امنیت بلاک چین (Blockchain Security)

فناوری بلاک چین یک ساختار داده با کیفیت های امنیتی ذاتی ایجاد می کند. این مبتنی بر اصول رمزنگاری، عدم تمرکز و اجماع است که اعتماد در معاملات را تضمین می کند. در این مقاله در مورد امنیت بلاک چین ما صحبت می کنیم، اما قبل از اینکه به بحث امنیت بلاک چین بپردازیم، بهتر است مفهوم بلاک چین و نحوه عملکرد آن را مرور کنیم. در زیر به موضوع امنیت بلاک چین در انواع بلاک چین های عمومی و خصوصی و همچنین حملات سایبری و کلاهبرداری بلاک چین خواهیم پرداخت.

بلاک چین چیست؟

بلاک چین فناوری است که به کاربران و سازمان‌ها اجازه می‌دهد تا داده‌ها را با بلوک‌های توزیع شده ساختاریافته در شبکه بلاک چین ذخیره و پردازش کنند. هر بلوک جدید یک تراکنش یا مجموعه ای از تراکنش ها را ذخیره می کند که به تمام بلوک های قبلی در قالب یک زنجیره رمزنگاری مرتبط است.

در بیشتر فناوری‌های زنجیره بلوکی یا دفتر کل توزیع‌شده (DLT)، داده‌ها در بلوک‌هایی ساختار می‌یابند که هر بلوک حاوی یک تراکنش یا مجموعه‌ای از تراکنش‌ها است. هر بلوک جدید در یک زنجیره رمزنگاری به همه بلوک های قبل از خود متصل می شود به گونه ای که دستکاری آن تقریبا غیرممکن است. تمام تراکنش‌های درون بلوک‌ها از طریق یک مکانیسم اجماع تأیید و تطبیق می‌شوند و یکپارچگی هر تراکنش را تضمین می‌کنند.

فناوری بلاک چین از طریق مشارکت اعضا در یک شبکه توزیع شده، تمرکززدایی را ممکن می کند. هیچ نقطه شکست واحدی وجود ندارد و کاربر نمی تواند رکورد تراکنش را تغییر دهد. با این حال، این فناوری ها از نظر امنیت بلاک چین و برخی از جنبه های حیاتی امنیت متفاوت هستند.

چگونه بلاک چین کار می کند؟

این نمی تواند در مورد امنیت بلاک چین او قبل از اینکه بداند چگونه کار می کند صحبت کرد. بلاک چین به عنوان یک شبکه توزیع شده عمل می کند که امکان تمرکززدایی داده ها را فراهم می کند و فناوری را ایمن تر و دستکاری آن را سخت تر می کند.

این یک شبکه غیرمتمرکز از رجیستری است که به سازمان ها اجازه می دهد از طریق گره ها برای ذخیره و پردازش داده ها متصل شوند. داده‌های ذخیره‌شده در بلوک‌ها از طریق تأیید، اعتبارسنجی و اجماع توسط نهاد اصلی که می‌خواهد داده‌ها را ذخیره یا پردازش کند قابل دسترسی است.

در تصویر بالا، همانطور که می بینید، هر بار که کاربر با استفاده از یک برنامه مبتنی بر بلاک چین، درخواست تراکنش می کند، یک بلوک مربوطه در شبکه بلاک چین ایجاد می شود تا داده های آن تراکنش را ذخیره کند. سپس این بلوک به هر گره در شبکه همتا به همتا توزیع شده ارسال می شود که تراکنش را تایید می کند. پس از اعتبارسنجی، گره های شبکه برای اثبات کار (که توافقی بین گره های مختلف است، که به عنوان اجماع توزیع شده نیز شناخته می شود) پاداش دریافت می کنند. سپس بلوک به زنجیره بلوک موجود اضافه می شود و کاربر یک تراکنش موفق را دریافت می کند.

