد.

احتمالاً منصفانه است که بگوییم این حمله اخیر بخشی از برنامه‌ها یا انگیزه‌های Wormhole Deployer نبوده است. اشتباهی در کد ظاهراً انجام شده است یا پیدا نشده است و راه حل هایی در دست بررسی است. همانطور که ویتالیک بوترین، یکی از خالقان اتریوم چند هفته پیش در پستی پیش بینی شده در وبلاگ خود اشاره کرد، ممکن است به "محدودیت های امنیتی اساسی پل ها" اشاره کند.

مهاجم مجموعه‌ای از تراکنش‌ها را انجام داد به طوری که «قرارداد هوشمند» Wormhole مقدار واقعی چیزهای واقعی را با هم اشتباه گرفت - یک تفکیک کامل در اینجا. این روزنه ای بود که فردی با دانش عمیق و زمان زیاد توانست از آن بهره برداری کند.

برخی از افراد این حمله را به عنوان کمکی به مجموعه دانش کلی در مورد کریپتو در نظر می گیرند. برخی حتی گفته‌اند که این فرآیند ممکن است در نهایت منجر به "کد غیرقابل هک" شود، زیرا هر قرارداد هوشمند یک "پاداش باگ میلیون دلاری" است.

بنابراین، ارزش این را دارد که بپرسیم آیا زبانی که کریپتو برای توضیح آسیب‌پذیری‌های بی‌شمار خود استفاده می‌کند (خطرات روی هم رفته در ریسک‌ها) به کسب‌وکار جاری ناشی از هک کمک می‌کند یا خیر. یا اگر گاهی تعاریف را از کلاه بیرون می آوریم.

منبع: https://www.coindesk.com/layer2/2022/02/03/calling-a-hack-an-exploit-minimizes-human-error/