امنیت بلاک چین (Blockchain Security)
فناوری بلاک چین یک ساختار داده با کیفیت های امنیتی ذاتی ایجاد می کند. این مبتنی بر اصول رمزنگاری، عدم تمرکز و اجماع است که اعتماد در معاملات را تضمین می کند. در این مقاله در مورد امنیت بلاک چین ما صحبت می کنیم، اما قبل از اینکه به بحث امنیت بلاک چین بپردازیم، بهتر است مفهوم بلاک چین و نحوه عملکرد آن را مرور کنیم. در زیر به موضوع امنیت بلاک چین در انواع بلاک چین های عمومی و خصوصی و همچنین حملات سایبری و کلاهبرداری بلاک چین خواهیم پرداخت.
بلاک چین چیست؟
بلاک چین فناوری است که به کاربران و سازمانها اجازه میدهد تا دادهها را با بلوکهای توزیع شده ساختاریافته در شبکه بلاک چین ذخیره و پردازش کنند. هر بلوک جدید یک تراکنش یا مجموعه ای از تراکنش ها را ذخیره می کند که به تمام بلوک های قبلی در قالب یک زنجیره رمزنگاری مرتبط است.
در بیشتر فناوریهای زنجیره بلوکی یا دفتر کل توزیعشده (DLT)، دادهها در بلوکهایی ساختار مییابند که هر بلوک حاوی یک تراکنش یا مجموعهای از تراکنشها است. هر بلوک جدید در یک زنجیره رمزنگاری به همه بلوک های قبل از خود متصل می شود به گونه ای که دستکاری آن تقریبا غیرممکن است. تمام تراکنشهای درون بلوکها از طریق یک مکانیسم اجماع تأیید و تطبیق میشوند و یکپارچگی هر تراکنش را تضمین میکنند.
فناوری بلاک چین از طریق مشارکت اعضا در یک شبکه توزیع شده، تمرکززدایی را ممکن می کند. هیچ نقطه شکست واحدی وجود ندارد و کاربر نمی تواند رکورد تراکنش را تغییر دهد. با این حال، این فناوری ها از نظر امنیت بلاک چین و برخی از جنبه های حیاتی امنیت متفاوت هستند.
چگونه بلاک چین کار می کند؟
این نمی تواند در مورد امنیت بلاک چین او قبل از اینکه بداند چگونه کار می کند صحبت کرد. بلاک چین به عنوان یک شبکه توزیع شده عمل می کند که امکان تمرکززدایی داده ها را فراهم می کند و فناوری را ایمن تر و دستکاری آن را سخت تر می کند.
این یک شبکه غیرمتمرکز از رجیستری است که به سازمان ها اجازه می دهد از طریق گره ها برای ذخیره و پردازش داده ها متصل شوند. دادههای ذخیرهشده در بلوکها از طریق تأیید، اعتبارسنجی و اجماع توسط نهاد اصلی که میخواهد دادهها را ذخیره یا پردازش کند قابل دسترسی است.
در تصویر بالا، همانطور که می بینید، هر بار که کاربر با استفاده از یک برنامه مبتنی بر بلاک چین، درخواست تراکنش می کند، یک بلوک مربوطه در شبکه بلاک چین ایجاد می شود تا داده های آن تراکنش را ذخیره کند. سپس این بلوک به هر گره در شبکه همتا به همتا توزیع شده ارسال می شود که تراکنش را تایید می کند. پس از اعتبارسنجی، گره های شبکه برای اثبات کار (که توافقی بین گره های مختلف است، که به عنوان اجماع توزیع شده نیز شناخته می شود) پاداش دریافت می کنند. سپس بلوک به زنجیره بلوک موجود اضافه می شود و کاربر یک تراکنش موفق را دریافت می کند.