دلیل اینکه بلاک چین بسیار مورد تحسین قرار گرفته است این است که:

• این چیزی بیش از یک ادعای واحد واحد نیست، بنابراین غیرمتمرکز است
• بلاک چین داده ها را به صورت رمزنگاری ذخیره می کند
• دستکاری داده ها در یک بلاک چین تقریبا غیرممکن است
• بلاک چین شفاف است و غیرقابل ردیابی است

امنیت بر اساس نوع بلاک چین چگونه متفاوت است؟

شبکه‌های بلاک چین می‌توانند در این که چه کسی می‌تواند مشارکت داشته باشد و چه کسی می‌تواند به داده‌ها دسترسی داشته باشد، متفاوت است. معمولاً به شبکه‌ها به عنوان عمومی یا خصوصی گفته می‌شود که نشان می‌دهد چه کسی مجاز به مشارکت است، و به عنوان مجاز یا بدون مجوز، که نحوه دسترسی مشارکت‌کنندگان به شبکه را توصیف می‌کند و امنیت آن بلاک چین بین بلاک چین‌های عمومی و خصوصی متفاوت است.

بلاک چین های عمومی و خصوصی

شبکه های بلاک چین عمومی آنها معمولاً به هر کسی اجازه می دهند که بپیوندد و شرکت کنندگان ناشناس می مانند. یک بلاک چین عمومی از رایانه های متصل به اینترنت برای تأیید تراکنش ها و رسیدن به اجماع استفاده می کند. بیت کوین شاید معروف ترین نمونه از بلاک چین عمومی باشد و اجماع با استخراج بیت کوین به دست می آید. رایانه‌های موجود در شبکه بیت‌کوین یا «ماینرها» تلاش می‌کنند تا یک مشکل رمزنگاری پیچیده را برای اثبات کار حل کنند، بنابراین یک تراکنش را تأیید می‌کنند. خارج از کلیدهای عمومی، کنترل های هویت و دسترسی کمی در این نوع شبکه وجود دارد.

بلاک چین های خصوصی آنها از هویت برای تأیید عضویت و دسترسی به امتیازات استفاده می کنند و معمولاً فقط به سازمان های شناخته شده اجازه عضویت می دهند. این سازمان ها با هم یک «شبکه تجاری» خصوصی و فقط برای اعضا تشکیل می دهند. یک بلاک چین خصوصی در یک شبکه مجاز از طریق فرآیندی به نام «تأیید انتخابی» به اجماع دست می یابد، جایی که کاربران شناخته شده تراکنش ها را تأیید می کنند. فقط اعضای دارای دسترسی و مجوزهای ویژه می توانند گزارش تراکنش را حفظ کنند. این نوع شبکه نیاز به کنترل هویت و دسترسی بیشتری دارد.

هنگام ساخت یک برنامه بلاک چین، مهم است که در نظر بگیرید که کدام نوع شبکه با اهداف تجاری شما مطابقت دارد. شبکه های خصوصی و مجاز می توانند به دلایل انطباق و نظارتی بسیار کنترل شده و ترجیح داده شوند. با این حال، شبکه های عمومی و بدون مجوز می توانند به تمرکززدایی و توزیع بیشتری دست یابند.

• بلاک چین های عمومی عمومی هستند و هر کسی می تواند به آنها بپیوندد و تراکنش ها را تایید کند.
• بلاک چین های خصوصی محدود هستند و معمولاً به شبکه های تجاری محدود می شوند. یک شخص حقوقی یا کنسرسیوم عضویت را کنترل می کند.
• بلاک چین های بدون مجوز هیچ محدودیتی برای CPU ندارند.
• بلاک چین های مجاز به مجموعه ای از کاربران محدود می شوند که هویت خود را با استفاده از گواهی ها به دست می آورند.

