صفر تا صد خطر حملات سایبری برای رمزارزها
اقتصاد 100- صادق رضایی، متخصص فناوریهای مالی نوین، رمزارزها و بلاکچین در گفتوگویی به سوالاتی درباره حملات Sybil Attack در فضای پروژههای امورمالی غیرمتمرکز پاسخ داده است.
در مورد اینکه چرا بحث Proof of humanity تا این حد در دنیا بحث مهمی شده است؟
ما همیشه در بازارهای مالی با موضوعات مختلفی پیرامون تخلفات مالی مواجه بودهایم. دو مورد از مهمترین قوانینی که در دنیا همواره برای مقابله با موضوع تخلفات مالی مطرح میشود، قوانین ضد پولشویی یا Anti Money Laundering و قوانین مقابله با تأمین مالی تروریسم یا Counter-terrorist financing (CTF) است. در کشور خودمان هم معمولاً این دو مورد را زیاد میشنویم.
مشکل رعایت این قوانین در دنیای امورمالی متمرکز، با طیکردن پروسه احراز هویت مشتری یا KYC حل میشود. پروسه KYC به شکل گستردهای با موضوع هویت شهروندی افراد درگیر میشود. این به چه معناست؟ یعنی ما به هر شکلی که بخواهیم پروسه KYC را انجام دهیم، چه بهصورت حضوری و چه غیرحضوری، نیازمند اسناد هویتی، مانند کارتملی هستیم. مثلاً وقتی شما برای افتتاح حساب به بانک مراجعه میکنید، با ارائه کارت ملی و شناسنامه، اطلاعات هویتی خود را به تأیید بانک میرسانید. در مورد نئوبانکها این پروسه صرفاً آسانتر شده است؛ اما درنهایت بازهم با بررسی تصویر چهره شما و تطابق آن با تصویر کارت ملی، هویتتان مورد تأیید قرار میگیرد. پس نتیجه میگیریم راهحل KYC به هر شکلی که انجام شود نهایتاً بازهم نیازمند اطلاعات شهروندی کاربران است.
در فضای امورمالی غیرمتمرکز ما با سه مقوله که همواره با فضای متمرکز اختلاف دارد روبرو هستیم. یعنی همانطور که DeFi با CeFi مسئله دارد، ما در فضای KYC هم همین چالشها را داریم. در واقع پروسه KYC متمرکز سه مشکل برای ما به وجود میآورد: اول مشکلات ریگولاتوری و تغییر قوانین، دوم حریم خصوصی و سوم مشکل مقرونبهصرفه نبودن. در حال حاضر شما تمایل به افتتاح حساب در هر کدام از بانکها داشته باشید باید بهصورت جداگانه فرایند احراز هویت را سپری کنید. به عبارتی این فرایند باتجربه کاربری خوب مشتریان از سرویسدهنده در تضاد است. حالا تصور کنید وقتی این موضوع با مقولهی حریم خصوصی هم درگیر شود، اوضاع بهمراتب بحرانیتر است. همانطور که ما تصور میکنیم دنیای امورمالی متمرکز به پایان عصر خود رسیده و ما وارد دنیای جدید امورمالی غیرمتمرکز شدهایم. اینجا هم موضوع روش احراز هویتی که بتواند سه اصل آزادی، شفافیت و حریم خصوصی را رعایت کند دغدغهی امروز جهان است.
از طرف دیگر در فضای امورمالی غیرمتمرکز ما با مشتری سروکار داریم. این مشتری ما یک کلید عمومی چهل و دو کاراکتری است. شما وقتی یک کیف پول رمزارزی میسازید تا بتوانید از یک صرافی غیرمتمرکز استفاده کنید. در واقع شما یک ولت هستید که اسم و فامیل ندارد و نیاز به OTP هم ندارد. شما یک کلید عمومی دارید که با استفاده از آن به صرافی متصل شده و از ابزارهای مالی مختلف استفاده میکنید. در نتیجه اصلاً اطلاعات خصوصی شما به پلتفرم ارائه نشده است که این اطلاعات خصوصی مبنای احراز هویت شما قرار بگیرید. خب اینکه شما اطلاعات هویتی خودتان را به یک پلتفرم مالی غیرمتمرکز مانند یک DEX یا پلتفرم وامدهی ارائه نمیکنید از مزایای آزادی، شفافیت و حریم خصوصی بهرهمند میشوید؛ ولی همزمان احتمال جدید دیگری وجود دارد. این خطر ناشی از عدم ایجاد تمایز میان یک بات و انسان است. یعنی هویت انسانی شما برای پلتفرم قابلتشخیص نیست. پس باوجوداینکه این سه اصل برای دنیای نوین ما ایدهآل هستند؛ ولی به این طریق سامانهها مستعد حملات سایبری مختلفی قرار میگیرند. مهمترین حملهای که امروزه در تمام فضای دیفای در سطح دنیا ترند شده و موردبحث و گفتگو قرار میگیرد، Sybil Attack است.
