کد خبر: 10487

تهدیدهای امنیتی رمزارزها: حمله ۵۱ درصد و تمرکز ماینینگ

ترسناک‌ترین تهدید رمزارزها: حمله ۵۱ درصد و تمرکز قدرت ماینینگ، چگونه امنیت بازار را تهدید می‌کند؟

بررسی تهدید حمله ۵۱ درصد، تمرکز ماینینگ و امنیت رمزارزها، تحلیل جامع و فنی در بازار رمزارزها و چالش‌های امنیتی شبکه‌ها.

ترسناک‌ترین تهدید رمزارزها: حمله ۵۱ درصد و تمرکز قدرت ماینینگ، چگونه امنیت بازار را تهدید می‌کند؟

در این مطلب، به بررسی دقیق هفت سوال مطرح‌شده از سوی یکی از بنیان‌گذاران اتریوم (Ethereum) می‌پردازیم. این سوالات، از جمله مهم‌ترین ویژگی‌های اکوسیستم رو به رشد و پرپوی این بلاک‌چین محسوب می‌شوند و موضوعاتی چون ماینینگ، حاکمیت و سایر جنبه‌های کلیدی را شامل می‌شوند. این مجموعه مطالب بر اساس گفت‌وگویی صورت‌گرفته بین ویتالیک بوترین و اعضای گروه وی‌چت (WeChat) تدوین شده است و هدف آن ارائه تحلیل‌های عمیق و آگاهی‌بخش درباره جنبه‌های مختلف این فناوری نوین است.

ترس از حملات ۵۱ درصدی

یکی از تهدیدهای جدی در حوزه رمزارزها، حمله ۵۱ درصد است که به عنوان یکی از مخرب‌ترین حملات شناخته می‌شود. در این نوع حمله، فرد یا گروه مهاجم می‌تواند کنترل کامل بر شبکه رمزارز هدف را در اختیار گیرد و اختلالات گسترده‌ای ایجاد کند.

این حمله زمانی رخ می‌دهد که ماینرها با هدف تصاحب فرآیند تایید تراکنش‌ها در بلاک‌چین مورد نظر، دست به عملیات تهاجمی بزنند. در صورت موفقیت، این حمله ممکن است به کنترل نسبی یا کامل بر شبکه منجر نشود، اما می‌تواند نحوه استفاده از رمزارز را به شدت تغییر دهد.

در این حالت، مهاجمین نمی‌توانند به صورت دلخواه توکن‌های جدید تولید کنند یا تراکنش‌های گذشته را تغییر دهند، اما قادر خواهند بود تراکنش‌هایی که در اختیار دارند را دوباره مصرف کنند (double-spend) یا عملیات شبکه را به طور کامل متوقف سازند. این نوع حمله، تهدیدی جدی برای امنیت و اعتمادپذیری شبکه‌های مبتنی بر اثبات کار (PoW) است و نیازمند تدابیر امنیتی قوی برای مقابله است.

هک موفقیت‌آمیز بیت‌کوین گلد

در نمونه‌ای قابل توجه از حملات سایبری در بازار رمزارز، هک شبکه بیت‌کوین گلد (Bitcoin Gold) در ماه مه سال ۲۰۱۸ قرار دارد. در این حمله که طی چهار روز صورت گرفت، مهاجمان مخرب توانستند کنترل بخش قابل توجهی از قدرت هش (hash power) شبکه بیت‌کوین گلد را در اختیار بگیرند و در نتیجه اقدام به دوباره‌صرف تراکنش‌ها (double-spending) کنند. این عملیات منجر به سرقت بیش از ۱۸ میلیون دلار از ارزش بیت‌کوین گلد شد.

در طول این مدت، با وجود تلاش برای به‌روزرسانی کیف‌پول، بازگردانی بلاک‌ها و افزایش زمان تأیید تراکنش‌ها، شبکه رمزارز در مقابل این حمله دچار شکست قابل توجهی شد. علت وقوع این حمله، هم‌زمانی چند عامل مؤثر بود. اولاً، بیت‌کوین گلد از الگوریتم استخراج Equihash بهره می‌برد که شباهت زیادی به زکش (ZCash) دارد و به همین دلیل، منابع هش (hash) زیادی در دسترس است؛ در ماه مه ۲۰۱۸، قدرت هش در حدود ۵۰۰ مگاهش (MegaHash) بود.

