مشکلات کلیدی امنیت وب 3.0

وب 3.0 به عنوان یک شبکه غیرمتمرکز و نوپا شناخته می شود که در مراحل اولیه توسعه و تکامل خود قرار دارد. هر فناوری جدید قطعا در ابتدای شکل گیری با مشکلات و مسائلی مواجه خواهد شد. یکی از مشکلات وب 3.0 امنیت است. مسائل کلیدی امنیت وب 3.0 و راه های مقابله با آنها موضوع این مقاله است. تا آخر با ما باشید

معرفی

وب 3.0 یک اینترنت غیرمتمرکز است و شامل استفاده از پروتکل های غیرمتمرکز است که بر روی بلاک چین پیاده سازی شده و توسط ماشین های مجازی مدیریت می شوند. این برنامه های غیرمتمرکز قراردادهای هوشمند نامیده می شوند.

استفاده از وب 3.0 به طور گسترده با پول (به شکل ارزهای دیجیتال) و از طریق بازارهای DeFi و NFT مرتبط است. برنامه های مالی وب 3.0 در حال حاضر در بازارهای غیرمتمرکز کلیدی هستند. از این گذشته، برای هر معامله ای که انجام می دهید باید مقداری ارز دیجیتال خرج کنید. این پرداخت در ازای خدمات پردازش تراکنش شما به ماینرها و اعتباردهندگان انجام می شود.

اما وقتی سیستمی دارید که برای رسیدگی به جریان نقدی طراحی شده است، آن سیستم باید برای ایمن بودن ساخته شود. اما وب 3.0 در حال حاضر در مراحل ابتدایی خود قرار دارد و بیشتر شبیه یک فناوری آزمایشی به نظر می رسد تا یک فناوری بی عیب و نقص و سالم، و همانطور که امروزه در اکثر فناوری های دیجیتال جدید رایج است، یکی از مشکلات اصلی بدر در این زمینه است. امنیت وب 3.0 F. با این حال، قبلاً سرمایه ریسک قابل توجهی را دریافت کرده است که توسط پاداش های جذاب جذب شده است.

هر سرمایه گذاری فناوری جدید با مقدار زیادی پول نقد و تعدادی حفره اصلاح نشده به طور طبیعی به مکانی جذاب برای هکرهایی تبدیل می شود که به دنبال بهره برداری از آن برای منافع مالی خود هستند. علاوه بر این، ماهیت غیرمتمرکز وب 3.0 و عدم نیاز به ارائه اطلاعات شخصی شما، آن را برای مجرمان سایبری جذاب تر می کند. اینجاست که بحث امنیت وب 3.0 اهمیت آن را نشان می دهد.

اندازه سرمایه گذاری بهترین شاخص برای پتانسیل صنعت است. بنابراین، به جرات می توان گفت که وب 3.0 دارای پتانسیل های زیادی است که احتمالاً برخی از آنها استفاده نشده باقی می مانند. برای تشویق توسعه آن، استانداردهای امنیتی باید افزایش یابد.

اصلی ترین تهدیدات امنیتی DeFi چیست؟

امنیت وب 3.0 و تهدیدات موجود مرتبط با حملات سایبری در وب 3.0 را می توان به دو گروه آسیب پذیری در کد و آسیب پذیری در منطق تجاری قراردادهای هوشمند تقسیم کرد. گروه اول شامل اکسپلویت های ماشین مجازی، اضافه بار ممپول و حملات ورود مجدد است. آنها بر اساس عملکرد توابع و ترتیب اجرای دستورات آنها ساخته شده اند.

در اصل، این سوءاستفاده‌ها به نرم‌افزار غیرمتمرکز به معنای سنتی آسیب نمی‌رسانند، همانطور که با حملات علیه زیرساخت‌های متمرکز فناوری اطلاعات و رایانه‌های شخصی آسیب می‌رسانند. آنها به سادگی از فرصت هایی که برنامه نویسان به طور ناخواسته فراهم می کنند استفاده می کنند.

این مشکلات می تواند به روش های مختلف رخ دهد. اغلب، توسعه‌دهندگان از پایه کد سایر پروژه‌های منبع باز استفاده می‌کنند، اما در عین حال تغییراتی در آن ایجاد می‌کنند که ممکن است جزئی به نظر برسد و بر نحوه عملکرد قرارداد هوشمند تأثیری نداشته باشد. با این حال، ممکن است در نهایت اشتباه باشند، زیرا این اصلاحات ممکن است مکانیسم های کاری قرارداد هوشمند را به روش های پیش بینی نشده تحت تاثیر قرار دهد.

حملات ورود مجدد به عنوان یکی از انواع کلاسیک حملات پروتکل غیرمتمرکز در تاریخچه بلاک چین ثبت شده است. آنها به اصطلاح تابع فراخوانی و توابع موجود در قرارداد را با استفاده از ترازهای آن هدف قرار می دهند. این توابع در قراردادهای هوشمند پروتکل‌های وام‌دهی استفاده می‌شوند، زیرا برای نظارت بر وثیقه کاربر در پلتفرم و محاسبه میزان وجوهی که می‌توانند وام بگیرند ضروری هستند.