حملات سایبری و کلاهبرداری

در حالی که فناوری بلاک چین یک دفتر کل تراکنش های ضد دستکاری ایجاد می کند، شبکه های بلاک چین از حملات سایبری و کلاهبرداری مصون نیستند. افرادی که نیت بدی دارند می توانند آسیب پذیری های شناخته شده در زیرساخت بلاک چین را دستکاری کنند و در طول سال ها در هک ها و کلاهبرداری های مختلف موفق بوده اند. امنیت بلاک چین در معرض خطر هستند در اینجا چند نمونه آورده شده است:

بهره برداری از کد

سازمان غیرمتمرکز خودمختار (DAO)، یک صندوق سرمایه گذاری خطرپذیر که از طریق یک بلاک چین غیرمتمرکز با الهام از بیت کوین فعالیت می کند، با بهره برداری از The Code Was Stolen، بیش از 60 میلیون دلار ارز دیجیتال اتر (حدود یک سوم ارزش آن) جمع آوری کرده است.

کلیدهای دزدیده شده

سرقت نزدیک به 73 میلیون دلار بیت کوین مشتریان از یکی از بزرگترین صرافی های ارزهای دیجیتال جهان، Bitfinex مستقر در هنگ کنگ، نشان داد که این ارز همچنان یک ریسک بزرگ است. دلیل احتمالی سرقت کلیدهای خصوصی این است که یک امضای دیجیتال خصوصی است.

کامپیوتر کارمند هک شد

هنگامی که Bithumb، یکی از بزرگترین صرافی های ارزهای دیجیتال اتریوم و بیت کوین، اخیرا هک شد، هکرها اطلاعات 30000 کاربر را به خطر انداختند و 870000 دلار بیت کوین به سرقت بردند، اگرچه کامپیوتر یک کارمند (نه سرورهای اصلی) هک شد امنیت کلی

کلاهبرداران چگونه به فناوری بلاک چین حمله می کنند؟

هکرها و کلاهبرداران امنیت بلاک چین ها را از چهار طریق اصلی تهدید می کنند: فیشینگ، حملات مسیریابی، حملات Sybil و حملات 51 درصدی.

حملات فیشینگ

فیشینگ یک تلاش متقلبانه برای به دست آوردن اعتبار یک کاربر است. کلاهبرداران ایمیل‌هایی را برای صاحبان کلید کیف پول ارسال می‌کنند که به نظر می‌رسد از یک منبع قانونی می‌آیند. ایمیل ها از کاربران می خواهند که اعتبار خود را از طریق لینک های جعلی به دست آورند. دسترسی به اعتبار کاربر و سایر اطلاعات حساس می تواند منجر به ضرر برای کاربر و شبکه بلاک چین شود.

حملات مسیریابی

بلاک چین ها بر انتقال داده های بزرگ در زمان واقعی متکی هستند. هکرها می توانند داده های در حال انتقال به ISP ها را رهگیری کنند. در یک حمله مسیریابی، شرکت کنندگان بلاک چین معمولا نمی توانند تهدید را ببینند، بنابراین همه چیز عادی به نظر می رسد. با این حال، در پشت صحنه، کلاهبرداران داده ها یا ارزهای محرمانه را به دست آورده اند.

حمله سیبیل

در حمله Sybil، هکرها بسیاری از هویت های جعلی شبکه را ایجاد می کنند و از آنها برای خراب کردن شبکه و از کار انداختن سیستم استفاده می کنند. سیبیل در مورد شخصیت معروف کتاب صحبت می کند که از اختلال هویت چندگانه رنج می برد.

51 درصد حملات

ماینینگ به مقدار زیادی قدرت محاسباتی به ویژه برای بلاک چین های عمومی در مقیاس بزرگ نیاز دارد، اما اگر یک ماینر یا گروهی از ماینرها بتوانند منابع کافی را جمع آوری کنند، می توانند بیش از 50 درصد از قدرت استخراج شبکه بلاک چین را تولید کنند و بیش از 50 مورد را داشته باشند. ٪ قدرت به معنای کنترل بر کتاب و توانایی دستکاری آن است.

توجه: بلاک چین های خصوصی در برابر حملات 51 درصد آسیب پذیر نیستند.

در دنیای دیجیتال امروزی، ضروری است که اقداماتی را برای اطمینان از امنیت طراحی و محیط بلاک چین خود انجام دهید.

