حمید رضا عسگری | 2020.07.24

خبرنامه امنیت در قرارداد هوشمند، شماره 42

این بولتن خبری هر دو هفته یک بار توسط تیم ارزیاب Consensys Diligence  منتشر شده و به موضوعات، رخداد ها و باگ های امنیتی قرارداد های هوشمند (اسمارت کانترکت) در بلاکچین اتریوم می پردازد.

این تیم در هفته گذشته از یک ابزار متن باز امنیتی با نام Legions رونمایی کرده که یک ماشین مجازی EVM روی بلاکچین اتریوم در زمینه امنیت است. با استفاده از این ابزار می توان جزئیات رکورد های ENS (شبیه سرویس DNS در وب کار می کند و روی بلاکچین اتریوم است)، فضای ذخیره سازی قرارداد هوشمند و نودهایی که اینترفیس های RPC آنها در دسترس باشد را مشاهده و بررسی کرد.

همچنین استارتاپ Status (در حوزه کیف پول و امنیت ارتباطات در بلاکچین اتریوم) از این تیم درخواست کرده که در ارزیابی بلاکچین Nimbus ETH2.0 به آنها کمک نماید. به هر حال اگر در زمینه هک یا نفوذ در نقاط ضعف قرارداد هوشمند (اسمارت کانترکت ها) فعال هستید زمینه همکاری با این تیم فراهم است.

اما اخبار این دو هفته:

  1. هک اکانت های مشهور در توییتر

در تازه ترین اتفاقات روزهای گذشته، توییتر هک شد. این هک که به نظر می رسد از نوع مهندسی اجتماعی و به نوعی دسترسی هکر ها به سیستم داخلی توییتر باشد توانسته بالاترین سطح دسترسی در توییتر را بدست آورد (god mode). رشته توییت های MyCrypto جزئیات این اتفاق را تشریح کرده است.

هک توییتر

 

این اولین باری نیست که چنین اتفاقی روی توییتر رخ می دهد. در سال 2009 نیز اتفاق مشابهی رخ داد و توییتر قول داد که از اطلاعات هویتی اکانت هایش محافظت کند. همچنین در سال گذشته نیز وزارت دادگستری آمریکا دو کارمند توییتر را به دلیل در اختیار قراردادن اطلاعات اکانت هایی به عربستان سعودی تحت پیگرد قرار داد. این ماجرا ظاهرا دوباره به درخواست سناتور جاش هالی دوباره در سنا به جریان افتاده است.

فعلا کاری از دست کامیونیتی بر نمی آید جز اینکه هرکس تنظیمات امنیتی اکانتش را چک و محکم کند و آدرس هاس بیتکوین هکر ها را در لیست سیاه قرار دهد. هکر ها از این آدرس ها استفاده کرده اند:

  • bc1qxy2kgdygjrsqtzq2n0yrf2493p83kkfjhx0wlh
  • bc1qwr30ddc04zqp878c0evdrqfx564mmf0dy2w39l
  • 1AXRMCHu2yCTHJGcaaCBmWAzXCWmo7RKFx
  • bc1q0kznuxzk6d82e27p7gplwl68zkv40swyy4d24x
  1. چگونه یک نفر در عرض 30 دقیقه میلیون ها دلار به جیب می زند؟

هفته گذشته پروژه BzX  توکن خود را با نام BZRX روی اکسچنج یونی سواپ لیست کرد. نکته بسیار عجیب این بود که در همان بلوکی که تراکنش برای این لیست کردن انجام می شد، تراکنش دیگری نیز برای خرید توکن BZRX به ارزش 650 اتریوم بود. خریدار به تدریج توکن های بدست آورده اش را فروخت و توانست در این زمان پر مخاطره سود زیادی به جیب بزند.

در پستی که Roman Storm در توییترش نوشته، روش کار این خریدار را به طور خلاصه توضیح داده است:

  • منتظر خبر لیست شدن توکن BZRX در یونی سواپ باش
  • یک قرارداد هوشمند بنویس برای خرید توکن از یونی سواپ
  • شبکه اتریوم را طوری اسپم کن که کسی نتواند تراکنش بزند

  1. پیامد های امنیتی توکن های حاکمیتی

ایوا بیلین در توییترش نوشته:

“اگر مارکت کپ پروتکل دیفای کمتر یا مساوی مجموع کل توکن های قفل شده باشد در آن صورت ارزشش را از دست می دهد”

فرض پنهانی که در اینجا وجود دارد این است که انتظار می رود اکثریت دارندگان توکن از رای خود برای تغییرات پروتکل که برایشان سودآور است استفاده کنند، بنابراین اگر پروتکل یک میلیون دلار را نگه دارد و در صورتی که 50% توکن حاکمیتی آن پروتکل را بتوان کمتر از یک میلیون دلار خریداری کرد، در این حالت یک حمله کننده قادر است بالانس کافی برای به رای گذاشتن یک تغییر در پروتکل را جمع آوری کند که به او امکان کنترل کل آن یک میلیون دلار را خواهد داد.

علاوه بر آن توکن های حاکمیتی می تواند بر پروتکل های دیگر نیز پیامدهایی داشته باشد. مثالی از این دست پروپوزال شبکه Gauntlet از سوی کامپاند (Compound) است:

“این پروپوزال با کد CP011 نه تنها بر پروتکل کامپاند تاثیر گذار است بلکه پیامد خارجی نیز دارد و می تواند بر میزان قرض و عرضه و تقاضا در سکه هایی مانند Dai اثر بگذارد. این تاثیرات دوگانه لزوم تحلیل و بررسی عمیق تری پیش از ارائه پروپوزال ها را دو چندان می کند.”

برای مطالعه بیشتر در این زمینه به این تاپیک مراجعه کنید: کوین های پایدار 2.0: پایه های اقتصاد دیفای که به طور خلاصه آورده است:

“روشهایی برای کاهش این حمله وجود دارد، از جمله ایجاد یک تاخیر بین انتشار پروپوزال در شبکه و زمان آپگرید و فعال شدن آن تا سپرده گذاران بتوانند در این فاصله از سرمایه خود در برابر پروپوزال های مشکوک محافظت نمایند.”

بیشتر بخوانید: توسعه سازوکاری به نام Zether برای حفظ حریم خصوصی قرارداد هوشمند اتریوم

لینک مقاله های تحقیقی در این زمینه:

 

منبع:

https://medium.com/consensys-diligence/smart-contract-security-newsletter-42-a05796bf2c37