دلیل اینکه بلاک چین بسیار مورد تحسین قرار گرفته است این است که:
- این چیزی بیش از یک ادعای واحد واحد نیست، بنابراین غیرمتمرکز است
- بلاک چین داده ها را به صورت رمزنگاری ذخیره می کند
- دستکاری داده ها در یک بلاک چین تقریبا غیرممکن است
- بلاک چین شفاف است و غیرقابل ردیابی است
امنیت بر اساس نوع بلاک چین چگونه متفاوت است؟
شبکههای بلاک چین میتوانند در این که چه کسی میتواند مشارکت داشته باشد و چه کسی میتواند به دادهها دسترسی داشته باشد، متفاوت است. معمولاً به شبکهها به عنوان عمومی یا خصوصی گفته میشود که نشان میدهد چه کسی مجاز به مشارکت است، و به عنوان مجاز یا بدون مجوز، که نحوه دسترسی مشارکتکنندگان به شبکه را توصیف میکند و امنیت آن بلاک چین بین بلاک چینهای عمومی و خصوصی متفاوت است.
بلاک چین های عمومی و خصوصی
شبکه های بلاک چین عمومی آنها معمولاً به هر کسی اجازه می دهند که بپیوندد و شرکت کنندگان ناشناس می مانند. یک بلاک چین عمومی از رایانه های متصل به اینترنت برای تأیید تراکنش ها و رسیدن به اجماع استفاده می کند. بیت کوین شاید معروف ترین نمونه از بلاک چین عمومی باشد و اجماع با استخراج بیت کوین به دست می آید. رایانههای موجود در شبکه بیتکوین یا «ماینرها» تلاش میکنند تا یک مشکل رمزنگاری پیچیده را برای اثبات کار حل کنند، بنابراین یک تراکنش را تأیید میکنند. خارج از کلیدهای عمومی، کنترل های هویت و دسترسی کمی در این نوع شبکه وجود دارد.
بلاک چین های خصوصی آنها از هویت برای تأیید عضویت و دسترسی به امتیازات استفاده می کنند و معمولاً فقط به سازمان های شناخته شده اجازه عضویت می دهند. این سازمان ها با هم یک «شبکه تجاری» خصوصی و فقط برای اعضا تشکیل می دهند. یک بلاک چین خصوصی در یک شبکه مجاز از طریق فرآیندی به نام «تأیید انتخابی» به اجماع دست می یابد، جایی که کاربران شناخته شده تراکنش ها را تأیید می کنند. فقط اعضای دارای دسترسی و مجوزهای ویژه می توانند گزارش تراکنش را حفظ کنند. این نوع شبکه نیاز به کنترل هویت و دسترسی بیشتری دارد.
هنگام ساخت یک برنامه بلاک چین، مهم است که در نظر بگیرید که کدام نوع شبکه با اهداف تجاری شما مطابقت دارد. شبکه های خصوصی و مجاز می توانند به دلایل انطباق و نظارتی بسیار کنترل شده و ترجیح داده شوند. با این حال، شبکه های عمومی و بدون مجوز می توانند به تمرکززدایی و توزیع بیشتری دست یابند.
- بلاک چین های عمومی عمومی هستند و هر کسی می تواند به آنها بپیوندد و تراکنش ها را تایید کند.
- بلاک چین های خصوصی محدود هستند و معمولاً به شبکه های تجاری محدود می شوند. یک شخص حقوقی یا کنسرسیوم عضویت را کنترل می کند.
- بلاک چین های بدون مجوز هیچ محدودیتی برای CPU ندارند.
- بلاک چین های مجاز به مجموعه ای از کاربران محدود می شوند که هویت خود را با استفاده از گواهی ها به دست می آورند.
