همه چیز درباره حمله هکری دائو (DAO Attack)

  • انتشار: 2 سال قبل
  • ویرایش: 5 ماه قبل
مرسده ولی زاده
مرسده ولی زاده
حمله هکری دائو

از ویژگی‌های اصلی حوزه بلاک‌چین و ارزهای دیجیتال، غیرمتمرکز بودن آن‌هاست.

به این معنی که آن‌ها توسط یک موسسه واحد مثل دولت یا بانک مرکزی اداره نمی‌شوند، بلکه به صورت کاملا غیرمتمرکز در بین کامپیوترها، شبکه‌ها و گره‌های (Nodes) مختلف توزیع می‌شوند.

غیرمتمرکز بودن از ویژگی‌هایی است که سطح ایمنی و حفظ حریم شخصی افراد را افزایش می‌دهد.

عناوین مطلب:

در سال 2016 گروهی از توسعه‌دهندگان به فکر ایجاد یک سازمان خودگردان غیرمتمرکز (DAO) افتادند.

بیشتر بخوانید: همه چیز درباره دائو (DAO) + معرفی پروژه‌های معروف آن

دائو (DAO) مخفف عبارت Decentralized Autonomous Organization و به معنی سازمان خودمختار غیرمتمرکز است. این سازمان حدود دو سال پس از انتشار پلتفرم اتریوم ایجاد شد.

هدف دائو تدوین قوانین، تصمیم‌گیری و ایجاد ساختاری با کنترل غیرمتمرکز و بدون نیاز به افراد برای مدیریت است؛ در واقع نقش اصلی دائو را، سرمایه‌گذاران به صورت کاملا مستقل و غیرمتمرکز ایفا می‌کنند.

در ادامه به نحوه عملکرد دائو و شرح کاملی از هک در دائو می‌پردازیم.

نحوه عملکرد دائو (DAO)

  • گروهی از افراد برنامه‌هایی را در قالب قرارداد هوشمند (Smart Contract) به منظور اداره دائو می‌نویسند.
  •  سپس در یک مدت زمان معین به منظور تامین مالی اولیه، افراد با خرید توکن‌‌ها به افزایش نقدینگی در دائو کمک می‌کنند. به این فرآیند فروش جمعی یا عرضه اولیه کوین (ICO) ‌می‌گویند؛ این کار منابع مالی مورد نیاز دائو را فراهم می‌آورد.
  • پس از اتمام دوره تامین مالی، دائو شروع به کار می‌کند.
  • افرادی که توکن‌ها را خریداری کرده‌اند به عضویت دائو درمی‌آیند؛ این افراد به منظور تصمیم‌گیری در امور دائو اعم از نحوه خرج کردن پول و ایجاد تغییر در پروتکل‌ها، امکان ارائه پروپوزال و شرکت در رای‌گیری‌ها را دارند.

این توکن‌ها بدون ایجاد مالکیت، برای مشاکت و رای‌گیری در دائو کاربرد دارند. در بسیاری از منابع از دائو به عنوان یک سازمان مستقل و بدون مدیر واحد یاد شده است؛ بنابراین دائو را مانند یک نرم‌افزاری که بر روی شبکه اتریوم اجرا شده در نظر بگیرید.

اولین دائو، بیت‌کوین است که به وسیله اجماع تیم اصلی و شبکه استخراج خود مدیریت می‌شود. باقی دائوها بر روی بلاک‌چین اتریوم اجرا شده‌اند.

بعد از آن، The DAO یک دائوی خاص بود که در 30 آوریل 2016 توسط تیم استارآپ آلمانی Slock.it ایجاد شد. 

تیم the DAO
The DAO در پایان دوره تامین مالی خود توانست 150 میلیون دلار از بیش از 11000 کاربر مشتاق جمع‌آوری کند. این رویداد یکی از بزرگترین سرمایه‌گذاری‌های جمعی در تاریخ به شمار می‌رود.

البته می‌توان گفت که در این مورد خاص بازاریابی‌ها بهتر از اجرای کد و برنامه‌ها انجام شده بود؛ چراکه در حین ازدحام برای عرضه اولیه، افراد بسیاری درباره باگ‌های موجود در برنامه و احتمال هک ابراز نگرانی می‌کردند. 

