چطور می‌توان حتی با لو رفتن کلید خصوصی از دسترسی افراد به دارایی‌های رمزارزی پیشگیری کرد؟

سیستم بلاکد(Blockd)

آقای فورستر در روز ۳ام ژانویه اقدام به ارسال یک واحد رمزارز اتریوم به این کیف‌پول کرده است، در همین زمان وی با انتشار یک بیانیه‌ی عمومی کلید خصوصی خود را هم در اختیار عموم قرار داد. حدود ۲۰ دقیقه بعد دارایی‌های موجود در این آدرس انتقال یافت.

فردی که با استفاده از این کلید خصوصی قصد جابجایی دارایی‌ موجود در کیف‌پول آقای فورستر را داشته و سعی کرده تا این رمزارز را به کیف‌پول خود انتقال دهد، در رابطه با این آدرس اطلاعات جالبی را به اشتراک گذاشته است. وی در ابتدا با انتشار یک تصویر به اشتراک‌گذاری جزئیات مربوط به تراکنش ناموفق خود پرداخت و اعلام کرد که نسبت به این موضوع تحت تاثیر قرار گرفته است، زیرا این تراکنش هرگز به شبکه‌ی اتریوم راه نیافته است.

همانطور که در تصویر فوق مشاهده می‌کنید، رمزارزها به یک آدرس با پیش کد 0x25 ارسال شده‌اند، نه یک آدرس 0x4e2. فورستر در بیانیه‌ی خود اعلام کرد که 0x25 پیش کد کیف‌پول امن خودش است و رمزارزها نیز به این آدرس ارسال شده‌اند.

به گفته‌ی اقای فورستر این ویژگی امنیتی به دلیل فرایندی به نام «جایگزین شدن توسط کارمزد» یا « Replace by Fee» و ترکیب آن با سایر فرایند‌های عملیاتی نسبتاً جدید به وجود آمده است.

یک سادگی بسیار پیچیده

ایده‌ی این ویژگی امنیتی بسیار ساده است. شما یک تراکنش را امضاء می‌کنید، اما در رابطه با آن هیچ اطلاعاتی در اختیار شبکه قرار نمی‌دهید و آن را به عنوان یک پشتیبان نزد خود نگه می‌دارید.

زمانی که با مشکلی مواجه شدید(مانند آنچه در تصویر فوق رخ داده و کاربری با نام مستعار Gucards قصد جابجایی دارایی‌های آقای فورستر را داشته است)، سریعا تراکنش پشتیبان را منتشر می‌کنید، با فرض اینکه کارمزد پرداخت شده توسط شما بیشتر از کارمزد پرداختی هکر باشد، تراکنش مربوط به کیف‌پول امن شما بالاتر از تراکنش هکر قرار گرفته و دارایی‌ها به کیف‌پول امن منتقل می‌شود.

در این حالت تراکنش مهاجم از شبکه خارج می‌شود، به همین جهت نمی‌توانیم تراکنش ایجاد شده توسط Gucards را مشاهده کنیم.

البته به آنچه توسط آقای فورستر و Gucards گفته شده نمی‌توان اکتفا کرد و باید این روش توسط کاربران مورد بررسی و امتحان قرار بگیرد. گرچه این روش ابتکاری و جدید به شمار می‌آید، اما سادگی آن به ما اجازه می‌دهد که به سادگی نمونه‌ی مشابه را کدنویسی کرده و این فرایند را مورد تجزیه و تحلیل قرار دهیم.

یک قانون نانوشته

همانطور که ممکن است بدانید «جایگزینی توسط کارمزد» یک قانون و قاعده‌ی ضمنی است. هنگامی که دو تراکنش کاملا یکسان در شبکه وجود دارد و در صف انتظار برای اضافه شدن به شبکه به سر می‌برند، ماینرها ابتدا تراکنشی که کارمزد بیشتری پرداخته کرده است را بررسی و پردازش می‌کنند.

البته ماینرها می‌توانند خلاف این کار را انجام داده و تراکنشی را انتخاب کنند که کارمزد کم‌تری پرداخت کرده است، اما در این صنعت بی‌رحم که اساسا همه‌چیز برپایه‌ی رقابت جلو می‌رود، چه کسی چنین کاری را انجام می‌دهد؟ با در نظر گرفتن تجربیات پیشین می‌توان گفت که در اغلب موارد ماینرها با صرف نظر از این که تراکنش مورد نظر چندمین «کلون» یا کپی در صف انتظار است، تراکنشی که بیشترین کارمزد را پرداخت کرده را انتخاب می‌کنند.

بنابراین، زمانی که هکر یک تراکنش جدید برای سرقت دارایی کاربر ایجاد می‌کند، سیستم بلاکد تراکنشی که قبلا امضا شده و کارمزد بیشتری پرداخت می‌کند را انتخاب کرده و به جای کاربر منتشر می‌کند.

در رابطه با اتریوم باید یادآور شد که پس از هاردفورک اخیر، زمان تولید بلاک به ۱۲ ثانیه کاهش یافته است، بنابراین چه در زمان انباشت تراکنش‌ها و چه زمانی که شبکه نسبتا خلوت شده، سیستم بلاکد باید با سرعت بسیار بالایی کار کند زیرا هکرها همیشه می‌توانند کامزد تراکنش خود را افزایش دهند. پس می‌توان گفت که راز موفقیت این روش احتمالا افزایش سریع میزان کارمزد است.

