أنظمة البلوك تشين لم تعد عصية على الاختراق

16 دقيقة
إم إس تيك

في أوائل يناير الماضي، لاحظ فريق الحماية في كوينبيس حدوث شيء غريب في إيثيريوم كلاسيك، وهي إحدى العملات المشفرة التي يمكن للناس شراؤها وبيعها باستخدام منصة كوينبيس الرائجة للتداول. لقد كان نظام البلوك تشين فيها، والذي يتضمن كامل تاريخ التعاملات، يتعرض لهجوم.

تمكن المهاجم بطريقة ما من السيطرة على أكثر من نصف قدرة الحوسبة للشبكة، وكان يستخدمها لإعادة كتابة تاريخ التعاملات. مكّنه هذا من إرسال نفس العملة الرقمية أكثر من مرة، وهو ما يعرف باسم الإنفاق المضاعف. اكتُشف المهاجم عندما وصلت قيمة الإنفاق المضاعف إلى ما يقارب 1.1 مليون دولار. وقد ادعت كوينبيس أنه لم تُسرق أية عملات فعلياً من أي من الحسابات. ولكن منصة تبادل شهيرة أخرى – تسمى Gate.io – أقرت بأنها لم تكن محظوظة بنفس الدرجة، فقد خسرت إثر الهجوم حوالي 200,000 دولار، والتي أعاد المهاجم نصفها إلى المنصة بعد بضعة أيام في مبادرة غريبة منه.

منذ سنة، كان هذا الكابوس مجرد سيناريو نظري بشكل عام. ولكن هجوم إيثيريوم كلاسيك، والذي أُطلق عليه اسم هجوم 51%، لم يكن سوى أحدث حلقة من سلسلة من الهجمات التي استهدفت مؤخراً أنظمة البلوك تشين، ما زاد من الضغوط على هذه الصناعة الناشئة.

منذ بداية 2017، تمكن القراصنة من سرقة عملات مشفرة بقيمة إجمالية تقارب ملياري دولار، معظمها من منصات التداول، ويجب ألا ننسى أن هذه ليست سوى الأرقام التي كُشف عنها علناً، كما أن هذه الهجمات ليست عمل مهاجمين وحيدين انتهازيين وحسب. فقد بدأت منظمات الجريمة السيبرانية أيضاً بتنفيذها، حيث قالت شركة التحليل تشايناليسيس مؤخراً أن مجموعتين وحسب – يبدو أنهما ما تزالان نشطتين – تمكنتا من سرقة ما مجموعه مليار دولار من منصات التداول.

يجب ألا يشكل هذا أية مفاجأة بالنسبة لنا، حيث أن أنظمة البلوك تشين جذابة بشكل خاص للصوص لأنه يستحيل عكس التعاملات الاحتيالية كما يحدث غالباً في الأنظمة المالية التقليدية. إضافة إلى هذا، فنحن نعلم منذ زمن أن ميزات الحماية الفريدة التي تتمتع بها أنظمة البلوك تشين تقابلها أيضاً نقاط ضعف فريدة. أما الشعارات التسويقية وعناوين الصحف التي اعتبرت هذه التكنولوجيا "عصية على للاختراق" فقد كانت مخطئة تماماً.

كان هذا مفهوماً، على الأقل من الناحية النظرية، بعد أن ظهرت بيتكوين منذ عقد. ولكن في السنة الماضية، وفي خضم الانفجار الأولي لمشاريع العملات المشفرة الجديدة، بدأنا نرى الجانب العملي لهذا الأمر، وما يمكن أن تعني نقاط الضعف البنيوية هذه بالنسبة لمستقبل أنظمة البلوك تشين والملكيات الرقمية.

كيف يتم اختراق نظام البلوك تشين؟

قبل أن نتابع، يجب أن نحدد مصطلحاتنا بدقة.

البلوك تشين هو عبارة عن قاعدة بيانات مشفرة تشرف عليها شبكة من الحواسيب، يقوم كل منها بتخزين أحدث نسخة من قاعدة البيانات. أما بروتوكول البلوك تشين فهو مجموعة من القواعد التي تحدد كيفية عمل حواسيب الشبكة، والمسماة بالعقد، لتأكيد التعاملات الجديدة، وإضافتها إلى قاعدة البيانات. يعتمد البروتوكول على علم التشفير، ونظرية الألعاب، ومبادئ الاقتصاد، وذلك لتقديم حوافز للعقد حتى تعمل على حماية الشبكة بدلاً من مهاجمتها لتحقيق أرباح شخصية. وفي حال تم إعداد النظام بشكل صحيح، يمكن أن تصبح عملية إضافة تعاملات مزيفة شديدة الصعوبة ومرتفعة التكاليف، غير أن تأكيد البيانات الصحيحة عمل سهل نسبياً.

