اعتماد در بلاک چین (Blockchain Security) و تعریف آن

فناوری بلاک‌چین، ساختاری امنیتی برای تولید داده‌ها فراهم می‌کند. این فناوری بر اصول رمزنگاری، تمرکززدایی و اجماع تکیه دارد، که به اطمینان در تراکنش‌ها کمک می‌کند. در این متن، درباره امنیت بلاک‌چین صحبت می‌کنیم، اما قبل از آن، بهتر است به مفهوم بلاک‌چین و نحوه عملکرد آن بپردازیم. در ادامه، به امنیت بلاک‌چین در بلاک‌چین‌های عمومی و خصوصی، و همچنین حملات سایبری و کلاهبرداری در بلاک‌چین می‌پردازیم.

بلاک‌چین چیست؟

بلاک‌چین، فناوری‌ای است که به کاربران و سازمان‌ها امکان می‌دهد داده‌ها را در بلوک‌های توزیع‌شده ساختار یافته در شبکه بلاک‌چین ذخیره و پردازش کنند. هر بلوک، یک تراکنش یا یک بسته از تراکنش‌ها را ذخیره می‌کند و به تمام بلوک‌های قبلی به صورت یک زنجیره رمزنگاری متصل می‌شود.

در بیشتر زنجیره‌های بلوکی یا فناوری‌های دفتر کل توزیع‌شده (DLT)، داده‌ها به صورت بلوک‌هایی ساختار یافته‌اند و هر بلوک شامل یک تراکنش یا یک بسته از تراکنش‌ها است. هر بلوک جدید به تمام بلوک‌های قبلی خود در یک زنجیره رمزنگاری متصل می‌شود به گونه‌ای که دستکاری در آن تقریباً غیرممکن است. تمام تراکنش‌های داخل بلوک‌ها توسط یک مکانیسم اجماع تأیید می‌شوند و از صحت و درستی هر تراکنش اطمینان حاصل می‌شود.

فناوری بلاک‌چین، از طریق مشارکت اعضا در یک شبکه توزیع شده، تمرکززدایی را ممکن می‌سازد. در این فناوری، هیچ نقطه شکست واحدی وجود ندارد و یک کاربر نمی‌تواند رکورد تراکنش‌ها را تغییر دهد. با این حال، این فناوری‌ها در مورد امنیت بلاک‌چین و برخی جنبه‌های امنیتی حیاتی ممکن است تفاوت داشته باشند.

بلاک چین چگونه کار می‌کند؟

برای درک امنیت بلاک چین، ابتدا باید با نحوه عملکرد آن آشنا شویم. بلاک چین به عنوان یک شبکه توزیع شده عمل می‌کند که امکان تمرکززدایی داده‌ها را فراهم می‌کند. این شبکه بلاک چین یک دفترکل غیرمتمرکز است که به سازمان‌ها اجازه می‌دهد از طریق گره‌هایی برای ذخیره سازی و پردازش داده‌ها به آن متصل شوند. داده‌های ذخیره شده در بلوک‌ها با تأیید، اعتبارسنجی و اجماع توسط نهاد اصلی که می‌خواهد داده‌ها را ذخیره یا پردازش کند، قابل دسترسی است.

زمانی که یک کاربر با استفاده از یک برنامه مبتنی بر بلاک چین، تراکنشی را درخواست می‌دهد، یک بلوک مربوطه در شبکه بلاک چین برای ذخیره داده‌های آن تراکنش ایجاد می‌شود. سپس این بلوک به هر گره در شبکه توزیع شده ارسال می‌شود که تراکنش را بیشتر تایید می‌کند. پس از اعتبارسنجی، گره‌های شبکه برای اثبات کار (که توافقی بین گره‌های مختلف است که به عنوان اجماع توزیع شده نیز شناخته می‌شود) پاداش دریافت می‌کنند. سپس، بلوک به بلاک چین موجود اضافه می‌شود و کاربر یک تراکنش موفق را دریافت می‌کند.

از طریق این فرآیند، بلاک چین به عنوان یک سیستم امن عمل می‌کند. زیرا داده‌ها در بلوک‌ها ذخیره می‌شوند و تغییرات در آنها تقریباً غیرممکن است. همچنین، برای تأیید هر تراکنش و اضافه شدن به بلاک چین، نیاز به اجماع توسط گره‌ها و اعتبارسنجی داده‌ها وجود دارد. این عوامل باعث می‌شوند بلاک چین به عنوان یک فناوری امن تر و دستکاری ناپذیرتر نسبت به سیستم‌های مرکزی عمل کند.