حملات سایبری و کلاهبرداری
در حالی که فناوری بلاک چین یک دفتر کل تراکنش های ضد دستکاری ایجاد می کند، شبکه های بلاک چین از حملات سایبری و کلاهبرداری مصون نیستند. افرادی که نیت بدی دارند می توانند آسیب پذیری های شناخته شده در زیرساخت بلاک چین را دستکاری کنند و در طول سال ها در هک ها و کلاهبرداری های مختلف موفق بوده اند. امنیت بلاک چین در معرض خطر هستند در اینجا چند نمونه آورده شده است:
بهره برداری از کد
سازمان غیرمتمرکز خودمختار (DAO)، یک صندوق سرمایه گذاری خطرپذیر که از طریق یک بلاک چین غیرمتمرکز با الهام از بیت کوین فعالیت می کند، با بهره برداری از The Code Was Stolen، بیش از 60 میلیون دلار ارز دیجیتال اتر (حدود یک سوم ارزش آن) جمع آوری کرده است.
کلیدهای دزدیده شده
سرقت نزدیک به 73 میلیون دلار بیت کوین مشتریان از یکی از بزرگترین صرافی های ارزهای دیجیتال جهان، Bitfinex مستقر در هنگ کنگ، نشان داد که این ارز همچنان یک ریسک بزرگ است. دلیل احتمالی سرقت کلیدهای خصوصی این است که یک امضای دیجیتال خصوصی است.
کامپیوتر کارمند هک شد
هنگامی که Bithumb، یکی از بزرگترین صرافی های ارزهای دیجیتال اتریوم و بیت کوین، اخیرا هک شد، هکرها اطلاعات 30000 کاربر را به خطر انداختند و 870000 دلار بیت کوین به سرقت بردند، اگرچه کامپیوتر یک کارمند (نه سرورهای اصلی) هک شد امنیت کلی
کلاهبرداران چگونه به فناوری بلاک چین حمله می کنند؟
هکرها و کلاهبرداران امنیت بلاک چین ها را از چهار طریق اصلی تهدید می کنند: فیشینگ، حملات مسیریابی، حملات Sybil و حملات 51 درصدی.
حملات فیشینگ
فیشینگ یک تلاش متقلبانه برای به دست آوردن اعتبار یک کاربر است. کلاهبرداران ایمیلهایی را برای صاحبان کلید کیف پول ارسال میکنند که به نظر میرسد از یک منبع قانونی میآیند. ایمیل ها از کاربران می خواهند که اعتبار خود را از طریق لینک های جعلی به دست آورند. دسترسی به اعتبار کاربر و سایر اطلاعات حساس می تواند منجر به ضرر برای کاربر و شبکه بلاک چین شود.
حملات مسیریابی
بلاک چین ها بر انتقال داده های بزرگ در زمان واقعی متکی هستند. هکرها می توانند داده های در حال انتقال به ISP ها را رهگیری کنند. در یک حمله مسیریابی، شرکت کنندگان بلاک چین معمولا نمی توانند تهدید را ببینند، بنابراین همه چیز عادی به نظر می رسد. با این حال، در پشت صحنه، کلاهبرداران داده ها یا ارزهای محرمانه را به دست آورده اند.
حمله سیبیل
در حمله Sybil، هکرها بسیاری از هویت های جعلی شبکه را ایجاد می کنند و از آنها برای خراب کردن شبکه و از کار انداختن سیستم استفاده می کنند. سیبیل در مورد شخصیت معروف کتاب صحبت می کند که از اختلال هویت چندگانه رنج می برد.
51 درصد حملات
ماینینگ به مقدار زیادی قدرت محاسباتی به ویژه برای بلاک چین های عمومی در مقیاس بزرگ نیاز دارد، اما اگر یک ماینر یا گروهی از ماینرها بتوانند منابع کافی را جمع آوری کنند، می توانند بیش از 50 درصد از قدرت استخراج شبکه بلاک چین را تولید کنند و بیش از 50 مورد را داشته باشند. ٪ قدرت به معنای کنترل بر کتاب و توانایی دستکاری آن است.
توجه: بلاک چین های خصوصی در برابر حملات 51 درصد آسیب پذیر نیستند.
در دنیای دیجیتال امروزی، ضروری است که اقداماتی را برای اطمینان از امنیت طراحی و محیط بلاک چین خود انجام دهید.