هذا سبب جاذبية هذه التكنولوجيا بالنسبة للكثير من المجالات، بدءاً بالمجال المالي. كما أن الخدمات التي سيتم إطلاقها قريباً من قبل بعض المؤسسات الشهيرة، مثل استثمارات فيديليتي، وإنتركونتينينتال إكستشينج التي تملك بورصة نيويورك، ستبدأ بإدماج أنظمة البلوك تشين في النظام المالي الحالي. بل إن بعض البنوك المركزية بدأت بدراسة استخدمها لبناء أشال رقمية من العملات الوطنية.

ولكن، كلما زاد تعقيد نظام البلوك تشين، زادت طرق ارتكاب الأخطاء أثناء إعداده. وقد كشفت الشركة المسؤولة عن زد كاش –وهي عملة رقمية تستخدم أساليب رياضية شديدة التعقيد للحفاظ على خصوصية تعاملات مستخدميها- أنها أصلحت بشكل سري "خطأ بسيطاً في التشفير" كان موجوداً بمحض الصدفة في البروتوكول. وكان من الممكن أن يستغله المهاجم لصنع عدد لانهائي من عملات زد كاش المزيفة. ومن حسن الحظ، يبدو أن هذا لم يحدث.

ليس البروتوكول الشيء الوحيد الذي يجب أن يكون محمياً. فإذا أردت أن تتعامل بالعملة الرقمية لوحدك، أو تدير عقدة، يجب أن تشغل برنامجاً يمكن أيضاً أن يحتوي على نقاط ضعف. وفي سبتمبر، اضطر مطورو برنامج بيتكوين الرئيسي، بيتكوين كور، إلى الإسراع لإصلاح مشكلة (وبشكل سري أيضاً) كانت ستسمح للمهاجمين بالحصول على عدد من البيتكوين أكثر مما يسمح به النظام.

على الرغم من هذا، فإن معظم عمليات الاختراق التي احتلت عناوين الصحف لم تكن موجهة ضد أنظمة البلوك تشين نفسها، بل ضد منصات التداول، أي مواقع الويب التي يستخدمها الناس لشراء العملات الرقمية وتخزينها والتداول بها. وفي الكثير من تلك العمليات، يقع اللوم على ممارسات سيئة تتعلق بأساسيات الحماية.

غير أن هذا تغير في يناير مع هجوم 51% ضد إيثيريوم كلاسيك.

قاعدة 51%

إن إمكانية التعرض لهجوم 51% موجودة في بنية معظم العملات الرقمية. وهذا يعود إلى أن معظمها مبنية على أنظمة البلوك تشين التي تعتمد على برهان العمل كبروتوكول للمصادقة على التعاملات. وفي هذه العملية، المعروفة أيضاً باسم التنقيب، تستهلك العقد استطاعة حاسوبية هائلة حتى تبرهن موثوقيتها بما يكفي لإضافة معلومات حول التعاملات الجديدة لقاعدة البيانات. وإذا تمكن أحد المنقبين من السيطرة على أغلبية استطاعة التنقيب للشبكة، فسوف يستطيع الاحتيال على الآخرين عن طريق إرسال دفعات إليهم وتغيير كتل البيانات في البلوك تشين بحيث يبدو وكأن هذه الدفعات لم تحدث، وتسمى هذه النسخة الجديدة بالتفرع. أما المهاجم، والذي يتحكم بمعظم إمكانية التنقيب، فهو قادر على تحويل هذا التفرع إلى النسخة المعتمدة في السلسلة، ومتابعة إنفاق نفس العملة المشفرة ثانية.

بالنسبة لأنظمة البلوك تشين ذائعة الصيت، فقد تكون محاولة تنفيذ عملية احتيال كهذه مكلفة للغاية. ووفقاً لموقع الويب كريبتو 51، فإن استئجار ما يكفي من استطاعة التنقيب لمهاجمة بيتكوين سيكلف حالياً أكثر من 260,000 دولار للساعة الواحدة. ولكن هذه التكاليف تصبح أقل بكثير مع الانتقال إلى المراتب الأقل شعبية من بين أكثر من 1,500 عملة رقمية. وبسبب انخفاض أسعار بيتكوين، فقد أصبحت هذه التكاليف أقل بكثير، بما أنها تؤدي إلى إطفاء بعض المنقبين لآلاتهم، ما يقلل من مستوى حماية الشبكة.

مع الوصول إلى منتصف العام 2018، بدأ المهاجمون بإطلاق هجمات 51% ضد سلسلة من العملات الصغيرة وضعيفة التداول نسبياً، بما في ذلك فيرج وموناكوين وبيتكوين جولد، وسرقوا ما وصل مجمله إلى 20 مليون دولار. وفي الخريف، فقد سرق القراصنة حوالي 100,000 دولار عن طريق سلسلة من الهجمات على عملة فيرتكوين. أما الهجمة الموجهة ضد إيثيريوم كلاسيك، والتي تجاوزت قيمتها المليون دولار، فقد كانت الأولى ضد قائمة أهم عشرين عملة رقمية.