Sybil Attack دقیقاً چیست؟
این حمله یکی از پراستفادهترین و خطرناکترین روشهای ایجاد اختلال و مهندسی اجتماعی است. به بیان ساده به رفتار همزمان رباتهای زیاد بهصورت برنامهریزی شده، سیبیل اتک میگویند. طی این حمله باتها سعی میکنند رفتاری منطقی و قانونی از خود نشان دهند درحالیکه صرفاً رباتهایی مرتبط با یکدیگرند. طی این حمله باتها سعی میکنند با حملهی همزمان زیرساختهای امنیتی یک سازمان، شرکت یا پلتفرم مالی را از کار بیندازند. نام Sybil Attack از اسم شخصیتی به اسم سیبیل که دچار اختلال هویتی بوده برداشته شده است و کتاب جالبی هم در این حوزه به چاپ رسیده. اولینبار محققان مایکروسافت در مورد این حمله دست به تحقیق و بررسی گسترده زدند. این نوع حمله خطر خیلی بزرگی محسوب میشود. جایی که ما نتوانیم تفاوت رفتار یک بات و یک انسان را از همدیگر تشخیص بدهیم مستعد حمله Sybil خواهیم بود.
خطرات این حمله برای سازمانها، شرکتها و استارتاپهای خصوصاً حوزه امورمالی غیرمتمرکز چیست؟
با این حمله یکی از اولین چیزیهایی که از دست میدهید بودجه شما برای امور بازاریابی یا مارکتینگ است. فرض کنید شما سعی میکنید کاربران خود را افزایش دهید. همانطور که اشاره کردیم در دنیای دیفای مشتری ما یکرشته کد ۴۲ کاراکتری است و اطلاعات دیگری در موردش نمیدانیم. حالا فرض بکنید که یک مزرعه از باتها هفتاد، هشتاد درصد از مشتریان پلتفرم شما را تشکیل دهند. در این حالت شما هیچوقت متوجه این مشکل نمیشوید؛ چراکه در فضای دیفای نه IP و نه اطلاعات شخصی کاربر را جمعآوری کردهاید.
چرا پروژههای دیفای خودشان را در معرض این خطر قرار میدهند؟
به دلیل پایبندی ما به سه اصل آزادی، شفافیت و حفظ حریم خصوصی در پروژههای دیفای یا همان امورمالی غیرمتمرکز نمیتوانیم به این خطقرمزها خدشهای وارد کنیم. اما از طرفی ممکن است خطر سیبیل اتک ما را تهدید کند.
حمله Sybil چه مشکلاتی برای پروژههای دیفای به وجود میآورد؟
همانطور که اشاره کردم کوچکترین مشکلی که برای ما به وجود میآید خطر ازدسترفتن هزینههای مارکتینگ است. اگر ما برای مزرعهای از رباتها تبلیغ کنیم، بخش عمدهای از بودجه تبلیغات ما برای یک مهاجم دور ریخته میشود.
مشکل اساسی دوم تحتالشعاع قرارگرفتن اصل دموکراسی و اهمیت آرا در این پروژهها است. یعنی در پروژههای Decentralized یا غیرمتمرکز که جهتگیری پروژه با فرایند رأیدهی کاربران از طریق ساختارهای Decentralized Autonomous Organization یا بهاختصار DAO مشخص میشود، یک نفر میتواند برای آینده تمام کاربران تصمیمگیری کند.
لطفاً مثالهایی از این حملات در دنیا بزنید.