هنگامی که کاربر وجوهی را قرض می‌کند، به دنبال یک تابع تماس می‌گردد که موجودی کاربر را در قرارداد بررسی می‌کند و مقدار مناسب پول را به عنوان وام صادر می‌کند. این فرآیند شامل سه عملیات است: بررسی موجودی کاربر، محاسبه موجودی کاربر پس از صدور وام و صدور وام.

بسته به ترتیبی که این عملیات در تابع بازگشت انجام می شود، ممکن است راهی برای فریب دادن سیستم و گرفتن نقدینگی بیشتر از آنچه وثیقه شما اجازه می دهد وجود داشته باشد.

ابتدا موجودی بررسی می شود و سپس وام صادر می شود یا مانده اصلاح شده محاسبه می شود. اگر وام ابتدا صادر شود و در پایان دنباله کد دارای عملکرد بازگشتی باشد، این به کاربر اجازه می‌دهد تا فرآیند استخراج و اضافه شدن به بلاک چین را دوباره شروع کند.

به عنوان مثال، شما 200 دلار وثیقه دارید و در ازای 100 دلار وثیقه، 100 دلار وام می گیرید. اگر وام ابتدا صادر شده است و قبل از نهایی شدن اثرات اقدامات شما بر روی بلاک چین، درخواست تماس مجدد داشته باشید، می توانید وام دیگری با همان مبلغ وثیقه دریافت کنید. این روش می تواند چندین بار تکرار شود و به کاربر امکان می دهد نقدینگی قرارداد را تخلیه کند.

نحوه محافظت از قرارداد در برابر این تهدید سایبری در تاپیک است امنیت وب 3.0به آن مدل چک-اثر-تعامل می گویند. این الگو قبل از صدور وجوه، محاسبه موجودی کاربر را در قرارداد قرار می دهد. با این حال، این الگوی ساده برای حملات ورود مجدد به خود تابع برگشت کار می کند، اما دفاع در برابر حملات ورود مجدد با عملکرد متقابل دشوارتر است.

اما حملات ورود مجدد با طراحی چارچوب های جدید برای حذف آنها کمتر منظم می شوند. امروزه، هکرهای DeFi تلاش های خود را بیشتر بر روی بهره برداری از ناهماهنگی ها در منطق تجاری قراردادهای هوشمند متمرکز می کنند و اغلب از پروتکل های متعدد برای سرقت وجوه استفاده می کنند. چنین حملاتی اغلب شامل خدمات وام سریع است که به شما امکان می دهد بدون ارائه وثیقه وام بگیرید.

یکی از بزرگترین حملات وام فلش در دسامبر 2021 علیه Cream Finance انجام شد که منجر به سرقت 130 میلیون دلار ارز دیجیتال و توکن شد. دو آدرس در این حمله دخیل بودند که از پلتفرم‌های وام فلش مانند Merdao، Ave، Yearn.finance و Curve برای برداشت وجوه از Cream Finance استفاده کردند.

در نهایت، مهاجم از یک حفره در تخمین Cream's PriceOracleProxy از قیمت CryUSD، استیبل کوین USD Cream استفاده کرد.

PriceOracleProxy، cryUSD را بر اساس قیمت استیبل کوین yUSDVault (stablecoin Yearn.finance) ذخیره شده در yUSD Yearn Vault ارزش گذاری می کند.

مهاجم پس از دستکاری های متعدد با پول قرض گرفته شده از Makedao، 8 میلیون yUSD به 8 میلیون yUSDVault اضافه کرد. Cream Finance PriceOracleProxy این را به عنوان yUSDVault تشخیص داد که اکنون به جای 1 دلار 2 دلار ارزش دارد و قیمت cryUSD را دو برابر کرد.

بنابراین، مهاجم 3 میلیارد دلار در 1.5 میلیارد دلار cryUSD دریافت کرد که توسط 1.5 میلیارد دلار yUSDVault استخراج شد. این به مهاجم اجازه داد تا سود وام را بپردازد و از 1 میلیارد دلار باقی مانده برای تخلیه 130 میلیون دلاری Cream Finance استفاده کند.

آینده وب 3.0 چگونه خواهد بود؟

برای ایمن‌تر کردن آن و حل مشکل امنیتی Web 3.0، باید استانداردهای امنیتی افزایش یابد. این امر نیازمند نیروی کار شایسته برای ساخت وب 3.0 از ابتدا و متخصصان امنیتی ماهر است که برای شرکت های وب 3.0 کار می کنند. در حالی که DeFi و سایر نهادهای وب 3.0 دارای سطوح بالایی از خطر و امنیت هستند امنیت وب 3.0 هنوز هم قابل بحث است، انتظار اینکه عموم مردم از وب 3.0 استقبال کنند غیر منطقی است. برای سریع‌تر کردن فرآیند ایمن‌سازی Web 3.0، می‌توانیم بهترین شیوه‌های امنیتی CeFi را نیز اتخاذ کرده و در سیستم‌های غیرمتمرکز پیاده‌سازی کنیم.