يتوقع ديفيد فوريك -وهو مؤسس مشارك في منصة سيا لتخزين الملفات، والمبنية على البلوك تشين- أن هجمات 51% ستتفاقم في الحجم والوتيرة، وأن منصات التداول ستضطر إلى تحمل خسائر الإنفاق المضاعف. ويقول أن إحدى الأشياء التي دفعت هذا التوجه هي ازدهار ما يسمى بسوق معدل التجزئة (التي تعبر عن استطاعة الحوسبة المستخدمة في التنقيب)، حيث يستطيع المهاجمون استئجار استطاعة الحوسبة للهجمات. وقد كتب فوريك بعد اختراق إيثيريوم كلاسيك: "ستحتاج منصات التداول في نهاية المطاف إلى أن تكون أكثر انتقائية فيما يتعلق بالعملات الرقمية التي تدعمها".

حلول تولد المشاكل

إضافة إلى هجمات 51%، هناك مستوى كامل جديد من نقاط الضعف في البلوك تشين، والتي لم يبدأ الباحثون بدراستها إلا مؤخراً: الأخطاء البرمجية في العقود الذكية. ومن قبيل الصدف أن إيثيريوم كلاسيك –أو قصة نشأتها- تعتبر بداية جيدة لفهم هذه الأخطاء البرمجية أيضاً.

العقد الذكي هو برنامج حاسوبي يعمل على شبكة البلوك تشين. ويمكن استخدامه لأتمتة حركة العملات المشفرة وفقاً لقواعد وشروط محددة مسبقاً. توجد الكثير من الاستخدامات الممكنة لهذه العقود الذكية، مثل تسهيل تنفيذ العقود القانونية الحقيقية أو التعاملات المالية المعقدة. وأحد استخداماتها –والذي يعتبر مهماً هنا- هو بناء آلية اقتراع يستطيع بواسطتها كل المستثمرين في صندوق رأس مال استثماري اتخاذ القرارات حول توزيع الأموال. تم تأسيس صندوق كهذا باسم المنظمة المؤتمتة اللامركزية (اختصاراً DAO) في 2016 باستخدام نظام البلوك تشين إيثيريوم. وبعد ذلك بفترة قصيرة، تمكن أحد المهاجمين من سرقة عملات رقمية بقيمة أكثر من 60 مليون دولار عن طريق استغلال ثغرة خفية في عقد ذكي كان يتحكم بصندوق داو. وبشكل مختصر، سمحت الثغرة للمخترق بمواصلة طلب الأموال من الحسابات باستمرار بدون أن يسجل النظام عمليات سحب الأموال.

كما يبين هذا الاختراق، فإن ثغرة في العقد الذكي يمكن أن تؤدي إلى حالة طارئة، ففي البرامج الحاسوبية التقليدية، يمكن إصلاح الثغرة بتعديل برمجي. أما في عالم البلوك تشين، فليس الأمر بهذا البساطة. يقول بيتر تسانكوف -وهو باحث علمي في معهد زوريخ الفدرالي للتكنولوجيا في سويسرا ومؤسس مشارك في شركة متخصصة بأمان العقود الذكية تسمى تشاين سيكيوريتي- أن تنفيذ عقد ذكي أشبه بإطلاق صاروخ، لأن تعاملات البلوك تشين لا يمكن التراجع عنها: "لا يمكن للبرنامج أن يرتكب خطأ واحداً".

هناك ما يمكن أن نعتبره حلولاً جزئية. فعلى الرغم من أنه لا يمكن تعديل العقود برمجياً، فإن بعضها قابل "للتحديث" بإضافة عقود ذكية أخرى تتفاعل معها. كما يستطيع المطورون بناء آليات إيقاف مركزية تقوم بتجميد النشاط على كامل الشبكة حال اكتشاف الاختراق. ولكن بالنسبة للمستخدمين الذين سُرقت أموالهم، فسوف يكون الأوان قد فات.

إن الوسيلة الوحيدة لاسترجاع الأموال هي بإعادة كتابة التاريخ من الناحية العملية، أي العودة إلى البلوك تشين في الموضع قبل حدوث الهجوم، وإنشاء تفرع جديد إلى سلسلة جديدة، ودفع جميع المشاركين في الشبكة إلى الاتفاق على استخدام هذا التفرع الجديد. وهذا ما اختار مطورو إيثيريوم فعله. وقد انتقل معظم المشاركين –وليس جميعهم- إلى السلسلة الجديدة، والتي نعرفها الآن باسم إيثيريوم. أما الباقون فقد التزموا الباقون بالسلسلة الأصلية، والتي تحولت إلى إيثيريوم كلاسيك.

مؤخراً، أنقذ فريق تسانكوف في تشاين سيكيوريتي إيثيريوم من احتمال تكرار كارثة داو. فقبل يوم واحد من تحديث برمجي تم التخطيط له مسبقاً، أخبرت الشركة المطورين الأساسيين في إيثيريوم أن هذا التحديث يحمل أثراً جانبياً غير مقصود يؤدي إلى ترك بعض العقود الذكية على البلوك تشين معرضة بشكل جديد إلى نفس الخطأ البرمجي الذي أدى إلى اختراق داو، ما دفع المطورين بسرعة إلى تأجيل التحديث إلى وقت لاحق.