ثانیاً، ارزش بازار رمزارز در آن زمان بالا بود؛ هر واحد بیت‌کوین گلد حدود ۷۵ دلار قیمت داشت. ثالثاً، مقدار کل هش‌ریت شبکه پایین بود، در حدود ۴۰ مگاهش، که این موضوع، امکان حمله را برای مهاجمان آسان‌تر می‌کرد.

برای انجام این حمله، مهاجم تنها نیاز داشت یک اسکریپت ماینینگ سفارشی توسعه دهد و آن را به حدود ۴۰ مگاهش از ماینرهای موجود نصب کند. با فرض هزینه‌ای معادل یک بیت‌کوین برای هر مگاهش در هر ۱۰۰ ساعت، هزینه کلی برای بهره‌برداری از این سیستم در مدت زمان مذکور حدود ۴۰ بیت‌کوین برآورد می‌شود. این حمله نشان‌دهنده آسیب‌پذیری‌های جدی در ساختارهای امنیتی رمزارزها و اهمیت نظارت دقیق بر منابع هش است.

آیا شرکت بیت‌مِین توانایی حمله به شبکه بیت‌کوین را دارد؟

شبکه‌های بزرگ مانند بیت‌کوین و اتریوم نشان‌دهنده قدرت هش قابل‌توجهی هستند که به عنوان شاخصی بر عدم‌احتمال وقوع حمله ۵۱ درصدی به رمزارزهای مذکور تلقی می‌شود. هم‌اکنون قدرت هش بیت‌کوین در حدود ۴۰ پتا هش و اتریوم به ۲۸۸ ترا هش رسیده است. بر اساس این ارقام، تنها دو راه برای انجام حمله به این رمزارزها با استفاده از روش‌های هک مشابه وجود دارد.

راه اول، افزایش ناگهانی قدرت هش به میزان دوبرابر یا بیشتر در مدت کوتاهی است. راه دوم، نفوذ و کنترل بیش از ۵۱ درصد از ماینرها از طریق تبانی و تمرکز در اختیار یک گروه یا فرد خاص است.

با این حال، ویتالیک بوترین، بنیان‌گذار اتریوم، بر این باور است که پروتکل بیت‌کوین در مقابل چنین تهدیداتی آسیب‌پذیر است، چرا که شرکت‌های بزرگی مانند بیت‌مین (Bitmain) و استخرهای ماینینگ وابسته به آن، توانایی تامین قدرت هش کافی برای تهدید این شبکه را دارند. نکته کلیدی این است که بیشتر ماینرهای بیت‌کوین از دستگاه‌های ساخت بیت‌مین استفاده می‌کنند یا در استخرهای ماینینگ متعلق به این شرکت یا استخرهای هم‌پیمان فعالیت دارند.

این وضعیت، امکان نفوذ و تزریق کد مخرب به استخرهای ماینینگ یا حتی به نرم‌افزارهای ماینرها از طریق بروزرسانی‌های نرم‌افزاری را فراهم می‌کند، که می‌تواند نحوه استخراج را تغییر دهد و امنیت شبکه را تهدید کند.

آیا نقص امنیتی در Antbleed منجر به حمله ۵۱ درصدی شده است؟

در آوریل ۲۰۱۷، شرکت بیت‌مین (Bitmain) به طور مستقیم مسئولیت آسیب‌پذیری «انت‌بلید» (Antbleed) را بر عهده گرفت. این مشکل در نرم‌افزار بسیاری از ماینرهای تولیدی این شرکت به صورت کد سخت‌افزار شده بود و امکان خاموش کردن تمامی دستگاه‌های ماینر را داشت، چه توسط بیت‌مین و چه توسط هکرهای مخرب.

این آسیب‌پذیری، به‌ویژه در صورت وقوع حمله عمدی، هزینه مقابله با آن را برای مهاجمان کاهش می‌داد، چرا که امکان خاموش کردن گسترده دستگاه‌ها به راحتی فراهم بود. در واکنش به این موضوع، بیت‌مین اعلام کرد که این ویژگی به هیچ عنوان یک نقص فنی محسوب نمی‌شود، بلکه به عنوان یک قابلیت طراحی شده است.

ما هرگز قصد نداشتیم از این ویژگی در هیچ دستگاه Antminer بدون مجوز مالک آن استفاده کنیم. این قابلیت مشابه ویژگی‌های حذف یا خاموش‌سازی از راه دور است که اغلب تولیدکنندگان معروف تلفن‌همراه ارائه می‌دهند.