دلیل تحسین و توجه بیشتر به بلاک چین به موارد زیر برمی‌گردد:

غیرمتمرکز بودن: بلاک چین به عنوان یک شبکه غیرمتمرکز عمل می‌کند. این به این معنی است که هیچ نهاد واحدی وجود ندارد که بتواند کنترل کامل بر شبکه داشته باشد. این ویژگی امنیت بلاک چین را افزایش می‌دهد، زیرا هیچ فرد یا گروهی نمی‌تواند به تنهایی داده‌ها را تغییر داده و کنترل کند.

رمزنگاری داده‌ها: بلاک چین داده‌ها را به صورت رمزنگاری ذخیره می‌کند. این به معنای این است که داده‌های ذخیره شده در بلوک‌ها با استفاده از الگوریتم‌های رمزنگاری قوی محافظت می‌شوند. این ویژگی امنیتی به بلاک چین کمک می‌کند تا از دستکاری ناخواسته یا هک شدن داده‌ها در طول فرآیند انتقال و ذخیره سازی جلوگیری کند.

غیرقابل ردیابی بودن: بلاک چین شفاف است، به این معنی که تمام تراکنش‌ها و عملیات‌های صورت گرفته در شبکه بلاک چین در دسترس عموم قرار می‌گیرند. این شفافیت باعث می‌شود که بلاک چین غیرقابل ردیابی باشد، یعنی هویت فرد یا سازمانی که تراکنش را انجام داده است، ناشناخته بماند. این ویژگی امنیتی مهمی است که برخی از کاربران و سازمان‌ها آن را تحسین می‌کنند.

درباره امنیت براساس انواع بلاک چین متفاوت، شبکه‌های بلاک چین می‌توانند در موارد زیر متفاوت باشند:

• بلاک چین عمومی: در این نوع بلاک چین، هرکسی می‌تواند به شبکه متصل شده و در فرآیند تایید و اجماع بر روی بلاک‌ها مشارکت کند. این موجب افزایش امنیت شبکه می‌شود، زیرا بیشترین تعداد گره‌ها به اجماع دسترسی دارند و هر تغییری باید توسط بیشترین تعداد گره‌ها تأیید شود.
• بلاک چین خصوصی: در این نوع بلاک چین، مشارکت در شبکه به گلحاظ مجوز و دسترسی محدود می‌شود. فقط افراد یا سازمان‌هایی که دارای مجوز شرکت در شبکه هستند می‌توانند به شبکه خصوصی متصل شوند و داده‌ها را تایید و تغییر دهند. این نوع بلاک چین امنیت بالاتری ارائه می‌دهد زیرا تنها اعضای مجاز به مشارکت در شبکه هستند و هر تغییری باید توسط اعضای مجاز تأیید شود.

بنابراین، امنیت بلاک چین بر اساس نوع آن، یعنی بلاک چین عمومی یا خصوصی، متفاوت خواهد بود.

بلاک چین های خصوصی، به عنوان نوع دیگری از بلاک چین، تفاوت‌هایی با بلاک چین های عمومی دارند. در بلاک چین خصوصی، فقط افراد و سازمان‌هایی که دارای مجوز شرکت در شبکه هستند، به آن متصل شده و مشارکت می‌کنند. این نوع بلاک چین معمولاً با استفاده از کلیدهای عمومی و کنترل های هویت و دسترسی، امنیت بیشتری را فراهم می‌کند.

بلاک چین خصوصی کاربردهای متنوعی دارد

از جمله استفاده در شرکت‌ها، سازمان‌ها و حتی دولت‌ها. این نوع بلاک چین به آنها امکان می‌دهد تا درون یک بستر امن و قابل اعتماد، تراکنش‌ها و عملیات‌های خود را انجام دهند. همچنین، این نوع بلاک چین معمولاً سرعت بالاتری در پردازش تراکنش‌ها و اجماع دارد زیرا تعداد محدودی از شرکت‌کنندگان در شبکه وجود دارند و زمان و انرژی کمتری برای تولید اثبات کار و تایید تراکنش‌ها مورد نیاز است.

بلاک چین های خصوصی به دلیل کنترل دسترسی و هویت بیشتر، برای برخی موارد کاربردی جذاب هستند. برای مثال، در بانکداری و مالی، از بلاک چین خصوصی برای انجام تراکنش‌های مالی امن و سریع استفاده می‌شود. همچنین، در صنعت‌هایی مانند زنجیره تأمین و مدیریت زمینه، بلاک چین خصوصی می‌تواند بهبودی بزرگ در شفافیت، پیگیری و امنیت فرآیندها به ارمغان آورد.

