مشکلات Bridge در بلاک‌ چین‌ها هدف بسیاری از هکرها است

به‌گزارش Wired، پل‌های بلاک چین که به‌عنوان شبکه نیز شناخته می‌شوند، برنامه‌هایی هستند که به افراد اجازه می‌دهند دارایی‌های دیجیتالی را از بلاک چینی به بلاک چین دیگر منتقل کنند. ارزهای دیجیتال معمولاً نمی‌توانند مستقیماً با یکدیگر تعامل داشته باشند و به‌عنوان مثال، شما نمی‌توانید با استفاده از دوج کوین روی شبکه‌ی بیت کوین تراکنش انجام دهید. بنابراین، پل‌ها به مکانیزمی حیاتی و تقریباً به‌عنوان حلقه‌ی گم‌شده‌ در اقتصاد ارزهای دیجیتال تبدیل شده‌اند.

پل‌های بلاک چین ارزهای دیجیتال را برای تبدیل از نوعی به نوع دیگر رپد (Wraped) می‌کنند؛ پس اگر ارز دیجیتالی مثل بیت کوین (BTC) را به پل هدایت کنید، پل مدنظر آن را به رپد بیت کوین (WBTC) تبدیل خواهد کرد. این فرایند مثل کارت هدیه یا چکی است که ارزش ذخیره‌شده را در قالب اصلی جایگزین و انعطاف‌پذیر نشان می‌دهد. پل‌ها به ذخیره‌ای از سکه‌های ارزهای دیجیتال برای پذیره‌نویسی همه‌ی آن سکه‌های رپد‌شده نیاز دارند و این انبار هدف اصلی هکرها است.

مهاجمان علاوه‌بر سرقت Ronin، در اواخر ژانویه حدود ۸۰ میلیون دلار ارز دیجیتال از پل کیوبیت و در اوایل فوریه ۳۲۰ میلیون دلار از پل Wormhole و چند روز پس از آن ۴٫۲ میلیون دلار از پل Meter.io دزدیده‌اند. در یکی دیگر از سرقت‌ها ۶۱۱ میلیون دلار ارز دیجیتال به‌دست یکی از مهاجمان افتاد؛ اما وی چند روز بعد همه‌ی وجوه را پس داد. هکرها در تمام این حمله‌ها از آسیب‌پذیری‌های نرم‌افزاری برای تخلیه‌ی سرمایه‌ سوءاستفاده کردند؛ اما حمله به پل Ronin ضعف متفاوتی داشت.

Ronin را شرکت ویتنامی Sky Mavis توسعه داده است؛ شرکتی که بازی ویدئویی محبوب مبتنی‌بر NFT اکسی‌ اینفینیتی را ساخته است. درباره‌ی هک پل این شبکه، به‌نظر می‌رسد مهاجمان از مهندسی اجتماعی برای دسترسی به کلید‌های رمزنگاری خصوصی استفاده‌شده برای تأیید تراکنش‌های شبکه استفاده کرده‌اند. روشی که این کلید‌ها برای اعتبارسنجی تراکنش‌ها از آن استفاده می‌کردند، خیلی دقیق نبود و همین مسئله به مهاجمان اجازه داد برداشت‌های خود را تأیید کنند.

در روز حمله، رونین نقص مدنظر را کشف کرد؛ اما گره‌های اعتبارسنجی پلتفرم در ۲۳ مارس درمعرض خطر قرار گرفتند و مهاجمان ۱۷۳,۶۰۰ اتریوم و ۲۵٫۵ میلیون USDC دزدیدند. پل رونین از آن زمان ازکار افتاده است و کاربران نمی‌توانند تراکنش‌های خود را روی این پلتفرم انجام دهند.

شاید نقض Ronin نشان‌دهنده‌ی تکامل روش‌های هک پل‌های بلاک چین باشد؛ زیرا حمله به این شبکه بر روش مهندسی اجتماعی سنتی متمرکز بوده و از مسائل طراحی امنیتی به‌جای آسیب‌پذیری نرم‌افزاری خاص استفاده شده است. در سایر حمله‌ها، بیشتر از اشکالات موجود در نحو‌ه‌ی اجرای پل‌ها و قراردادهای هوشمند استفاده می‌شود؛ اما مهندسی اجتماعی برای تصاحب حساب‌های هدف ممتاز، استراتژی مهاجم کلاسیکی است که به‌طور گسترده ازجمله در امورمالی غیرمتمرکز استفاده می‌شود.

پلتفرم‌های ارزهای دیجیتال و به‌طورکلی جنبش‌ مالی غیرمتمرکز با پیشرفت و بلوغ فناوری‌های زیربنایی، با مشکلات امنیتی مواجه شده‌اند و خدماتی که برای تشکیل ستون فقرات این اکوسیستم مالی جدید با یکدیگر ادغام می‌شوند، تجربه‌ی آزمایشی خطرناکی است؛ زیرا هجوم طلا در ارزهای دیجیتال در حال وقوع است. حملات به پل‌های بلاک‌ چین ممکن است شبیه هک صرافی‌های ارز دیجیتال باشد؛ ولی در پلتفرم‌های پرمخاطره که مقادیر انبوهی از ارزش را ذخیره‌ می‌کنند، همان مسائل را هدف قرار می‌دهد.