یک به‌روزرسانی بعدی توسط شرکت بیت‌مین (Bitmain) همچنان امکان تماس با سرورهای این شرکت و در نتیجه افشای اطلاعات مربوط به ماینرها را فراهم می‌کرد. در حالی که کد منبع ماینرهای بیت‌مین عمومی است، نرم‌افزارهای مدیریت استخرهای استخراج این شرکت به صورت محرمانه نگهداری می‌شود و در دسترس عموم قرار ندارد.

براساس آخرین آمار، پنج استخر استخراج بر بیش از ۵۰ درصد از قدرت هش بیت‌کوین تسلط دارند. این استخرها عبارتند از: BTC.com با ۱۹.۱ درصد، ViaBTC با ۱۲.۴ درصد، AntPool با ۱۲.۲ درصد، BTC.TOP با ۱۰.۷ درصد و SlushPool با ۱۰.۷ درصد. مجموع این استخرها بیش از ۶۵ درصد از کل قدرت هش شبکه بیت‌کوین را تشکیل می‌دهد.

در صورت همکاری این پنج استخر در به‌روزرسانی‌های مشترک، می‌تواند تاثیرات مخرب و جدی بر امنیت و پایداری شبکه بیت‌کوین داشته باشد، زیرا کنترل چنین حجم عظیمی از قدرت هش، امکان بروز حملات ۵۱ درصد و تهدیدهای دیگر را افزایش می‌دهد.

مت اولد درباره حمله ۵۱ درصدی

مطور بیت‌کوین، مت اول، در گفت‌وگو با BTCManager به مسائل روز بازار رمزارزها پرداخت و اظهار داشت:

ما اطلاع دقیقی از ترکیب استخرهای استخراج نداریم. مشخص نیست چه میزان از این استخرها به طور مستقیم توسط بیت‌ماین (Bitmain) در فارم‌های سرور خود کنترل می‌شوند و چه میزان توسط ماینرهای مستقل استفاده می‌شود که به دلیل اعتبار و پایداری بالا و نوسان کم، ترجیح می‌دهند از استخرهای بیت‌ماین بهره‌مند شوند.

تنها عامل محدودکننده قدرت استخر ماینینگ، ماینرهای فردی هستند. در این زمینه، ادل (Odell) راهکارهایی ارائه می‌دهد که می‌تواند نقش مهمی در توازن قدرت این استخرها ایفا کند.

مدیران استخرهای ماینینگ در حال حاضر از قدرت قابل توجهی برخوردار هستند، اما ماینرهای فردی امکان تغییر استخرهای خود را در صورت عدم رضایت از نحوه مدیریت دارند. این قابلیت، نوعی کنترل نرم بر قدرت مدیران استخرها محسوب می‌شود. در صورت موفقیت و پذیرش پروژه BetterHash (بهترهش) که توسط مت کورالو (مت کِرالو) توسعه یافته است، این قدرت کاهش یافته و مدیران استخرها نفوذ کمتری خواهند داشت.

بترهش؛ آیا واقعاً بهتر خواهد بود؟

پیشنهاد Betterhash به عنوان راه‌حلی برای مشکل کنترل ماینرها در سیستم‌های استخرهای استخراج مطرح شده است. در حال حاضر، پروتکل «استراتوم» (Stratum) که توسط اپراتورهای استخرهای استخراج مانند بیت‌ماین (Bitmain) استفاده می‌شود، این امکان را فراهم می‌کند که اپراتور استخر قالب بلوک را تعیین کرده و سپس ماینرها بر اساس آن قالب اقدام به ساخت بلوک کنند.

این فرآیند به اپراتورهای استخرها اجازه می‌دهد در انتخاب تراکنش‌های وارد شده به بلوک دخالت داشته باشند و حتی ممکن است تراکنش‌هایی را رد کنند. در نتیجه، قدرت سانسور استخرها در زمان‌هایی که سیستم‌های «شتاب‌دهنده بلوک» (block accelerator) فعال بودند، به وضوح دیده می‌شد. این سیستم‌ها که در دوره قبل از معرفی Segwit و Lightning Network در بیت‌کوین رایج بودند، به استخرهای استخراج امکان می‌داد تراکنش‌ها را بر اساس سیاست‌های خود مدیریت و کنترل کنند.