پس از دوره تامین مالی که با استقبال بی‌نظیری همراه بود، Stephan Tual از سازندگان The DAO، در بیانیه‌ای اعلام کرد: “یک باگ نرم‌افزاری در برنامه پیدا شده است؛ ولی جای نگرانی نیست و دارایی‌ها در معرض خطر نیستند.”

در آن زمان به دلیل مشکلی که به وجود آمده بود، بیش از 50 پروپوزال در صف انتظار برای رای‌گیری بودند.

توجه به این نکته مهم است که تمام سیستم‌های شبکه‌ای در برابر حملات مختلف آسیب‌پذیر هستند و این موضوع تنها مختص به شبکه اتریوم نیست.

بیشتر بخوانید: حملات کریپتو جکینگ و روش‌های مقابله با آن

ماجرای هک The DAO  

متاسفانه در همان حین که برنامه‌نویسان درحال اصلاح کدهای قرارداد هوشمند و رفع باگ‌های امنیتی بودند، یک هکر از فرصت به دست آمده سوءاستفاده کرد و اتریوم‌هایی که از فروش توکن‌ها به دست آمده بود را تخلیه کرد.

در این اتفاق بیش از 3.6 میلیون اتریوم از دست رفت و در یک دائو شبیه به ساختار The DAO ولی با عنوان “child DAO” ذخیره شد. در آن زمان و با وجود این اتفاق، قیمت اتریوم از 20 دلار به زیر 13 دلار رسید.

همان موقع که این اتفاق رخ داد، تعداد زیادی از کاربران پیشنهاد تقسیم The DAO را به منظور جلوگیری از هک بیشتر مطرح کردند؛ اما این طرح نتوانست در مدت زمان کوتاه تعداد رای لازم را به دست آورد.

از طرفی طراحان The DAO انتظار جمع‌آوری این مقدار از اتریوم را نداشتند و در همان اول کل اتریوم‌ها در یک آدرس ذخیره شد که اشتباه بسیار بزرگی بود.

حتی قبل از حمله به دائو چند وکیل ابراز نگرانی کرده و تامین مالی The DAO را فراتر از قوانین اوراق بهادار دانستند. در ادامه، به سازندگان دائو هشداری مبنی بر قبول مسئولیت در قبال هرگونه مشکل احتمالی را دادند و در این میان دارندگان توکن از وضعیت به وجود آمده نگران و مضطرب بودند.

از آنجایی که child DAO تمام ساختار، آسیب‌ها و محدودیت‌های دائوی بزرگتر را دارد، تا 28 روز اتریوم‌های موجود در آن (دوره تامین بودجه اولیه) قابل دسترس نیستند. در این مدت اتریوم‌ها قابل رویت است اما قابل برداشت نیست.

این احتمال وجود داشت که هکر یک موقعیت خوب برای فروش اتریوم‌ها به دست آورد و زمانی که اتریوم‌ها به نصف رسید آن‌ها را نقد کند.

از طرف دیگر، کارهایی توسط بنیاد اتریوم قابل انجام بود که می‌توانست اتریوم‌های موجود در دائو را باطل کند؛ اینجا بود که موضوع پیچیده شد.

بیشتر بخوانید: منظور از حمله کسوف (Eclipse Attack) چیست؟

پروپوزال سافت فورک (Soft Fork)

 هک دائو حادثه تلخی بود که می‌توانست اعتبار قراردادهای هوشمند را زیر سوال ببرد؛ چرا که این پروژه اولین برنامه مستقل و غیرمتمرکزی بود که روی بلاک‌چین اتریوم ایجاد شده بود و در اوج قدرت اینچنین مورد حمله قرار گرفت.

بعد از این اتفاق، اتریوم با ریزش شدید همراه شد و اعتماد عمومی نسبت به اتریوم و بلاک‌چین آن کاهش یافت.

سافت فورک اتریوم
در آن زمان همه نگاه‌ها به دائو و بنیاد اتریوم دوخته شد و کاربران امیدوار بودند که قانونی برای بازگشت سرمایه‌هایشان منتشر شود.