غير أن مئات العقود الذكية الهامة في إيثيريوم كانت قد أصيبت بهذا الخطأ البرمجي المسمى خطأ قابلية المتابعة، وذلك وفقاً لفيكتور فانج، المؤسس المشارك والمدير التنفيذي لشركة حماية البلوك تشين AnChain.ai. ووفقاً لبحث يعود إلى العام الماضي، فمن المحتمل أن عشرات الآلاف من العقود تحتوي على نوع آخر من نقاط الضعف. كما أن طبيعة أنظمة البلوك تشين العامة تعني أنه إذا كان هناك خطأ برمجي في عقد ذكي، فسوف يعثر عليه القراصنة، بما أن التعليمات البرمجية الأساسية مُعلنة على البلوك تشين في أغلب الأحيان. يقول فانج الذي عمل سابقاً لدى شركة الأمن السيبراني فاير آي: "يختلف هذا كلياً عما نراه في الأمن السيبراني التقليدي".

تجذب العقود التي تحمل أخطاء برمجية، خصوصاً تلك التي تصل قيمتها إلى آلاف أو ملايين الدولارات، مهاجمين بقدرات كبيرة تضاهي أولئك الذين يهاجمون البنوك أو الحكومات. ففي أغسطس، تمكنت شركة أن تشاين من اكتشاف خمسة عناوين إيثيريوم كانت تقف خلف هجوم فائق التعقيد نجم عنه سرقة 4 مليون دولار باستغلال خطأ برمجي لعقد برمجي في إحدى ألعاب المقامرة المنتشرة.

هل من الممكن هزيمة القراصنة؟

ليست أن تشاين سوى واحدة فقط من عدة شركات ناشئة تم تأسيسها مؤخراً للتعامل مع تهديدات اختراق البلوك تشين. وهي تستخدم الذكاء الاصطناعي لمراقبة التعاملات وكشف الأنشطة المريبة، ويمكنها أن تمسح التعليمات البرمجية للعقود الذكية بحثاً عن نقاط الضعف المعروفة.

تعمل شركات أخرى، مثل شركة تسانكوف (تشاين سيكيوريتي) على تطوير خدمات تدقيق مبنية على أسلوب مثبت في علوم الحاسوب باسم المصادقة الصورية. ويقوم على إثبات أن التعليمات البرمجية في العقد ستؤدي إلى تنفيذ هدف المتعاقدين فعلاً، وذلك بطريقة رياضية. وقد سمحت أدوات التدقيق هذه -والتي بدأت بالظهور في السنة الماضية تقريباً- لمبرمجي العقود الذكية بالتخلص من الكثير من الأخطاء البرمجية التي "من السهل التعامل معها" كما يقول تسانكوف. ولكن العملية يمكن أن تكون مكلفة وتتطلب الكثير من الوقت.

من المحتمل أيضاً استخدام عقود ذكية إضافية لإطلاق "جوائز لاصطياد الأخطاء البرمجية" مبنية على البلوك تشين، وذلك لتشجيع الناس على التبليغ عن الأخطاء مقابل جائزة بالعملة المشفرة، كما يقول فيليب دايان، وهو باحث في مبادرة العملات المشفرة والعقود الذكية في جامعة كورنيل.

غير أن التأكد من سلامة التعليمات البرمجية لا يضمن عدم وقوع مشاكل. حيث أن البلوك تشين نظام اقتصادي معقد يعتمد على السلوك غير المتوقع للبشر، وسيبحث الناس عن أساليب جديدة للاحتيال عليه على الدوام. وقد أظهر دايان وزملاؤه مثلاً كيف تمكن المهاجمون من جني الأرباح عن طريق التلاعب بالعقود الذكية الرائجة على إيثيريوم.

باختصار، وعلى الرغم من الترويج لفترة طويلة لتكنولوجيا البلوك تشين على أنها محمية بشكل جيد، فهي تحوي على بعض نقاط الضعف ضمن شروط معينة. ويقع اللوم في بعض الأحيان على التنفيذ السيء، أو الأخطاء البرمجية غير المقصودة. وفي أحيان أخرى، يكون السبب الحقيقي غير مؤكد تماماً، بل عبارة عن تركيبة معقدة من التفاعلات ما بين التعليمات البرمجية والنظام الاقتصادي للبلوك تشين والجشع البشري. لقد كان كل هذا معروفاً من الناحية النظرية منذ انطلاقة هذه التكنولوجيا. أما الآن وبعد أن ظهرت الكثير من أنظمة البلوك تشين في العالم، فقد بدأنا نتعلم المعنى العملي الحقيقي لهذه المشاكل، وغالباً بطريقة غير سارة على الإطلاق.