اتفاقاً در این زمینه با دو مثال خیلی معروف از Sybil Attack که ارتباطی با دنیای کریپتوکارنسی و بلاکچین ندارند روبرو هستیم. مورد اول انتخابات سال ۲۰۱۶ امریکاست. هنوز هم دولت امریکا، دولت روسیه را متهم به دستکاری در انتخابات میکند. به اعتقاد دولت آمریکا، کشور روسیه حسابهای با تشکیل اجتماعی از حسابهای کاربری فیک از باتها، سعی بر تأثیرگذاری در نتیجه انتخابات با مهندسی اجتماعی کرده است. مقامات آمریکایی معتقدند دولت روسیه با استفاده از این رباتها، اقدام به تولید محتوای متنی و تصویری انبوهی کرده تا کاندیدای موردنظر خود را بر مسند قدرت بنشاند. در واقع به بیان دیگر باتها با شهروند جلوهدادن خود در شبکههای اجتماعی، سعی بر تأثیرگذاری بر نتیجه انتخاب داشتهاند. درنتیجه زمانی که اتاقهای فکر و لابیها اقدام به افکارسنجی میکردند، با نتایج اشتباه روبرو میشدند.
مورد دوم معاملهی خرید توییتر توسط ایلان ماسک بود. به ادعای ایلان ماسک حدود بیست درصد کل حسابهای کاربری توییتر را رباتها تشکیل دادهاند. بیست درصد کل حسابهای کاربری توییتر عدد بسیار بزرگی است. زمانی که این حسابها با یکدیگر در جهت هدف خاصی متحد شوند میتوانند فضای افکار عمومی را به سمت دلخواه خود جهتدهی کنند.
آیا شبکههای بلاکچینی که زیرساخت پروژههای دیفای را تشکیل میدهند، مستعد این حمله هستند؟
بله. در حوزه امور مالی غیرمتمرکز هم با این حملات مواجه هستیم. اگر شما بتوانید کنترل پنجاه بهعلاوه یک درصد از شبکه را به دست بگیرید، توانایی تغییر دادههای ثبت شده در تمامی بلاکها را خواهید داشت. در این صورت دادههای غلط ارسال شده مورد تأیید کل شبکه قرار میگیرد و تمام نودهای دیگر که حداقل تسلط بر شبکه را دارند، دیتای شما را بهعنوان دیتای اصلی خواهند پذیرفت. خب این همیشه شبکههای بلاکچین را مستعد حمله از سوی باتها میکند.
اگر بخواهیم به طور ساده بگوییم چرا پروژههای غیرمتمرکز بلاکچینی در حوزه دیفای، مستعد این حمله هستند باید اشاره کنیم: ما بهعنوان عضوی از جامعهی ارزهای دیجیتال بسیار آرمانگرا هستیم. یعنی همیشه سه اصل آزادی، شفافیت و حریم خصوصی را اساس تصمیمهایمان در توسعه محصولات قرار میدهیم. در نتیجه ازآنجاییکه میدانیم Central KYC، یعنی همان کاری که بانکها برای احراز هویت ما انجام میدهند بسیار مضر است، پس به سراغ این روش نمیرویم. البته از آن طرف بوم افتادن و هیچ کاری در جهت رفع این مشکل در فضای غیرمتمرکز نکردن نیز مسئلهی خیلی خطرناکتری است.
در دنیای دیفای تابهحال با حملات Sybil Attack روبرو شدهایم؟
حتماً بله. در مثال اتریوم و اتریوم کلاسیک هم قبلاً این مشکل به وجود آمده است. بعد از سرقت میلیونها دلار درنهایت جامعه اتریوم بر خلاف مانیفست خود که کد را اصل و محور تصمیمات میدانست مجبور به بازگشت سرمایههای ازدسترفته از طریق هارد فورک شد. افرادی که به مانیفست پایبند بودند در زنجیره قبلی باقیمانده و افرادی که تمایل به برگشت دارایی خود در قالب رمزارزی جدید بودند به شبکه جدید مهاجرت کردند. در نتیجه این خطر خصوصاً در پروژههای نوپا بسیار جدی است. ببینید؛ مثلاً مدتی پیش پروژه zk Sync که از پروژههای جذاب لایه دوم اتریوم محسوب میشود اعلام کرد که یک فارم بزرگ از باتها را کشف کرده و در این مزرعه 21000 هزار ولت توسط یک نفر مدیریت میشدند. خب این یعنی شما هر سیاستی برای شبکه اتخاذ کنید، اعم از تصمیمگیری بهوسیله DAO یا برگزاری طرح ایردراپ برای تشویق جامعه کاربران و… در عمل داخل تلهی این باتها افتادهاید. پس سیبل اتک موضوع مهمی است.