یک نقطه ضعف

البته یک نقطه ضعف بسیار آشکار هم وجود دارد. درصوتی که هکر و مالک دارایی پس از تلاش‌های پی‌در‌پی کارمزد تراکنش را آنقدر بالا ببرند که این کارمزد به اندازه‌ی ارزش دارایی موجود در کیف‌پول شود، نه تنها دارایی کاربر به عنوان کارمزد مصرف شده و دیگر در اختیار وی قرار نخواهد داشت، بلکه هکر نیز می‌تواند خودش را از هرگونه اتهام تبرئه کند زیرا چیزی برای اثبات باقی نخواهد ماند.

زمان‌بندی و نحوه‌ی اجرا در این روش بسیار مهم است، بنابراین نمی‌توان به آن تکیه کرد. البته آقای فورستر اعلام کرده است که بجای امضاء تراکنش منتشر نشده از طریق رابط کاربری که ممکن است خیلی ایمن نباشد، کاربران می‌توانند به طور بالقوه تراکنش امضاء شده‌ی آفلاین که خودشان ایجاد کرده‌اند را ارائه کنند که توسط سرویس اصلی آن‌ها آشکارا تحت نظارت است و در صورت وقوع هرمشکلی سریعا واکنش نشان خواهد داد.

کلیدهای خصوصی عمومی

همانطور که می‌دانید، امضاء رمزنگاری شده روشی برای احراز هویت و نشان دادن مالکیت بدون افشاء مشخصات شما است. کلید‌های خصوصی همانند آنچه آقای فورستر منتشر کرده است، ترکیبی از حروف و اعداد گنگ و نامفهوم هستند که مالکیت دارایی‌های رمزارزی را اثبات می‌کنند.

نمونه‌ی کلید خصوصی منتشر شده توسط رابرت ام‌سی فورستر:

درصورتی که این اعداد و ارقام را منتشر کنید، قدرت کامل کنترل دارایی‌هایتان را در اختیار مهاجم قرار داده‌اید. از آنجا که قصد اشتراک‌گذاری کلید خصوصی را ندارید و تنها می‌خواهید تراکنش‌های خود را به استفاده از آن امضاء کنید، عملکرد سیستم به آن فرایندی که امضاء شده است محدود خواهد شد.

در مثال فوق‌الذکر، چیزی که امضاء شده «حق جابجایی و انتقال دارایی به آدرس عمومی یک کیف‌پول امن» است. این دستور غیرقابل تغییر است و اگر جزئیات مربوط به سفارش این تراکنش امضاء شده را منتشر کنید، سایرین تنها می‌توانند این دستور را دنبال کنند و از روند کار مطلع شوند(که ارسال مقداری رمزارز اتریوم به یک کیف‌پول امن می‌باشد).

حفظ حریم خصوصی یکی از دلایل ظهور رمزارزهاست

این توانایی، یعی ثبت دستور بدون فاش نکردن هویت کاربر یکی از بخش‌های مهم و قابل توجه‌ی اختراع بیت کوین است، و بدون وجود آن صنعت رمزارزها عملا به محبوبیت فعلی خود نمی‌رسید؛ اما با تمام این تفاسیر باید به یاد داشته باشید که هر امضاء می‌تواند بخش کوچکی از کلید خصوصی کاربر را فاش کند. از این رو، توصیه می‌شود که پس از هر مبادله آدرس خود را تغییر دهید.

در واقعیت هیچ‌کس چنین کاری انجام نمی‌دهد، زیرا روند بازگشت به کلید خصوصی از طریق امضاء مجاز شده در حال حاضر تنها یک تئوری است.

نگرانی‌های موجود

برای زمان حال و آینده‌ای که در حال حاضر قابل پیش‌بینی است، سیستمی که در پیش روی ماست از لحاظ مفهوم رمزنگاری موجب نگرانی است. این سیستم به نظر از لحاظ اعتماد مناسب می‌آید، اما دیدبانی اطلاعات شما به نظر مشکل‌ساز می‌باشد و دلیل آن این است که شما در حال انجام تراکنشی هستید که به صورت مستقیم به شبکه‌ی بلاکچین مخابره نشده و شما باید به سیستم آنلاین خود و این شرکت اعتماد کنید!

شما باید به این سیستم اعتماد کنید، زیرا برای امضاء کردن نیاز دارید تا کلید خصوصی خودتان را فاش کنید. زمانی که این امضاء صورت گرفت، در صورت تمایل می‌توانید جزئیات مربوط به تراکنش را به اشتراک بگذارید و اجازه دهید که تمام شبکه روند سفارش مذکور(مثلا انتقال اتریوم به کیف‌پول امن) را دنبال کنند.

اگر در روند امضاء تراکنش کلید خصوصی فاش شود(با فرض اینکه پیش از راه‌اندازی و عملیاتی شدن سیستم بلاکد این اتفاق رخ داده است)، دارایی‌های رمزارزی سریعا به کیف‌پول دیگری به غیر از کیف‌پول امن مورد نظر شما انتقال خواهد یافت.

ترکیب و عملیاتی شدن این جوانب و فرایندها در سیستم بلاکد بسیار جالب است، زیرا با وجود آنکه هیچ یک از سیستم‌های ساخته شده توسط دست بشر تا به امروز کامل و تمام عیار نبوده‌اند و این سیستم هم امنیت کامل و همه جانبه‌ای را ارائه نمی‌کند، اما با ارائه‌ی یک راهکار بسیار ساده و در عین حال پیچیده می‌تواند سطح بالاتری از امنیت را به وجود آورد که در آن هکرها سایر هکرها را هک می‌کنند!

نظر شما در رابطه با سیستم بلاکد چیست؟ آیا می‌توان از این سیستم به عنوان یک لایه‌ی امنیتی اضافه استفاده کرد و یا تنها در موارد خاص کاربرد خواهد داشت؟ نظرات و پیشنهادات خود را با تیم کوینیت در میان بگذارد.