به گفته Trail of Bits، فناوری دفتر کل توزیع شده (DLT) و بلاک چینها از جمله بیتکوین و اتریوم ممکن است بیش از آنچه در ابتدا تصور میشد در برابر خطرات متمرکزسازی آسیبپذیر باشند.
این شرکت امنیتی روز سه شنبه گزارش خود را با عنوان “آیا بلاک چین ها غیرمتمرکز هستند؟” که توسط آژانس پروژه های تحقیقاتی پیشرفته دفاعی دولت ایالات متحده (دارپا) سفارش داده شد.
هدف این گزارش بررسی این است که آیا بلاکچینهایی مانند بیتکوین و اتریوم واقعاً غیرمتمرکز هستند، اگرچه به نظر میرسد این گزارش عمدتاً بر روی بیتکوین تمرکز دارد.
در میان یافته های کلیدی خود، این شرکت امنیتی دریافت که گره های بیت کوین قدیمی، استخرهای استخراج بلاک چین رمزگذاری نشده و اکثر ترافیک شبکه بیت کوین رمزگذاری نشده که فقط از تعداد محدودی ISP عبور می کنند، می توانند فضایی را برای بازیگران مختلف ایجاد کنند تا کنترل بیش از حد و متمرکز بر شبکه را به دست آورند.
نود های بیت کوین
این گزارش بیان میکند که زیرشبکهای از گرههای بیتکوین تا حد زیادی مسئول رسیدن به اجماع و برقراری ارتباط با ماینرها است و «اکثریت قریب به اتفاق گرهها به طور معناداری به سلامت شبکه کمک نمیکنند».
همچنین دریافت که ۲۱ درصد از گرههای بیتکوین نسخه قدیمیتری از کلاینت Core بیتکوین را اجرا میکنند که به نگرانیهای آسیبپذیری مانند خطاهای اجماع معروف است. این بیان میکند که «ضروری است که همه نود DLT بر روی آخرین نسخه نرمافزار یکسان کار کنند، در غیر این صورت، خطاهای اجماع ممکن است رخ دهد و منجر به فورک زنجیره بلاک شود».
نود بیت کوین به هر رایانه ای گفته می شود که بلاک ها را در زنجیره بلاک ذخیره و تأیید می کند. نود ها برای نظارت بر سلامت و امنیت بلاک چین بیت کوین و تأیید صحت تراکنش ها استفاده می شوند. نسخه فعلی که همه نودها باید اجرا شوند بیت کوین Core 22.0 است.
نتیجه دیگری از این گزارش نشان داد که پروتکل استخر استخراج بیت کوین Stratum رمزگذاری نشده و اساساً احراز هویت نشده است.
این به این معنی است که حملات مخرب میتواند برای «تخمین هشریت و پرداختهای یک ماینر در استخر» و «دستکاری پیامهای Stratum برای سرقت چرخههای CPU و پرداختهای شرکتکنندگان در استخر استخراج» انجام شود.
قیف گذاری از طریق ISP ها
نویسندگان همچنین بر اساس این واقعیت که ترافیک پروتکل بیت کوین رمزگذاری نشده است و 60 درصد از ترافیک شبکه تنها از سه ISP عبور می کند، آسیب پذیری هایی را در زیرساخت پیدا کردند.
این یک مشکل است زیرا “ISP ها و ارائه دهندگان میزبانی این توانایی را دارند که به طور خودسرانه سرویس را به هر گره ای تنزل دهند یا انکار کنند.”
بیست و شش صفحه اطلاعات دقیق، داده ها و اینفوگرافیک در گزارش موجود است. دارپا در سال 1958 شروع به کار کرد و مسئول توسعه فناوری های نوظهور برای استفاده توسط آژانس وزارت دفاع ایالات متحده و ارتش ایالات متحده است. Trail of Bits یک شرکت تحقیقاتی و مشاوره ای در زمینه امنیت سایبری است که توسط دارپا برای تهیه این گزارش متعهد شده است.
این گزارش در زمان جالبی ارائه می شود، پس از اینکه نگرانی های متمرکز در مورد سولانا برجسته شد.
روز یکشنبه، پروتکل وام دهی غیرمتمرکز مالی (DeFi) سولانا، Solend، یک پیشنهاد مدیریتی فوری را با هدف تصاحب کیف پول نهنگی که در معرض انحلال بود و تهدیدی برای فشار بر سولند و کاربرانش بود، ارائه داد.
این پیشنهاد که توسط یک نهنگ به تصویب رسید، با عقب نشینی فوری از سوی توییتر و ایجاد یک رأی حکومتی دیگر برای بی اعتبار کردن پیشنهاد قبلی تأیید شده روبرو شد. ناظران استدلال کردند که این حرکت می تواند به تصویر کلی DeFi آسیب برساند زیرا کنترل یکی از کیف پول های Solend به این معنی است که اصول اساسی DeFi زیر سوال می رود و معکوس کردن یک رای زیاد کارساز نیست.
منبع:کوین تلگراف