بنابراین، بلاک چین های عمومی و خصوصی از نظر مشارکت کنندگان، سطح شفافیت، کنترل هویت و دسترسی، و سرعت پردازش معمولاً تفاوت دارند و هر نوع براساس نیازها و موارد کاربردی خاص خود مورد استفاده قرار می‌گیرد.

بلاک چین‌های خصوصی برای تأیید عضویت و دسترسی به امتیازات، از هویت استفاده می‌کنند و معمولاً تنها به سازمان‌های شناخته شده اجازه عضویت می‌دهند. این سازمان‌ها با یکدیگر یک «شبکه تجاری» خصوصی را تشکیل می‌دهند که تنها برای اعضا قابل دسترسی است. در یک بلاک چین خصوصی، از یک فرآیند به نام «تأیید انتخابی» برای رسیدن به اجماع در یک شبکه مجاز استفاده می‌شود، جایی که کاربران شناخته شده تراکنش‌ها را تأیید می‌کنند. تنها اعضایی که دارای دسترسی و مجوزهای ویژه هستند، قادر به حفظ دفتر کل معاملات هستند. این نوع شبکه نیاز به کنترل های هویت و دسترسی بیشتری دارد.

در زمان ساخت یک برنامه بلاک چین، ارزیابی اینکه کدام نوع شبکه به بهترین نحو با اهداف تجاری شما هماهنگی دارد، بسیار حائز اهمیت است. شبکه‌های خصوصی و مجاز قابلیت کنترل قوی‌تری دارند و به دلایل انطباق و مقرراتی بیشتری ترجیح داده می‌شوند. با این حال، شبکه‌های عمومی و بدون مجوز می‌توانند به تمرکززدایی و توزیع بیشتری دست یابند.

بلاک چین های عمومی به عنوان یک شبکه عمومی عمل می‌کنند و هر کسی می‌تواند به آنها بپیوندد و تراکنش ها را تأیید کند. از طرف دیگر، بلاک چین های خصوصی محدود شده و معمولاً به شبکه های تجاری محدود شده اند. عضویت در این شبکه ها توسط یک نهاد واحد یا کنسرسیوم کنترل می‌شود. بلاک چین های بدون مجوز هیچ محدودیتی برای پردازنده ها ندارند و هر کسی می‌تواند در آنها فعالیت کند. همچنین، بلاک چین های مجاز به یک مجموعه محدود از کاربران محدود می‌شوند که با استفاده از گواهی ها، هویت خود را تأیید می‌کنند.

اما برخی حملات سایبری و کلاهبرداری نیز به شبکه های بلاک چین آسیب می‌رسانند. با اینکه فناوری بلاک چین یک دفتر کل تراکنش های ضد دستکاری ایجاد می‌کند، اما شبکه های بلاک چین قابلیت مقابله با حملات سایبری و کلاهبرداری را ندارند. افرادی با نیت بد می‌توانند آسیب پذیری های شناخته شده در زیرساخت بلاک چین را بهره ببرند و در طول سال ها در حملات هک و کلاهبرداری های مختلف موفق بوده و امنیت بلاک چین را به خطر انداخته اند. مثلاً، یک نمونه از این حملات، سرقت بیش از 60 میلیون دلار ارز دیجیتال اتر (که حدود یک سوم ارزش آن بود) از صندوق سرمایه گذاری خطرپذیر سازمان غیرمتمرکز خودمختار (DAO) است که از طریق بهره برداری از کد اتفاق افتاد. همچنین، کلیدهای دزدیده شده نیز یکی از ریسک‌های امنیتی در بلاک چین ها می‌باشد.

سرقت نزدیک به 73 میلیون دلار بیت کوین از یکی از بزرگترین صرافی های ارزهای دیجیتال جهان، Bitfinex، که در هنگ کنگ مستقر است، نشان می‌دهد که این ارز همچنان یک ریسک بزرگ برای کاربران است. دلیل احتمالی این سرقت، دزدیده شدن کلیدهای خصوصی که امضای دیجیتال شخصی را ارائه می‌دهند، بود.

