مشکلات امنیتی اتریوم و راه حل های اجرایی برای رفع این موانع

raanaasgari

6 ay ago
19:34

مشکلات امنیتی اتریوم و راه حل های اجرایی برای رفع این موانع مشکلات امنیتی اتریوم و راه حل های اجرایی برای رفع این موانع مشکلات امنیتی اتریوم و راه حل های اجرایی برای رفع این موانع

چارچوب قراردادهای هوشمند اتریوم (smart contract) به روز شده تا با نگرانی‌های امنیتی مقابله کند اتریوم یکی از پرکاربردترین شبکه‌های بلاکچین در سراسر جهان است. یافته‌های اخیر از CoinMarketCap نشان می‌دهد که اتریوم بیشترین تعداد توسعه‌دهندگان را دارد که ۱۶٪ از کل توسعه‌دهندگان بخش رمزارز را تشکیل می‌دهد. متأسفانه، شبکه اتریوم نیز به طور بسیار قابل توجهی در معرض استفاده‌های امنیتی قرار گرفته است. شرکت امنیتی بلاکچین Beosin در گزارش “امنیتی جهانی وب ۳” خود اعلام کرد که سرمایه‌گذاران رمزارز در فصل سوم امسال به ارزش ۲۸۲.۹۶ میلیون دلار به دلیل دزدی از پروژه‌ها (rug pulls) دسترسی به سرمایه خود را از دست دادند. گزارش به دلیلهای دیگر نیز ۶۶.۱۵ میلیون دلار برای طرح‌های فیشینگ در همان دوره زمانی را نشان می‌دهد. بر اساس یافته‌های Beosin، بلاکچین اتریوم بیشترین خسارت و حوادث کلی را تجربه کرده است.

گفتگو چارلز نویل مدیر برنامه (EEA) با Cryptonews

چارلز نویل، مدیر برنامه فنی اتحادیه اتریوم انترپرایز (EEA) – یک سازمانی که بر اهداف استفاده از اتریوم برای نرم‌افزار متن‌باز مبتنی بر استاندارد عمل می‌کند – به Cryptonews گفت که مشکلات شناخته‌شده در اتریوم، بر امنیت اکوسیستم تأثیر می‌گذارد. نویل گفته است: “مشکل بیشتر به نظر می‌رسد این است که کامپایلر Solidity – که برای تولید بایت کد و دیگر نتایج مورد نیاز برای استقرار قراردادهای هوشمند استفاده می‌شود – دارای باگ‌ها است. با تکامل کامپایلر، باگ‌های قدیمی رفع می‌شوند، اما باگ‌های جدید هم ایجاد می‌شوند”.

برای رفع این و چالش‌های دیگر، EEA گروه کاری سطوح امنیتی EthTrust را در نوامبر ۲۰۲۰ تأسیس کرد. در اوت ۲۰۲۲، گروه انتشار EthTrust مشخصه سطوح امنیتی v1 را منتشر کرد. این مشخصه از آن زمان به عنوان یک چارچوب برای توسعه‌دهندگان، سازمان‌ها و مشتریانی که از کد قراردادهای هوشمند نوشته شده با Solidity، زبان برنامه‌نویسی اصلی اتریوم، استفاده می‌کنند و آن را مورد بررسی قرار می‌دهند، خدمت کرده است.

اما با پیشرفت شبکه اتریوم، نویل اشاره کرد که مشخصه‌های سطوح امنیتی EthTrust نیازمند به‌روزرسانی برای تمرکز توسعه‌های امنیتی جدید و پیشرفت‌های مستمر هستند. او گفت: “به‌عنوان مثال، مشخصه نسخه ۱ تا سال ۲۰۲۲ مشکلاتی را پوشش داده است، اما بعد از انتشار نسخه ۱ باگ‌های جدیدی کشف شدند.”

با این حال، نویل اعلام کرد که امروز EEA مشخصه سطوح امنیتی EthTrust نسخه ۲.۰ را منتشر کرده است. او توضیح داد که مشخصه سطوح امنیتی EthTrust v2 به مسائلی مانند باگ‌های جدید کشف شده در کامپایلر Solidity، رفع خطاهای گردش، رفتار محکم‌تر در برابر حملات reentrancy فقط برای خواندن و موارد دیگر پرداخته است.