ویتالیک بوترین، خالق اتریوم، در بیانیه‌ای اعلام کرد که به منظور بازگشت سرمایه کاربران قصد دارد تا یک فورک نرم‌افزاری اجرا کند. به گفته ویتالیک، در این سافت فورک هیچ بلوکی از بلاک‌چین اتریوم بازنویسی نمی‌شود و تیم توسعه اصلاحاتی را جهت بازگرداندن سرمایه کاربران و جلوگیری از هک شدن انجام می‌دهند.

همچنین ویتالیک خطاب به ماینرها گفت: «ماینرها باید تراکنش‌های خود را به شکل کاملا معمولی از سر بگیرند و در صورت موافقت با این طرح، کد سافت فورک را دانلود کرده و در ادامه مسیر با کد جدید در اکوسیستم اتریوم فعالیت کنند.

کاربران اتریوم و دارندگان توکن دائو تا تایید نهایی سافت فورک آرامش خود را حفظ کنند و صرافی‌های ارز دیجیتال نیز همانند گذشته معاملات اتریوم را با اطمینان کامل از سر بگیرند.»

 درخواست هکر از تیم اتریوم

 اتفاق بعدی که رخ داد بسیار جالب بود. هکر در ایمیلی که برای دائو و تیم اتریوم ارسال کرده بود، ادعا کرد که پاداش او قانونی است.

او در ادامه تهدید کرد که علیه هرکسی که قصد در بی‌اعتبار کردن کارش داشته باشد، اقدام قانونی انجام می‌دهد.

اگرچه عده‌ای معتقد بودند که امضای رمزنگاری شده در ایمیل مشکوک و جعلی است؛ اما هکر در نوشته خود از نقطه نظر خاصی استدلال کرده بود: «اساس قراردادهای هوشمند این است که حاکمیت خود را بر عهده دارند و هیچ چیزی خارج از کد نمی‌تواند قوانین معامله را تغییر دهد.»

در ادامه هکر اعلام کرد که قرارداد هوشمندی را به منظور پاداش به افرادی که با سافت فورک مخالفت کنند، در نظر گرفته است. پاداش پیشنهادی او 1 میلیون اتریوم به همراه 100 بیت‌کوین بود.

پروپوزال هارد فورک (Hard Fork)

پروپوزال دیگری که مطرح شد، تهاجمی‌تر بود. از ماینرها خواسته شد تا مشت هکر را باز کنند و اتریوم‌های دزدیده شده را به دائو بازگردانند؛ با این کار دارندگان توکن، اتریوم‌های خود را بازخرید می‌کنند.

Stephan Tual درباره این موضوع در بلاگ خود توضیحاتی نوشت: «این هاردفورک می‌تواند تمام اتریوم‌های دزدیده شده را برگرداند. با انجام این کار هر کسی امکان برداشت دارایی‌های خود را خواهد داشت و به لطف حمایت ماینرها چیزی از دست نخواهد رفت.”

بیشتر بخوانید: داستان هارد فورک لندن اتریوم (و تاثیر آن روی کارمزد تراکنش)

سرنوشت The DAO چه شد؟

در نهایت سرنوشت بلاک 192000 در بلاک‌چین اتریوم این بود تا هاردفورک در آن اتفاق بیفتد و بعد از آن سرمایه‌های کاربران بازگردانده شود.

این هاردفورک با تولید نسخه جدیدی از بلاک‌چین اتریوم، تراکنش‌های هکر را باطل کرد و سرمایه‌های از دست رفته را به صاحبان خود بازگرداند. اینجا بود که اتریوم کلاسیک (ETC) به وجود آمد.

زمانی که هاردفورک بر روی شبکه اتریوم انجام شد، برخی از کاربران که مخالف این اقدام بودند، نرم‌افزارهای خود را ارتقا ندادند و تصمیم به ادامه فعالیت بر روی بلاک‌چین قدیمی اتریوم گرفتند و آن را اتریوم کلاسیک نامگذاری کردند.