هک شدن کامپیوتر یکی از کارمندان

هنگامی که Bithumb، یکی از بزرگترین صرافی‌های ارزهای دیجیتال اتریوم و بیت‌کوین، اخیراً هک شد، هکرها اطلاعات 30,000 کاربر را در معرض خطر قرار دادند و 870,000 دلار بیت‌کوین را سرقت کردند. حتی اگر کامپیوتر یک کارمند هک شده است (نه سرورهای اصلی)، این حادثه سوالاتی را درباره امنیت کلی ایجاد کرده است.

روش‌هایی که کلاهبرداران به آنها استفاده می‌کنند تا به فناوری بلاک چین حمله کنند، شامل موارد زیر است: فیشینگ، حملات مسیریابی، حملات سایبیل و حملات ۵۱ درصدی.

• حملات فیشینگ:

فیشینگ یک روش کلاهبرداری است که با هدف به دست آوردن اطلاعات کاربران، به ویژه کلیدهای خصوصی کیف پول، استفاده می‌شود. در این نوع حمله، کلاهبرداران ایمیل‌هایی را به صاحبان کلیدهای کیف پول ارسال می‌کنند که به طور جعلی به نظر می‌رسند که از منابع قانونی ارسال شده‌اند. این ایمیل‌ها با استفاده از لینک‌های تقلبی، از کاربران درخواست می‌کنند تا اعتبار خود را ارائه کنند. اگر کاربران اعتبار خود را در این نوع حمله وارد کنند، کلاهبرداران می‌توانند به اعتبار کاربر دسترسی پیدا کرده و اطلاعات حساس دیگری را نیز متلاشی کنند که می‌تواند به خسارت کاربر و شبکه بلاک چین منجر شود.

• حملات مسیریابی:

در حملات مسیریابی، حمله‌کنندگان سعی می‌کنند ترافیک شبکه را به سمت خود هدایت کنند و اطلاعات را از دسترسی کاربران غیرمجاز به شبکه بلاک چین بگیرند. این نوع حملات می‌تواند به تغییر مسیرهای ارتباطی بین کاربران، تغییر مسیرهای DNS یا حتی سرقت اطلاعات از طریق تغییر مسیرهای شبکه منجر شود.

• حملات سایبیل:

حملات سایبیل، حملاتی هستند که در آنها حمله‌کنندگان با ایجاد شناختی جعلی، هویت بیشتری را در شبکه بلاک چین ایجاد می‌کنند. آنها تعداد زیادی نود جعلی را در شبکه ایجاد می‌کنند و با اکثریتی از نودها راهکارهای خود را تأیید می‌کنند. این امر می‌تواند منجر به کنترل بیشتر شبکه توسط حمله‌کنندگان شود و امنیت و قابلیت اطمینان شبکه را تهدید کند.

حملات مسیریابی (Routing attacks) به حملاتی گفته می‌شود که در بلاک‌های چین، که برای انتقال داده‌های بزرگ و بی‌درنگ استفاده می‌شوند، رخ می‌دهند. در این نوع حملات، هکرها قادرند در حین انتقال داده‌ها به ارائه دهندگان خدمات اینترنتی، داده‌ها را رهگیری کنند. شرکت‌کنندگان در بلاک چین به‌طور معمول نمی‌توانند این تهدید را تشخیص دهند و همه چیز به‌نظر طبیعی می‌رسد. اما در پشت پرده، کلاهبرداران اطلاعات یا ارزهای محرمانه را استخراج می‌کنند.

حمله Sybil به نوعی حمله مسیریابی است که در آن هکرها تعداد زیادی هویت جعلی را ایجاد می‌کنند و از آن‌ها برای تخریب شبکه و خراب کردن سیستم استفاده می‌کنند. نام “سیبیل” اشاره به یک شخصیت مشهور در یک کتاب دارد که از اختلال هویت چندگانه رنج می‌برد.

حملات ۵۱ درصدی

امنیت بلاک چین برای شرکت

هنگام ساخت یک برنامه بلاک چین سازمانی، مهم است که امنیت در تمام لایه‌های فناوری و نحوه مدیریت حاکمیت و مجوزهای شبکه را در نظر بگیرید. یک استراتژی امنیتی جامع برای راه‌حل بلاک چین سازمانی شامل استفاده از کنترل‌های امنیتی سنتی و کنترل‌های منحصر به فرد فناوری است.