باتوجهبه به اهمیت این حملات، چه راهحلی برای جلوگیری از آن در فضای دیفای وجود دارد؟
چون فرایند احراز هویت متمرکز با موضوع هویت شهروندی ما درگیر میشود و ما نمیخواهیم برای احراز هویت خودمان، در هر جایی، از کارت شناسایی، پاسپورت و… استفاده کنیم، نیازمند روشهای نوین دیگری در دنیای دیفای هستیم. برای ما در دنیای امور مالی غیرمتمرکز این اهمیت دارد که صرفاً بدانیم شما انسان هستید. یعنی اگر انسان هستید، پس اجازه دارید از خدمت مالی ما استفاده کنید. این تفکر کثرتگرا در دنیای غیرمتمرکز بلاکچین برای ما بسیار حائز اهمیت است. درحالیکه در فضای CeFi یا امور مالی متمرکز اگر شما شهروند یک کشور باشید میتوانید از خدمت مالی آن کشور یا از خدمات مالی بینالمللی استفاده کنید. تأکید میکنم برای ما تنها هویت انسانی شما اهمیت دارد و اگر انسان باشید نه ربات، حق استفاده از خدمات مالی را خواهید داشت.
اینجاست که راهحل و موضوع جدید Proof of personhood یا اثبات شخصیت انسانی بهجای Know Your Customer یا احراز هویت مشتری مطرح میشود. در واقع فقط کافی است ثابت کنید که شما انسانید نه بات، همین کافی است و باقی اطلاعات شما بدرد ما نمیخورد. موضوع Proof of personhood در حال حاضر بسیار ترند شده است.
راهحل Proof of Personhood چطور مشکل احراز هویت متمرکز را برطرف میکند؟
از نظر من بهصورت عمومی دو مسیر عمده برای Proof of personhood در فضای غیرمتمرکز وجود دارد. روش اول مسیر Biometrics و روش دوم مسیر Social Graph است. البته راهحلهای دیگری هم برای حل این مشکل آزموده شده ولی عمده چیزی که الان در حال حاضر در جهان مشاهده میکنیم، حول همین دو مسیر خلاصه میشود.
پروژههایی که به مسئله اثبات شخصیت انسانی از سمت بایو متریک رفتهاند خود به دو دستهی بزرگ تقسیم میشوند. دسته اول قبل از رمزارز WorldCoin و ورود آقای سم آلتمن مؤسس ChatGPT به این بازار، و دسته دوم پروژههای بعد از ورود ایشان به این حوزه است. در دسته اول ما با دو پروژه خیلی معروف به نامهای Proof of Humanity و Idena روبرو هستیم. این دو پروژه با استفاده از روشهای بایو متریک مثل ضبط ویدئو احراز هویت و با کمک AI یا همان هوش مصنوعی، شخصیت انسانی شما را اثبات میکنند. امل مشکل اصلی در این راهحل، نیاز مجدد این پروژهها به کارت شناسایی شما بود. پس هنوز مشکل بهصورت کامل رفع نشده. اینجا همان نقطهای است که بزرگی انقلابی که شبکه بلاکچین Word Coin در حوزه پروژههای اثبات شخصیت انسانی بر مبنای اطلاعات بیولوژیکی به وجود آورد مشخص میشود.
این پروژه مدعی شد توانایی اثبات هویت انسانی کاربران را با استفاده از دادههای بیومتریک، بدون جمعآوری و ذخیره دادهها دارد. در واقع دو شرط پروژه WorldCoin برای اطمینانبخشی به کاربران و پایبندی به آرمانهای دیفای این بود: اولاً متمرکز نخواهم بود و ثانیاً دادههای شما را جمعآوری نمیکنم.
برای تحقق این اهداف، وردکوین از 2 ابزار تکنولوژیک بسیار مهم در دنیای غیرمتمرکز استفاده میکند. مورد اول زیرساخت کلید عمومی یا PKI و مورد دوم که اثبات دانش صفر یا ZKproof است.
ارسال نظر