اتریوم کلاسیک
بلاک‌چین اتریوم و اتریوم کلاسیک تا بلاک 192000 یکسان است و از این بلاک به بعد دو بلاک‌چین متفاوت به وجود آمده است.

اتریوم کلاسیک یک بلاک‌چین غیرمتمرکز با قابلیت کدنویسی است که مانند اتریوم در صرافی‌های معتبر معامله می‌شود. هر دو از قراردادهای هوشمند و پلتفرم‌های غیرمتمرکز پیروی می‌کنند؛ بنابراین می‌توان گفت اتریوم کلاسیک همان اتریوم است، اما بر روی بلاک‌چین قدیمی!

بیشتر بخوانید: اتریوم 2.0 چگونه مصرف انرژی را کاهش می‌دهد؟

سخن پایانی

در این مقاله به طور مفصل درباره تعریف و نحوه ایجاد سازمان‌های خودگردان غیرمتمرکز (DAO) صحبت کردیم و در ادامه مشکلاتی که برای یکی از دائوها با نام The DAO به وجود آمده بود را مورد بررسی قرار دادیم.

این هک از بزرگترین هک‌های تاریخ کریپتو به شمار می‌رود؛ چراکه منجر به از بین رفتن اعتماد کاربران به دائو و بلاک‌چین اتریوم شد و بلاک‌چین جدیدی را تحت عنوان ” اتریوم کلاسیک” به وجود آورد.

اگر چه اتریوم کلاسیک بسیار شبیه به اتریوم است، اما اگر نتواند هم‌پای اتریوم رشد و توسعه داشته باشد، مانند هر چیز دیگری در جهان پرسرعت فناوری فراموش خواهد شد.

بفرست واتس‌اپ
بفرست تلگرام
توئیت
Share
Share
آیا این مطلب مفید بود؟
‌بله‌‌خیر‌

قصد خرید یا فروش ارز دیجیتال در ایران را دارید؟ در این سایت می‌توانید با اطمینان و با چند کلیک خرید کنید:

نام ویژگی‌هاامتیاز
نوبیتکس
  • خرید ارز دیجیتال با کارت بانکی شتاب
  • بدون نگرانی از تحریم
  • معامله با کارمزد و سرعت مناسب
  • ترید ارز دیجیتال با دلار (تتر) و ریال
blankblank
صرافی خارجی MEXCblankblank
بیشتر بخوانید:

دائو (DAO) در دنیای ارز دیجیتال

همه چیز درباره دائو (DAO) + معرفی پروژه‌های معروف آن

1 از 9

آموزش ایجاد DAO! + معرفی نمونه‌های موفق

2 از 9

آیا می‌توان از DAO به جای بانک استفاده کرد؟!

3 از 9

اسنپ شات (Snapshot)؛ پلتفرم رای‌گیری غیرمتمرکز + آموزش رای‌دهی

4 از 9

بررسی پلتفرم بیت دائو (BitDAO) و توکن بومی آن BIT

5 از 9

Moloch DAO چیست و چه کاربردی در اکوسیستم اتریوم دارد؟

6 از 9

حضور بیشتر بیت‌کوین در دیفای با BadgerDAO

7 از 9

بررسی شبکه MakerDao و ارز دیجیتال میکر (MKR)

8 از 9

همه چیز درباره حمله هکری دائو (DAO Attack)

9 از 9
0 0 رای
به مطلب امتیاز دهید:
اشتراک
اطلاع از
guest

0 دیدگاه
Inline Feedbacks
مشاهده همه دیدگاه‌ها

مطالب مرتبط

blank

در بورسینس از 10 سال گذشته تاکنون، تلاش ما این بوده به شما کمک کنیم:

  • ترید و سرمایه‌گذاری اصولی را شروع کنید
  • ارزش پول‌تان را در برابر تـورم حفظ کنید
  • از سرمایه‌تان برای کسب سود بیشتر استفاده کنید
  • سرمایه‌گذاری موفق‌تری داشته باشید

درباره بورسینس بیشتر بخوانید 

سایر دسته‌های خواندنی

blank
0
از دیدگاه‌ شما استقبال می‌کنیمx