برخی از کنترل های امنیتی ویژه راه حل های بلاک چین سازمانی عبارتند از:

• مدیریت هویت و دسترسی
• مدیریت کلیدی
• حریم خصوصی داده ها
• ارتباط امن
• امنیت قرارداد هوشمند
• تایید معامله

از کارشناسانی استفاده کنید تا به شما در طراحی راه حلی سازگار و مطمئن و دستیابی به اهداف تجاری خود کمک کنند. به دنبال یک پلتفرم درجه تولید برای ساخت راه‌ حل‌ های بلاک چین باشید که می‌تواند در محیط فناوری مورد نظر شما، چه در محل یا فروشنده ابری مورد نظر شما، مستقر شود.

نکات و بهترین روش های امنیت بلاک چین

هنگام ساخت یک برنامه بلاک چین سازمانی، امنیت باید در تمام لایه‌های فناوری و نحوه مدیریت حاکمیت و مجوزهای شبکه مدنظر قرار گیرد. برای راه‌حل بلاک چین سازمانی، استراتژی امنیتی جامعی که شامل استفاده از کنترل‌های امنیتی سنتی و کنترل‌های منحصر به فرد فناوری است، بسیار اهمیت دارد.

برخی از کنترل‌های امنیتی ویژه در راه‌حل‌های بلاک چین سازمانی عبارتند از:

• مدیریت هویت و دسترسی: این شامل تعیین و مدیریت سطوح دسترسی افراد و هویت‌ها در شبکه بلاک چین است.
• مدیریت کلیدی: برای امنیت بیشتر، مدیریت کلید‌ها و رمزنگاری اطلاعات بسیار حیاتی است.
• حریم خصوصی داده‌ها: برای حفظ حریم خصوصی شرکت و کاربران، اصول و روش‌های حفاظت از داده‌ها باید رعایت شود.
• ارتباط امن: استفاده از روش‌های رمزنگاری برای ارتباطات بین شبکه‌ها و اجزای مختلف بلاک چین ضروری است.
• امنیت قرارداد هوشمند: برای جلوگیری از تغییرات غیرمجاز در قراردادهای هوشمند، امنیت قرارداد‌ها بسیار مهم است.
• تایید معامله: اجرای اصول تایید معامله در بلاک چین جهت جلوگیری از تغییرات غیرمجاز و تقلب بسیار حیاتی است.

همچنین، می‌توانید از کارشناسان در زمینه بلاک چین استفاده کنید تا به شما در طراحی راه‌حلی سازگار و امن کمک کنند و به دستیابی به اهداف تجاری خود کمک کنند. همچنین، در انتخاب پلتفرمی برای ساخت راه‌حل‌های بلاک چین، بهتر است به پلتفرمی دقت کنید که قابلیت انتقال و استقرار در محیط فناوری مدنظرتان را داشته باشد، بگونه‌ای که بتواند در محیط محلی یا محیط ابری مورد نظر شما قرار گیرد.

در هنگام طراحی راه حل بلاک چین و به منظور حصول امنیت در بلاک چین، به این سوالات کلیدی توجه کنید:

مدل حاکمیتی برای سازمان یا اعضای شرکت کننده چیست؟
چه داده‌هایی در هر بلاک جمع‌آوری می‌شود؟
چه الزامات نظارتی مربوطه وجود دارد و چگونه می‌توان آن‌ها را برآورده کرد؟
جزئیات هویت چگونه مدیریت می‌شود؟ آیا بسته‌های بلاک رمزگذاری شده‌اند؟ چگونه مدیریت و باطل کردن کلیدها انجام می‌شود؟
طرح بازیابی حوادث برای شرکت‌کنندگان در بلاک چین چیست؟
حداقل وضعیت امنیتی برای مشتریان بلاک چین برای مشارکت چیست؟
منطق حل برخوردهای بلوک در بلاک چین چیست؟
هنگامی که یک بلاک چین خصوصی ایجاد می‌کنید، مطمئن شوید که در یک زیرساخت امن و انعطاف پذیر مستقر شده است. انتخاب ضعیف زیرساخت فناوری ممکن است منجر به خطرات امنیتی در داده‌ها از طریق آسیب‌پذیری‌های آنها شود.

ریسک‌های کسب و کار و حاکمیت را در نظر بگیرید. ریسک‌های تجاری شامل پیامدهای مالی، عوامل شهرت و ریسک‌های انطباق است. ریسک‌های حاکمیتی عمدتاً ناشی از ماهیت غیرمتمرکز راه‌حل‌های بلاک چین هستند و نیازمند کنترل‌های قوی بر روی معیارهای تصمیم‌گیری، سیاست‌های حاکم، هویت و مدیریت دسترسی هستند.