امنیت بلاک چین برای شرکت
هنگام ساخت یک برنامه بلاک چین سازمانی، مهم است که امنیت تمام لایه های فناوری و نحوه مدیریت حاکمیت شبکه و مجوزها را در نظر بگیرید. یک استراتژی امنیتی کلی برای راه حل بلاک چین سازمانی شامل استفاده از کنترلهای امنیتی سنتی و کنترلهای خاص فناوری است. برخی از کنترل های امنیتی ویژه راه حل های بلاک چین سازمانی عبارتند از:
- مدیریت هویت و دسترسی
- مدیریت کلیدی
- حریم خصوصی داده ها
- ارتباط امن
- امنیت قرارداد هوشمند
- تایید معامله
از متخصصان استفاده کنید تا به شما در طراحی راه حلی سازگار و قابل اعتماد و دستیابی به اهداف تجاری خود کمک کنند. به دنبال یک پلتفرم درجه تولید برای ساخت راهحلهای بلاک چین باشید که میتوانند در محیط فنآوری مورد نظر شما، چه در محل یا در ارائهدهنده ابر مورد نظر شما، مستقر شوند.
نکات و بهترین روش های امنیتی بلاک چین
در طراحی راه حل بلاک چین و دستیابی به امنیت بلاک چیناین سوالات کلیدی را در نظر بگیرید:
- مدل حاکمیتی برای سازمان ها یا اعضای شرکت کننده چیست؟
- در هر بلوک چه داده هایی نوشته شده است؟
- الزامات نظارتی مربوطه چیست و چگونه می توان آنها را برآورده کرد؟
- اطلاعات هویتی چگونه مدیریت می شود؟ آیا محموله های بلوکی رمزگذاری شده اند؟ کلیدها چگونه مدیریت و باطل می شوند؟
- طرح بازیابی بلایا برای شرکت کنندگان در بلاک چین چیست؟
- حداقل موقعیت امنیتی برای مشارکت مشتری بلاک چین چیست؟
- منطق حل و فصل برخورد بلوک های بلاک چین چیست؟
هنگام ساخت یک بلاک چین خصوصی، مطمئن شوید که در بالای یک زیرساخت امن و پایدار قرار دارد. انتخاب نامناسب فناوری زیربنایی برای نیازها و فرآیندهای کسبوکار میتواند منجر به خطرات امنیتی دادهها از طریق آسیبپذیریهای آنها شود.
ریسک های تجاری و مدیریتی را در نظر بگیرید. ریسکهای تجاری شامل پیامدهای مالی، عوامل شهرت و ریسکهای انطباق است. ریسکهای حاکمیتی عمدتاً از ماهیت غیرمتمرکز راهحلهای بلاکچین ناشی میشوند و به کنترلهای قوی بر معیارهای تصمیمگیری، سیاستهای حاکم، هویت و مدیریت دسترسی نیاز دارند.
امنیت بلاک چین این در مورد درک خطرات در شبکه بلاک چین و مدیریت آنها است. طرح اجرای امنیت برای این کنترل ها یک مدل امنیتی بلاک چین را تشکیل می دهد. یک مدل امنیتی بلاک چین ایجاد کنید تا مطمئن شوید که تمام اقدامات برای محافظت مناسب از راه حل های بلاک چین شما وجود دارد.
برای پیاده سازی یک مدل امنیتی امنیت بلاک چین، مدیران باید یک مدل ریسک ایجاد کنند که بتواند تمام ریسک های کسب و کار، مدیریت، فناوری و فرآیند را برطرف کند. سپس آنها باید تهدیدات راه حل بلاک چین را ارزیابی کرده و یک مدل تهدید ایجاد کنند. سپس مدیران باید کنترل های امنیتی را بر اساس سه دسته زیر تعریف کنند که خطرات و تهدیدات را کاهش می دهد:
کنترل های امنیتی را که منحصر به بلاک چین هستند، اجرا کنید
اعمال کنترل های امنیتی متعارف
اعمال کنترل های تجاری در بلاک چین