سرقت میلیون‌ها دلار ارز دیجیتال توسط هکرها

این استارت آپ در اواخر روز چهارشنبه در توییتی اعلام کرد: ما همکاری با مقامات ملی و متخصصان حوضه فارنزیک را برای شناسایی مجرم و بازیابی وجوه دزدیده شده آغاز کرده ایم. هارمونی در یک توئیت بعدی گفت که در حال همکاری با اداره تحقیقات فدرال و چندین شرکت امنیت سایبری برای بررسی این حمله است. 

پل‌های بلاک چین نقش بزرگی در فضای دیفای ایفا می‌کنند و به کاربران، راهی برای انتقال دارایی‌های خود از یک بلاک چین به بلاک چین دیگر ارائه می‌دهند. در مورد Horizon، کاربران می‌توانند توکن‌هایی را از شبکه اتریوم به زنجیره هوشمند Binance ارسال کنند. هارمونی گفت: «این حمله بر پل مجزای بیت کوین تاثیری نداشته است.» 

مانند سایر جنبه‌های DeFi، که هدف آن بازسازی خدمات مالی سنتی مانند وام‌ها و سرمایه‌گذاری‌ها بر روی بلاک چین است، پل‌ها به دلیل آسیب‌پذیری در کد زیربنایی‌شان به هدف اصلی هکرها تبدیل شده‌اند.

سیمینگتون گفت: «برای اینکه افراد از پل‌ها برای جابه‌جایی وجوه خود استفاده کنند، دارایی‌ها روی یک بلاک چین قفل می‌شوند و روی یک بلاک چین باز می‌شوند یا بریده می‌شوند.» «در نتیجه، این خدمات حجم زیادی از دارایی‌های رمزنگاری شده را در خود جای می‌دهند.» 

هارمونی دقیقاً نحوه سرقت وجوه را فاش نکرده است. با این حال، یکی از سرمایه گذاران در آوریل گذشته نگرانی‌هایی را در مورد امنیت پل Horizon خود مطرح کرده بود. 

کیف پول multisig چیست؟

مولتی‌سیگ (Multisig) مخفف مولتی-سیگنیچر به معنای امضای‌چندگانه، نوع خاصی از امضای دیجیتال است که به دو یا چند کاربر این امکان را می‌دهد که سندی را به صورت گروهی امضا کنند. بنابراین، امضای‌چندگانه از طریق ترکیب چندین امضای منحصر به فرد ساخته می‌شود. فن‌آوری مولتی‌سیگ در دنیای ارزهای دیجیتال پدید آمده است، اما اصول آن از مدت‌ها قبل وجود داشته است. 

در زمینه‌ی ارزهای دیجیتال، این فن‌آوری برای اولین بار در سال ۲۰۱۲ به آدرس‌های بیت‌کوین اعمال شد و در نهایت، بعد از یک سال به ایجاد کیف‌پول‌های چندامضایی منجر شد. آدرس‌های چندامضایی را می‌توان در زمینه‌های مختلف به کار برد، اما بیش‌تر کاربردهای آن به نوعی به ملاحظات امنیتی مربوط می‌شوند. در این‌جا ما به بحث درباره‌ی کاربرد این فن‌آوری در کیف‌پول ارزهای دیجیتال می‌پردازیم. 

عملکرد آن به چه صورت است؟ 

می‌توانیم صندوقی را تصور کنیم که دو قفل و دو کلید دارد. آلیس یکی از کلیدها را در اختیار دارد و باب دیگری را. تنها راه باز کردن صندوق آن است که هر دو کلید را هم‌زمان به مسئول آن ارائه کنند، بنابراین هیچ یک نمی‌توانند بدون رضایت دیگری صندوق را باز کنند. 

به زبان ساده، دارایی ذخیره شده در یک نشانی چندامضایی تنها با استفاده از دو یا چند امضا قابل دسترسی خواهد بود. بنابراین، استفاده از کیف‌پول چندامضایی به کاربران امکان ایجاد یک لایه‌ی امنیتی اضافه برای دارایی‌های خود را می‌دهد.

امنیت کیف پول multisig به چه صورت است؟

کاربران می‌توانند با استفاده از کیف‌پول چندامضایی از مشکلات ناشی از گم‌شدن یا سرقت کلید خصوصی پیش‌گیری کنند. به طوری که حتی اگر یکی از کلیدها دچار مشکل شود، دارایی‌ها هنوز از امنیت کافی برخوردار باشند. 