پیشنهاد Betterhash که مَت کورالو (Matt Corallo) در مارس ۲۰۱۸ ارائه داد، در انتظار تغییرات در استانداردهای شبکه است. هدف این پیشنهاد انتقال ساخت قالب بلوک به عهده ماینرهای فردی است، به طوری که هر ماینر بتواند بر اساس ترجیحات خود، تراکنش‌هایی را که می‌خواهد در بلوک‌های بعدی قرار دهد، انتخاب کند. این تغییر می‌تواند نقش استخرهای استخراج را محدود کرده و شفافیت و استقلال ماینرها را افزایش دهد.

حمله به لایه‌های زیرین

در طول تقریبا یازده ماه و همزمان با صعود بیت‌کوین (Bitcoin) به سطح ۲۰ هزار دلار، هر بلاک ماین‌شده توسط این رمزارز، عموماً یک بلاک کامل ۱ مگابایت بود. در این دوره، مناقشه بر سر افزایش اندازه بلاک به شدت شدت گرفت و بین طرفداران بیت‌کوین و Segwit، همچنین مخالفان افزایش بلاک تا ۸ مگابایت، بحث‌های داغی شکل گرفت. در نهایت، این اختلاف نظر منجر به جدایی و فورک بیت‌کوین کش (Bitcoin Cash) در اول آگوست ۲۰۱۷ شد.

در همین بازه زمانی، سرویس‌های ViaBTC و BTC.com اقدام به ارائه “تسریع‌کننده تراکنش” (transaction accelerators) کردند که ماینرها را ملزم می‌کرد تراکنش‌های تسریع‌شده را در بلاک‌های خود قرار دهند، اما هزینه‌های مربوط به این تراکنش‌ها را به خود اختصاص می‌دادند.

این موضوع، یک مسیر حمله جدید و بالقوه برای هکرها و نهادهای مخرب فراهم می‌کند. با بهره‌گیری از همین قدرت، دولت‌ها یا گروه‌های مخرب می‌توانند از طریق ماینرها بخواهند تراکنش‌ها را مسدود یا فیلتر کنند و درباره تراکنش‌هایی که مسدود می‌کنند، سکوت اختیار نمایند.

بازرسی شرکت بیت‌مین

براین بی‌شاپ، کارشناس حوزه رمزارز، اخیراً اعلام کرد آماده است تا بررسی و ارزیابی مستقل سوم شخص درباره میزان هش‌ریت بیت‌مین (Bitmain) ارائه دهد. وی در توییتر به خبرنگاران وب‌سایت BTCManager گفت:

یک حسابرسی مستقل و بی‌طرفانه از نرخ هش (هاش‌ریت) بیت‌مِین (Bitmain) امکان‌پذیر است. در صورت تحقق این هدف و حرکت این شرکت به سمت شفافیت بیشتر، این اقدام می‌تواند دستاورد مهمی برای بیت‌کوین (Bitcoin) محسوب شود. حسابرسی معتبر باید ترکیبی از دانش فنی عمیق در حوزه بیت‌کوین و توانایی‌های حسابرسی فنی و جرم‌شناسی مالی را در بر گیرد تا اعتبار و صحت داده‌ها به خوبی تایید شود.

BTCManager با برانی تماس گرفت تا در مورد پیشنهاد Betterhash سوالاتی مطرح کند. برانی در پاسخ گفت:

پیشنهاد Betterhash که توسط مت کورالو (Matt Corallo) مطرح شده است، می‌تواند تحولات مهمی در حوزه ماینینگ بیت‌کوین رقم بزند و تاثیر قابل‌توجهی در بهبود ساختار و امنیت شبکه داشته باشد. در این میان، سوالی که مطرح می‌شود، میزان کنترل شرکت بیت‌مِین (Bitmain) بر بسیاری از بزرگ‌ترین استخرهای ماینینگ بیت‌کوین است؛ استخرهایی که نقش کلیدی در تولید و عرضه بلوک‌های جدید دارند. این وضعیت نگرانی‌هایی درباره تمرکز قدرت در شبکه بیت‌کوین و احتمال تاثیرگذاری آن بر امنیت و شفافیت این شبکه را افزایش می‌دهد.