به‌روزرسانی های اتریوم را جدی بگیرید!

به‌روزرسانی‌ها بسیار حائز اهمیت است، زیرا اکوسیستم اتریوم در گذشته به دلیل این مسائل خاص به استفاده‌های امنیتی دچار آسیب شده است. به‌عنوان مثال، مایکل لولن، رئیس معماری راهکارهای OpenZeppelin – یک شرکت امنیتی که یک چارچوب متن‌باز برای امن‌سازی قراردادهای هوشمند ساخته است – به Cryptonews گفت که هک “The DAO” به دلیل reentrancy اتفاق افتاد. او گفت: “هک DAO اولین هک بزرگ در اتریوم بود که در سال ۲۰۱۶ اتفاق افتاد و همه را به بیشتر فکر درباره امنیت واداشت. این یک مورد کلاسیک از reentrancy بود”. هک DAO منجر به از دست دادن ۳.۶۴ میلیون دلار اتریوم شد.

نویل توضیح داد که reentrancy وقتی اتفاق می‌افتد که یک توسعه‌دهنده قرارداد هوشمند را شروع می‌کند و سپس در حالی که کد در حال اجرا است، برنامه را برای انجام یک کار متفاوت درخواست می‌دهد.

آیا اشتباهات استاندارد صنعتی اتریوم به طور گسترده ای پذیرفته خواهد شد؟

از جدیت موارد مشکلات پشت این حوادث آگاه، لولن به این نکته اشاره کرد که OpenZeppelin از چارچوب سطوح امنیتی EthTrust نسخه ۱ به منظور پیشگیری از وقوع آسیب‌پذیری‌های امنیتی استفاده می‌کند. او گفت: “ما از این چارچوب به عنوان یک ارزیابی پیش از آزمایش برای بسیاری از مشتریانمان استفاده می‌کنیم. این امکان را به مشتریان می‌دهد که بدانند ما در طول فرآیند آزمایش، بررسی برخی از موارد خاص را انجام می‌دهیم.”
این استاندارد صنعتی به نظر می‌رسد مفید باشد، زیرا یکی از مشتریان ناشناس OpenZeppelin به Cryptonews اعلام کرد که EthTrust آن چیزی بود که شرکت به آن نیاز داشت.

اما نویل اظهار داشت که در حالی که بازخوردها برای استاندارد EthTrust نسخه ۱ مثبت بوده‌اند، همچنان دشوار است که توسعه‌دهندگان و سازمان‌ها اطلاع داشته باشند که چنین استانداردی وجود دارد. او همچنین توضیح داد که این چارچوب بیشترین کارایی را در پروژه‌های جدیدتر Ethereum دارد.

با این حال، سوال این است که آیا چنین استاندارد صنعتی از این پس به جلوگیری از آسیب‌پذیری‌های امنیتی در Ethereum کمک خواهد کرد یا خیر. جان وینگیت، بنیانگذار و مدیر عامل بانک سوشیال – یک شرکت خدمات مالی که از فناوری بلاکچین استفاده می‌کند – به Cryptonews گفت که طبیعت متغیر استانداردهای صنعتی مشکل ساز است. وی گفت: “استانداردها همیشه در حال تغییر هستند؛ زبان‌ها همیشه روش‌ها، متغیرها، انواع داده و اشیاء را کاهش می‌دهند.”

در این راستا، نویل گفت که نسخه ۳ مشخصات EthTrust در حال حاضر در حال تدوین است. او گفت: “ما در فاصله حدود ۱۶ ماه بین انتشارات نسخه جدید هستیم. فکر می‌کنم که بازبینی‌های مکرر هر ۱۲ تا ۱۸ ماه، کافی است تا از از دست رفتن اطلاعات جلوگیری کنیم.”

با این حال، وینگیت معتقد است که آزمایشات تکرارپذیر و خودکار تنها راه برای اطمینان از این است که برنامه‌های کاربردی غیرمتمرکز به بهترین روش‌ها که ممکن است از آسیب‌پذیری‌های امنیتی جلوگیری کنند، پایبند باشند.