تصور کنید آلیس آدرسی با امضای چندگانه‌ی ۲ از ۳ ایجاد کرده و سپس هر یک از کلیدهای خصوصی را در مکان یا دستگاه (برای مثال تلفن همراه، لپ‌تاپ و تبلت) متفاوتی ذخیره کرده است.

حتی اگر تلفن همراهش دزدیده شود، سارق نمی‌تواند با یکی از ۳ کلید به دارایی‌های وی دسترسی پیدا کند. به طرز مشابه، احتمال موفقیت حملات فیشینگ و آلودگی‌های بدافزاری کم‌تر خواهد بود، زیرا به احتمال زیاد هکر تنها به یک دستگاه یا کلید خصوصی دسترسی خواهد داشت. 

احراز هویت دو مرحله‌ای

آلیس با ایجاد کیف‌پولی چندامضایی که به دو کلید احتیاج دارد، قادر است یک سازوکار احراز هویت دو مرحله‌ای برای دسترسی به دارایی‌های خود ایجاد کند. برای مثال او می‌تواند یکی از کلیدهای خصوصی را در لپ‌تاپ خود و دیگری را در تلفن همراهش (یا حتی بر روی یک تکه کاغذ) ذخیره

با وجود این، به خاطر داشته باشید که استفاده از فن‌آوری امضاهای چندگانه به عنوان احراز هویت دو مرحله‌ای می‌تواند خطرناک باشد، به خصوص اگر به صورت آدرس چندگانه‌ی ۲ از ۲ تنظیم شده باشد. اگر یکی از کلیدها از بین برود، دیگر قادر نخواهید بود به دارایی‌های خود دسترسی پیدا کنید. بنابراین، استفاده از تنظیمات ۲ از ۳ یا یک سرویس ثالث برای احراز هویت دو مرحله‌ای که از کدهای پشتیبانی استفاده می‌کند، گزینه‌ای ایمن‌تری است. در مورد حساب‌های مبادلات بورس، استفاده از احراز هویت گوگل به شدت توصیه می‌شود. 

تراکنش‌های تضمینی

ایجاد کیف‌پولی با امضای چندگانه‌ی ۲ از ۳ امکان انجام تراکنش تضمینی بین دو طرف (آلیس و باب) را فراهم می‌کند. این تراکنش‌ها طرف سومی (چارلی) را نیز شامل می‌شوند که در صورت بروز مشکل، نقش داور معتمد طرفین را برعهده خواهد داشت. 

در چنین سناریوهایی، آلیس ابتدا مبلغی را سپرده‌گذاری می‌کند که بعدا مسدود خواهد شد (هیچ یک از کاربران به تنهایی امکان دسترسی به آن را نخواهند داشت). سپس، اگر باب کالا یا خدمات را مطابق توافق ارائه کند، هر دو (آلیس و باب) می‌توانند از کلید خصوصی خود برای امضا و کامل کردن تراکنش استفاده کنند. 

تنها در صورت بروز اختلاف لازم است چارلی، یا همان داور، ورود پیدا کند. در این مرحله چارلی می‌تواند از کلید خود برای ایجاد امضایی که به تشخیص وی در اختیار باب یا آلیس قرار می‌گیرد، استفاده کند.

امنیت پل Horizon  به چه صورت است؟

امنیت پل Horizon به یک کیف پول «multisig» وابسته است که برای شروع معاملات فقط به دو امضا نیاز دارد. برخی از محققان حدس می‌زنند که این نقض در نتیجه یک «مصالحه کلید خصوصی» بوده است، جایی که هکرها رمز عبور یا رمزهای عبور لازم برای دسترسی به کیف پول رمزنگاری را به دست آورده‌اند. وقتی CNBC با هارمونی تماس گرفت، تیم آن برای پاسخگویی به این اتفاق در دسترس نبود.

این به دنبال یک سری حملات قابل توجه به دیگر پل‌های بلاک چین است. شبکه Ronin که از بازی رمزنگاری Axie Infinity پشتیبانی می‌کند، بیش از ۶۰۰ میلیون دلار را در یک رخنه امنیتی که در ماه مارس رخ داد از دست داد. Wormhole، یکی دیگر از پل‌های محبوب، بیش از ۳۲۰ میلیون دلار در یک هک جداگانه یک ماه قبل از دست داد. 

این سرقت اخیراً به جریان اخبار منفی در حوزه ارزهای دیجیتال افزوده است. وام دهندگان Crypto Celsius و Babel Finance پس از کاهش شدید ارزش دارایی‌هایشان که منجر به بحران نقدینگی شد، برداشت‌ها را متوقف کردند.

منبع : CNBC