في أوائل يناير الماضي، لاحظ فريق الحماية في كوينبيس حدوث شيء غريب في إيثيريوم كلاسيك، وهي إحدى العملات المشفرة التي يمكن للناس شراؤها وبيعها باستخدام منصة كوينبيس الرائجة للتداول. لقد كان نظام البلوك تشين فيها، والذي يتضمن كامل تاريخ التعاملات، يتعرض لهجوم.

تمكن المهاجم بطريقة ما من السيطرة على أكثر من نصف قدرة الحوسبة للشبكة، وكان يستخدمها لإعادة كتابة تاريخ التعاملات. مكّنه هذا من إرسال نفس العملة الرقمية أكثر من مرة، وهو ما يعرف باسم الإنفاق المضاعف. اكتُشف المهاجم عندما وصلت قيمة الإنفاق المضاعف إلى ما يقارب 1.1 مليون دولار. وقد ادعت كوينبيس أنه لم تُسرق أية عملات فعلياً من أي من الحسابات. ولكن منصة تبادل شهيرة أخرى – تسمى Gate.io – أقرت بأنها لم تكن محظوظة بنفس الدرجة، فقد خسرت إثر الهجوم حوالي 200,000 دولار، والتي أعاد المهاجم نصفها إلى المنصة بعد بضعة أيام في مبادرة غريبة منه.

منذ سنة، كان هذا الكابوس مجرد سيناريو نظري بشكل عام. ولكن هجوم إيثيريوم كلاسيك، والذي أُطلق عليه اسم هجوم 51%، لم يكن سوى أحدث حلقة من سلسلة من الهجمات التي استهدفت مؤخراً أنظمة البلوك تشين، ما زاد من الضغوط على هذه الصناعة الناشئة.

منذ بداية 2017، تمكن القراصنة من سرقة عملات مشفرة بقيمة إجمالية تقارب ملياري دولار، معظمها من منصات التداول، ويجب ألا ننسى أن هذه ليست سوى الأرقام التي كُشف عنها علناً، كما أن هذه الهجمات ليست عمل مهاجمين وحيدين انتهازيين وحسب. فقد بدأت منظمات الجريمة السيبرانية أيضاً بتنفيذها، حيث قالت شركة التحليل تشايناليسيس مؤخراً أن مجموعتين وحسب – يبدو أنهما ما تزالان نشطتين – تمكنتا من سرقة ما مجموعه مليار دولار من منصات التداول.

يجب ألا يشكل هذا أية مفاجأة بالنسبة لنا، حيث أن أنظمة البلوك تشين جذابة بشكل خاص للصوص لأنه يستحيل عكس التعاملات الاحتيالية كما يحدث غالباً في الأنظمة المالية التقليدية. إضافة إلى هذا، فنحن نعلم منذ زمن أن ميزات الحماية الفريدة التي تتمتع بها أنظمة البلوك تشين تقابلها أيضاً نقاط ضعف فريدة. أما الشعارات التسويقية وعناوين الصحف التي اعتبرت هذه التكنولوجيا "عصية على للاختراق" فقد كانت مخطئة تماماً.

كان هذا مفهوماً، على الأقل من الناحية النظرية، بعد أن ظهرت بيتكوين منذ عقد. ولكن في السنة الماضية، وفي خضم الانفجار الأولي لمشاريع العملات المشفرة الجديدة، بدأنا نرى الجانب العملي لهذا الأمر، وما يمكن أن تعني نقاط الضعف البنيوية هذه بالنسبة لمستقبل أنظمة البلوك تشين والملكيات الرقمية.

كيف يتم اختراق نظام البلوك تشين؟

قبل أن نتابع، يجب أن نحدد مصطلحاتنا بدقة.

البلوك تشين هو عبارة عن قاعدة بيانات مشفرة تشرف عليها شبكة من الحواسيب، يقوم كل منها بتخزين أحدث نسخة من قاعدة البيانات. أما بروتوكول البلوك تشين فهو مجموعة من القواعد التي تحدد كيفية عمل حواسيب الشبكة، والمسماة بالعقد، لتأكيد التعاملات الجديدة، وإضافتها إلى قاعدة البيانات. يعتمد البروتوكول على علم التشفير، ونظرية الألعاب، ومبادئ الاقتصاد، وذلك لتقديم حوافز للعقد حتى تعمل على حماية الشبكة بدلاً من مهاجمتها لتحقيق أرباح شخصية. وفي حال تم إعداد النظام بشكل صحيح، يمكن أن تصبح عملية إضافة تعاملات مزيفة شديدة الصعوبة ومرتفعة التكاليف، غير أن تأكيد البيانات الصحيحة عمل سهل نسبياً.