سکوت بیت‌ماین

در پاسخ به نگرانی‌های جامعه بیت‌کوین، شرکت بیت‌ماین تنها سیاست شفافیت خود را در وب‌سایت منتشر کرده است. بر اساس این سیاست، هر ۳۰ روز یک‌بار، اطلاعات مربوط به فعالیت‌های ماینینگ خود را در قالب گزارش‌های عمومی منتشر می‌کند. بیت‌ماین اعلام کرده است که هیچ‌گونه سیاست تسامحی در قبال ماینینگ مخفیانه ندارد و هرگز قصد ندارد بلوک‌های خالی را استخراج کند. همچنین، این شرکت متعهد شده است که اطلاعات مربوط به حمل و نقل و حجم فعالیت‌های ماینرهای جدید خود را در اختیار عموم قرار دهد.

با این حال، در بیانیه‌های منتشرشده، جزئیاتی درباره همکاری‌های این شرکت با سایر استخرهای ماینینگ یا نحوه انتخاب تراکنش‌ها برای استخراج ارائه نشده است. همچنین، نحوه عملکرد استخرهای ماینینگ بیت‌ماین و فرآیندهای داخلی آن‌ها در این بیانیه ذکر نشده است. تیم BTCمدیر (BTCManager) این سوالات را از طریق انجمن‌های پشتیبانی و ایمیل‌های رسمی به بیت‌ماین مطرح کرده است، اما تاکنون پاسخی دریافت نکرده است. در صورت دریافت پاسخ، این گزارش به‌روزرسانی خواهد شد.

آیا اتریوم در برابر تهدیدها ایمن است؟

اترِیم (Ethereum) در مقایسه با بیت‌کوین (Bitcoin) مقاومت بیشتری در برابر حملات نشان داده است، اما هر دو شبکه با مشکل سختی پروتکل استراتوم مواجه هستند که یکی از چالش‌های اصلی در استخراج رمزارزهای مبتنی بر الگوریتم اثبات کار (PoW) است. در عین حال، توسعه‌دهندگان اترِیم در حال حرکت به سمت پیاده‌سازی سیستم اثبات سهام (PoS) هستند، که نیازمند تغییرات اساسی در ساختار شبکه است.

برنامه‌ریزی برای نسخه جدید اترِیم، با نام رمز «سرینتی» (Serenity)، شامل معرفی Casper، پروتکل اثبات سهام، است. هدف این بروزرسانی، ایجاد زیرساخت‌های لازم برای انتقال به PoS است. بر اساس اعلام توسعه‌دهندگان، اجرای این تغییرات بین سال‌های ۲۰۱۹ و ۲۰۲۰ به تعویق افتاده است.

در حال حاضر، بزرگ‌ترین استخرهای استخراج اترِیم می‌توانند به صورت همکاری مخرب عمل کنند. چهار استخر برتر شامل Ethpool / Ethermine با سهم ۴۳.۸۸ درصد، Nanopool با ۲۰.۹۱ درصد، MiningPoolHub با ۱۰.۱۲ درصد و ۲مینرز (2miners) با ۸.۶ درصد هستند.

تیم «BTCManager» نیز از طریق سیستم پشتیبانی و ایمیل با استخرهای Ethermine و Nanopool تماس گرفت، اما تاکنون پاسخی دریافت نکرده است. در صورت دریافت پاسخ، این خبر به‌روزرسانی خواهد شد.

متوقف‌سازی حملات

حمله ۵۱ درصد یکی از تهدیدهای جدی در حوزه رمزارزها است که می‌تواند تبعات گسترده‌ای برای امنیت شبکه‌ها داشته باشد. این تهدید تنها محدود به عوامل دولتی و حامیان خارجی نیست، بلکه هکرهای مخرب و گروه‌های خرابکار نیز می‌توانند با هدف کنترل و دستکاری در تراکنش‌ها، به این نوع حملات اقدام کنند. توسعه‌دهندگان رمزارزها در حال بررسی مداوم پیشنهادهای فنی و تدوین برنامه‌های توسعه چندساله هستند تا راهکارهای مقابله با این نوع تهدیدات را تقویت کنند. در مقابل، مهاجمان نیز در حال طراحی نقشه‌های جدید برای نفوذ و بهره‌برداری از نقاط ضعف شبکه‌ها هستند.

منبع: کریپتو.نیوز

برچسب ها:
دیدگاه شما
پربازدیدترین‌ها
آخرین اخبار