امنیت بلاک چین برای شرکت

هنگام ساخت یک برنامه بلاک چین سازمانی، مهم است که امنیت تمام لایه های فناوری و نحوه مدیریت حاکمیت شبکه و مجوزها را در نظر بگیرید. یک استراتژی امنیتی کلی برای راه حل بلاک چین سازمانی شامل استفاده از کنترل‌های امنیتی سنتی و کنترل‌های خاص فناوری است. برخی از کنترل های امنیتی ویژه راه حل های بلاک چین سازمانی عبارتند از:

• مدیریت هویت و دسترسی
• مدیریت کلیدی
• حریم خصوصی داده ها
• ارتباط امن
• امنیت قرارداد هوشمند
• تایید معامله

از متخصصان استفاده کنید تا به شما در طراحی راه حلی سازگار و قابل اعتماد و دستیابی به اهداف تجاری خود کمک کنند. به دنبال یک پلتفرم درجه تولید برای ساخت راه‌حل‌های بلاک چین باشید که می‌توانند در محیط فن‌آوری مورد نظر شما، چه در محل یا در ارائه‌دهنده ابر مورد نظر شما، مستقر شوند.

نکات و بهترین روش های امنیتی بلاک چین

در طراحی راه حل بلاک چین و دستیابی به امنیت بلاک چیناین سوالات کلیدی را در نظر بگیرید:

• مدل حاکمیتی برای سازمان ها یا اعضای شرکت کننده چیست؟
• در هر بلوک چه داده هایی نوشته شده است؟
• الزامات نظارتی مربوطه چیست و چگونه می توان آنها را برآورده کرد؟
• اطلاعات هویتی چگونه مدیریت می شود؟ آیا محموله های بلوکی رمزگذاری شده اند؟ کلیدها چگونه مدیریت و باطل می شوند؟
• طرح بازیابی بلایا برای شرکت کنندگان در بلاک چین چیست؟
• حداقل موقعیت امنیتی برای مشارکت مشتری بلاک چین چیست؟
• منطق حل و فصل برخورد بلوک های بلاک چین چیست؟

هنگام ساخت یک بلاک چین خصوصی، مطمئن شوید که در بالای یک زیرساخت امن و پایدار قرار دارد. انتخاب نامناسب فناوری زیربنایی برای نیازها و فرآیندهای کسب‌وکار می‌تواند منجر به خطرات امنیتی داده‌ها از طریق آسیب‌پذیری‌های آنها شود.

ریسک های تجاری و مدیریتی را در نظر بگیرید. ریسک‌های تجاری شامل پیامدهای مالی، عوامل شهرت و ریسک‌های انطباق است. ریسک‌های حاکمیتی عمدتاً از ماهیت غیرمتمرکز راه‌حل‌های بلاک‌چین ناشی می‌شوند و به کنترل‌های قوی بر معیارهای تصمیم‌گیری، سیاست‌های حاکم، هویت و مدیریت دسترسی نیاز دارند.

امنیت بلاک چین این در مورد درک خطرات در شبکه بلاک چین و مدیریت آنها است. طرح اجرای امنیت برای این کنترل ها یک مدل امنیتی بلاک چین را تشکیل می دهد. یک مدل امنیتی بلاک چین ایجاد کنید تا مطمئن شوید که تمام اقدامات برای محافظت مناسب از راه حل های بلاک چین شما وجود دارد.

برای پیاده سازی یک مدل امنیتی امنیت بلاک چین، مدیران باید یک مدل ریسک ایجاد کنند که بتواند تمام ریسک های کسب و کار، مدیریت، فناوری و فرآیند را برطرف کند. سپس آنها باید تهدیدات راه حل بلاک چین را ارزیابی کرده و یک مدل تهدید ایجاد کنند. سپس مدیران باید کنترل های امنیتی را بر اساس سه دسته زیر تعریف کنند که خطرات و تهدیدات را کاهش می دهد:

کنترل های امنیتی را که منحصر به بلاک چین هستند، اجرا کنید

اعمال کنترل های امنیتی متعارف

اعمال کنترل های تجاری در بلاک چین