هذا سبب جاذبية هذه التكنولوجيا بالنسبة للكثير من المجالات، بدءاً بالمجال المالي. كما أن الخدمات التي سيتم إطلاقها قريباً من قبل بعض المؤسسات الشهيرة، مثل استثمارات فيديليتي، وإنتركونتينينتال إكستشينج التي تملك بورصة نيويورك، ستبدأ بإدماج أنظمة البلوك تشين في النظام المالي الحالي. بل إن بعض البنوك المركزية بدأت بدراسة استخدمها لبناء أشال رقمية من العملات الوطنية.

ولكن، كلما زاد تعقيد نظام البلوك تشين، زادت طرق ارتكاب الأخطاء أثناء إعداده. وقد كشفت الشركة المسؤولة عن زد كاش –وهي عملة رقمية تستخدم أساليب رياضية شديدة التعقيد للحفاظ على خصوصية تعاملات مستخدميها- أنها أصلحت بشكل سري "خطأ بسيطاً في التشفير" كان موجوداً بمحض الصدفة في البروتوكول. وكان من الممكن أن يستغله المهاجم لصنع عدد لانهائي من عملات زد كاش المزيفة. ومن حسن الحظ، يبدو أن هذا لم يحدث.

ليس البروتوكول الشيء الوحيد الذي يجب أن يكون محمياً. فإذا أردت أن تتعامل بالعملة الرقمية لوحدك، أو تدير عقدة، يجب أن تشغل برنامجاً يمكن أيضاً أن يحتوي على نقاط ضعف. وفي سبتمبر، اضطر مطورو برنامج بيتكوين الرئيسي، بيتكوين كور، إلى الإسراع لإصلاح مشكلة (وبشكل سري أيضاً) كانت ستسمح للمهاجمين بالحصول على عدد من البيتكوين أكثر مما يسمح به النظام.

على الرغم من هذا، فإن معظم عمليات الاختراق التي احتلت عناوين الصحف لم تكن موجهة ضد أنظمة البلوك تشين نفسها، بل ضد منصات التداول، أي مواقع الويب التي يستخدمها الناس لشراء العملات الرقمية وتخزينها والتداول بها. وفي الكثير من تلك العمليات، يقع اللوم على ممارسات سيئة تتعلق بأساسيات الحماية.

غير أن هذا تغير في يناير مع هجوم 51% ضد إيثيريوم كلاسيك.

قاعدة 51%

إن إمكانية التعرض لهجوم 51% موجودة في بنية معظم العملات الرقمية. وهذا يعود إلى أن معظمها مبنية على أنظمة البلوك تشين التي تعتمد على برهان العمل كبروتوكول للمصادقة على التعاملات. وفي هذه العملية، المعروفة أيضاً باسم التنقيب، تستهلك العقد استطاعة حاسوبية هائلة حتى تبرهن موثوقيتها بما يكفي لإضافة معلومات حول التعاملات الجديدة لقاعدة البيانات. وإذا تمكن أحد المنقبين من السيطرة على أغلبية استطاعة التنقيب للشبكة، فسوف يستطيع الاحتيال على الآخرين عن طريق إرسال دفعات إليهم وتغيير كتل البيانات في البلوك تشين بحيث يبدو وكأن هذه الدفعات لم تحدث، وتسمى هذه النسخة الجديدة بالتفرع. أما المهاجم، والذي يتحكم بمعظم إمكانية التنقيب، فهو قادر على تحويل هذا التفرع إلى النسخة المعتمدة في السلسلة، ومتابعة إنفاق نفس العملة المشفرة ثانية.

بالنسبة لأنظمة البلوك تشين ذائعة الصيت، فقد تكون محاولة تنفيذ عملية احتيال كهذه مكلفة للغاية. ووفقاً لموقع الويب كريبتو 51، فإن استئجار ما يكفي من استطاعة التنقيب لمهاجمة بيتكوين سيكلف حالياً أكثر من 260,000 دولار للساعة الواحدة. ولكن هذه التكاليف تصبح أقل بكثير مع الانتقال إلى المراتب الأقل شعبية من بين أكثر من 1,500 عملة رقمية. وبسبب انخفاض أسعار بيتكوين، فقد أصبحت هذه التكاليف أقل بكثير، بما أنها تؤدي إلى إطفاء بعض المنقبين لآلاتهم، ما يقلل من مستوى حماية الشبكة.

مع الوصول إلى منتصف العام 2018، بدأ المهاجمون بإطلاق هجمات 51% ضد سلسلة من العملات الصغيرة وضعيفة التداول نسبياً، بما في ذلك فيرج وموناكوين وبيتكوين جولد، وسرقوا ما وصل مجمله إلى 20 مليون دولار. وفي الخريف، فقد سرق القراصنة حوالي 100,000 دولار عن طريق سلسلة من الهجمات على عملة فيرتكوين. أما الهجمة الموجهة ضد إيثيريوم كلاسيك، والتي تجاوزت قيمتها المليون دولار، فقد كانت الأولى ضد قائمة أهم عشرين عملة رقمية.

يتوقع ديفيد فوريك -وهو مؤسس مشارك في منصة سيا لتخزين الملفات، والمبنية على البلوك تشين- أن هجمات 51% ستتفاقم في الحجم والوتيرة، وأن منصات التداول ستضطر إلى تحمل خسائر الإنفاق المضاعف. ويقول أن إحدى الأشياء التي دفعت هذا التوجه هي ازدهار ما يسمى بسوق معدل التجزئة (التي تعبر عن استطاعة الحوسبة المستخدمة في التنقيب)، حيث يستطيع المهاجمون استئجار استطاعة الحوسبة للهجمات. وقد كتب فوريك بعد اختراق إيثيريوم كلاسيك: "ستحتاج منصات التداول في نهاية المطاف إلى أن تكون أكثر انتقائية فيما يتعلق بالعملات الرقمية التي تدعمها".

حلول تولد المشاكل

إضافة إلى هجمات 51%، هناك مستوى كامل جديد من نقاط الضعف في البلوك تشين، والتي لم يبدأ الباحثون بدراستها إلا مؤخراً: الأخطاء البرمجية في العقود الذكية. ومن قبيل الصدف أن إيثيريوم كلاسيك –أو قصة نشأتها- تعتبر بداية جيدة لفهم هذه الأخطاء البرمجية أيضاً.

العقد الذكي هو برنامج حاسوبي يعمل على شبكة البلوك تشين. ويمكن استخدامه لأتمتة حركة العملات المشفرة وفقاً لقواعد وشروط محددة مسبقاً. توجد الكثير من الاستخدامات الممكنة لهذه العقود الذكية، مثل تسهيل تنفيذ العقود القانونية الحقيقية أو التعاملات المالية المعقدة. وأحد استخداماتها –والذي يعتبر مهماً هنا- هو بناء آلية اقتراع يستطيع بواسطتها كل المستثمرين في صندوق رأس مال استثماري اتخاذ القرارات حول توزيع الأموال. تم تأسيس صندوق كهذا باسم المنظمة المؤتمتة اللامركزية (اختصاراً DAO) في 2016 باستخدام نظام البلوك تشين إيثيريوم. وبعد ذلك بفترة قصيرة، تمكن أحد المهاجمين من سرقة عملات رقمية بقيمة أكثر من 60 مليون دولار عن طريق استغلال ثغرة خفية في عقد ذكي كان يتحكم بصندوق داو. وبشكل مختصر، سمحت الثغرة للمخترق بمواصلة طلب الأموال من الحسابات باستمرار بدون أن يسجل النظام عمليات سحب الأموال.

كما يبين هذا الاختراق، فإن ثغرة في العقد الذكي يمكن أن تؤدي إلى حالة طارئة، ففي البرامج الحاسوبية التقليدية، يمكن إصلاح الثغرة بتعديل برمجي. أما في عالم البلوك تشين، فليس الأمر بهذا البساطة. يقول بيتر تسانكوف -وهو باحث علمي في معهد زوريخ الفدرالي للتكنولوجيا في سويسرا ومؤسس مشارك في شركة متخصصة بأمان العقود الذكية تسمى تشاين سيكيوريتي- أن تنفيذ عقد ذكي أشبه بإطلاق صاروخ، لأن تعاملات البلوك تشين لا يمكن التراجع عنها: "لا يمكن للبرنامج أن يرتكب خطأ واحداً".

هناك ما يمكن أن نعتبره حلولاً جزئية. فعلى الرغم من أنه لا يمكن تعديل العقود برمجياً، فإن بعضها قابل "للتحديث" بإضافة عقود ذكية أخرى تتفاعل معها. كما يستطيع المطورون بناء آليات إيقاف مركزية تقوم بتجميد النشاط على كامل الشبكة حال اكتشاف الاختراق. ولكن بالنسبة للمستخدمين الذين سُرقت أموالهم، فسوف يكون الأوان قد فات.

إن الوسيلة الوحيدة لاسترجاع الأموال هي بإعادة كتابة التاريخ من الناحية العملية، أي العودة إلى البلوك تشين في الموضع قبل حدوث الهجوم، وإنشاء تفرع جديد إلى سلسلة جديدة، ودفع جميع المشاركين في الشبكة إلى الاتفاق على استخدام هذا التفرع الجديد. وهذا ما اختار مطورو إيثيريوم فعله. وقد انتقل معظم المشاركين –وليس جميعهم- إلى السلسلة الجديدة، والتي نعرفها الآن باسم إيثيريوم. أما الباقون فقد التزموا الباقون بالسلسلة الأصلية، والتي تحولت إلى إيثيريوم كلاسيك.

مؤخراً، أنقذ فريق تسانكوف في تشاين سيكيوريتي إيثيريوم من احتمال تكرار كارثة داو. فقبل يوم واحد من تحديث برمجي تم التخطيط له مسبقاً، أخبرت الشركة المطورين الأساسيين في إيثيريوم أن هذا التحديث يحمل أثراً جانبياً غير مقصود يؤدي إلى ترك بعض العقود الذكية على البلوك تشين معرضة بشكل جديد إلى نفس الخطأ البرمجي الذي أدى إلى اختراق داو، ما دفع المطورين بسرعة إلى تأجيل التحديث إلى وقت لاحق.

غير أن مئات العقود الذكية الهامة في إيثيريوم كانت قد أصيبت بهذا الخطأ البرمجي المسمى خطأ قابلية المتابعة، وذلك وفقاً لفيكتور فانج، المؤسس المشارك والمدير التنفيذي لشركة حماية البلوك تشين AnChain.ai. ووفقاً لبحث يعود إلى العام الماضي، فمن المحتمل أن عشرات الآلاف من العقود تحتوي على نوع آخر من نقاط الضعف. كما أن طبيعة أنظمة البلوك تشين العامة تعني أنه إذا كان هناك خطأ برمجي في عقد ذكي، فسوف يعثر عليه القراصنة، بما أن التعليمات البرمجية الأساسية مُعلنة على البلوك تشين في أغلب الأحيان. يقول فانج الذي عمل سابقاً لدى شركة الأمن السيبراني فاير آي: "يختلف هذا كلياً عما نراه في الأمن السيبراني التقليدي".

تجذب العقود التي تحمل أخطاء برمجية، خصوصاً تلك التي تصل قيمتها إلى آلاف أو ملايين الدولارات، مهاجمين بقدرات كبيرة تضاهي أولئك الذين يهاجمون البنوك أو الحكومات. ففي أغسطس، تمكنت شركة أن تشاين من اكتشاف خمسة عناوين إيثيريوم كانت تقف خلف هجوم فائق التعقيد نجم عنه سرقة 4 مليون دولار باستغلال خطأ برمجي لعقد برمجي في إحدى ألعاب المقامرة المنتشرة.

هل من الممكن هزيمة القراصنة؟

ليست أن تشاين سوى واحدة فقط من عدة شركات ناشئة تم تأسيسها مؤخراً للتعامل مع تهديدات اختراق البلوك تشين. وهي تستخدم الذكاء الاصطناعي لمراقبة التعاملات وكشف الأنشطة المريبة، ويمكنها أن تمسح التعليمات البرمجية للعقود الذكية بحثاً عن نقاط الضعف المعروفة.

تعمل شركات أخرى، مثل شركة تسانكوف (تشاين سيكيوريتي) على تطوير خدمات تدقيق مبنية على أسلوب مثبت في علوم الحاسوب باسم المصادقة الصورية. ويقوم على إثبات أن التعليمات البرمجية في العقد ستؤدي إلى تنفيذ هدف المتعاقدين فعلاً، وذلك بطريقة رياضية. وقد سمحت أدوات التدقيق هذه -والتي بدأت بالظهور في السنة الماضية تقريباً- لمبرمجي العقود الذكية بالتخلص من الكثير من الأخطاء البرمجية التي "من السهل التعامل معها" كما يقول تسانكوف. ولكن العملية يمكن أن تكون مكلفة وتتطلب الكثير من الوقت.

من المحتمل أيضاً استخدام عقود ذكية إضافية لإطلاق "جوائز لاصطياد الأخطاء البرمجية" مبنية على البلوك تشين، وذلك لتشجيع الناس على التبليغ عن الأخطاء مقابل جائزة بالعملة المشفرة، كما يقول فيليب دايان، وهو باحث في مبادرة العملات المشفرة والعقود الذكية في جامعة كورنيل.

غير أن التأكد من سلامة التعليمات البرمجية لا يضمن عدم وقوع مشاكل. حيث أن البلوك تشين نظام اقتصادي معقد يعتمد على السلوك غير المتوقع للبشر، وسيبحث الناس عن أساليب جديدة للاحتيال عليه على الدوام. وقد أظهر دايان وزملاؤه مثلاً كيف تمكن المهاجمون من جني الأرباح عن طريق التلاعب بالعقود الذكية الرائجة على إيثيريوم.

باختصار، وعلى الرغم من الترويج لفترة طويلة لتكنولوجيا البلوك تشين على أنها محمية بشكل جيد، فهي تحوي على بعض نقاط الضعف ضمن شروط معينة. ويقع اللوم في بعض الأحيان على التنفيذ السيء، أو الأخطاء البرمجية غير المقصودة. وفي أحيان أخرى، يكون السبب الحقيقي غير مؤكد تماماً، بل عبارة عن تركيبة معقدة من التفاعلات ما بين التعليمات البرمجية والنظام الاقتصادي للبلوك تشين والجشع البشري. لقد كان كل هذا معروفاً من الناحية النظرية منذ انطلاقة هذه التكنولوجيا. أما الآن وبعد أن ظهرت الكثير من أنظمة البلوك تشين في العالم، فقد بدأنا نتعلم المعنى العملي الحقيقي لهذه المشاكل، وغالباً بطريقة غير سارة على الإطلاق.

المحتوى محمي