رمزارزها و خطر حملات سایبری/ دردسر ربات‌ها و حمله Sybil

به گزارش اقتصادنیوز، موضوع مهم حملات Sybil Attack در فضای پروژه‌های امورمالی غیرمتمرکز ازجمله موضوعاتی است که این روزها مورد توجه قرار گرفته است؛ پروژه‌های غیرمتمرکز به‌دلیل عدم شناخت دقیق هویت کاربران خود، بنابر ماهیت بلاک‌چین همواره با خطر حمله گروهی بات‌ها مواجه هستند

 در این گفت و گو صادق رضایی، متخصص فناوری‌های مالی نوین، رمزارزها و بلاک‌چین به سوالات درباره این موضوع پاسخ داده است؛ 

در مورد اینکه چرا بحث Proof of humanity تا این حد در دنیا بحث مهمی شده است؟

ما همیشه در بازارهای مالی با موضوعات مختلفی پیرامون تخلفات مالی مواجه بوده‌ایم. دو مورد از مهم‌ترین قوانینی که در دنیا همواره برای مقابله با موضوع تخلفات مالی مطرح می‌شود، قوانین ضد پول‌شویی یا Anti Money Laundering و قوانین مقابله با تأمین مالی تروریسم یا Counter-terrorist financing (CTF) است. در کشور خودمان هم معمولاً این دو مورد را زیاد می‌شنویم.

مشکل رعایت این قوانین در دنیای امورمالی متمرکز، با طی‌کردن پروسه احراز هویت مشتری یا KYC حل می‌شود. پروسه KYC به شکل گسترده‌ای با موضوع هویت شهروندی افراد درگیر می‌شود. این به چه معناست؟ یعنی ما به هر شکلی که بخواهیم پروسه KYC را انجام دهیم، چه به‌صورت حضوری و چه غیرحضوری، نیازمند اسناد هویتی، مانند کارت‌ملی هستیم. مثلاً وقتی شما برای افتتاح حساب به بانک مراجعه می‌کنید، با ارائه کارت ملی و شناسنامه، اطلاعات هویتی خود را به تأیید بانک می‌رسانید. در مورد نئوبانک‌ها این پروسه صرفاً آسان‌تر شده است؛ اما درنهایت بازهم با بررسی تصویر چهره شما و تطابق آن با تصویر کارت ملی، هویتتان مورد تأیید قرار می‌گیرد. پس نتیجه می‌گیریم راه‌حل KYC به هر شکلی که انجام شود نهایتاً بازهم نیازمند اطلاعات شهروندی کاربران است.

در فضای امورمالی غیرمتمرکز ما با سه مقوله که همواره با فضای متمرکز اختلاف دارد روبرو هستیم. یعنی همان‌طور که DeFi با CeFi مسئله دارد، ما در فضای KYC هم همین چالش‌ها را داریم. در واقع پروسه KYC متمرکز سه مشکل برای ما به وجود می‌آورد: اول مشکلات ریگولاتوری و تغییر قوانین، دوم حریم خصوصی و سوم مشکل مقرون‌به‌صرفه نبودن. در حال حاضر شما تمایل به افتتاح حساب در هر کدام از بانک‌ها داشته باشید باید به‌صورت جداگانه فرایند احراز هویت را سپری کنید. به عبارتی این فرایند باتجربه کاربری خوب مشتریان از سرویس‌دهنده در تضاد است. حالا تصور کنید وقتی این موضوع با مقوله‌ی حریم خصوصی هم درگیر شود، اوضاع به‌مراتب بحرانی‌تر است. همان‌طور که ما تصور می‌کنیم دنیای امورمالی متمرکز به پایان عصر خود رسیده و ما وارد دنیای جدید امورمالی غیرمتمرکز شده‌ایم. اینجا هم موضوع روش احراز هویتی که بتواند سه اصل آزادی، شفافیت و حریم خصوصی را رعایت کند دغدغه‌ی امروز جهان است.

از طرف دیگر در فضای امورمالی غیرمتمرکز ما با مشتری سروکار داریم. این مشتری ما یک کلید عمومی چهل و دو کاراکتری است. شما وقتی یک کیف پول رمزارزی می‌سازید تا بتوانید از یک صرافی غیرمتمرکز استفاده کنید. در واقع شما یک ولت هستید که اسم و فامیل ندارد و نیاز به OTP هم ندارد. شما یک کلید عمومی دارید که با استفاده از آن به صرافی متصل شده و از ابزارهای مالی مختلف استفاده می‌کنید. در نتیجه اصلاً اطلاعات خصوصی شما به پلتفرم ارائه نشده است که این اطلاعات خصوصی مبنای احراز هویت شما قرار بگیرید. خب اینکه شما اطلاعات هویتی خودتان را به یک پلتفرم مالی غیرمتمرکز مانند یک DEX یا پلتفرم وام‌دهی ارائه نمی‌کنید از مزایای آزادی، شفافیت و حریم خصوصی بهره‌مند می‌شوید؛ ولی هم‌زمان احتمال جدید دیگری وجود دارد. این خطر ناشی از عدم ایجاد تمایز میان یک بات و انسان است. یعنی هویت انسانی شما برای پلتفرم قابل‌تشخیص نیست. پس باوجوداینکه این سه اصل برای دنیای نوین ما ایده‌آل هستند؛ ولی به این طریق سامانه‌ها مستعد حملات سایبری مختلفی قرار می‌گیرند. مهم‌ترین حمله‌ای که امروزه در تمام فضای دیفای در سطح دنیا ترند شده و موردبحث و گفتگو قرار می‌گیرد، Sybil Attack است.

Sybil Attack دقیقاً چیست؟

این حمله یکی از پراستفاده‌ترین و خطرناک‌ترین روش‌های ایجاد اختلال و مهندسی اجتماعی است. به بیان ساده به رفتار هم‌زمان ربات‌های زیاد به‌صورت برنامه‌ریزی شده، سیبیل اتک می‌گویند. طی این حمله بات‌ها سعی می‌کنند رفتاری منطقی و قانونی از خود نشان دهند درحالی‌که صرفاً ربات‌هایی مرتبط با یکدیگرند. طی این حمله بات‌ها سعی می‌کنند با حمله‌ی هم‌زمان زیرساخت‌های امنیتی یک سازمان، شرکت یا پلتفرم مالی را از کار بیندازند. نام Sybil Attack از اسم شخصیتی به اسم سیبیل که دچار اختلال هویتی بوده برداشته شده است و کتاب جالبی هم در این حوزه به چاپ رسیده. اولین‌بار محققان مایکروسافت در مورد این حمله دست به تحقیق و بررسی گسترده زدند. این نوع حمله خطر خیلی بزرگی محسوب می‌شود. جایی که ما نتوانیم تفاوت رفتار یک بات و یک انسان را از همدیگر تشخیص بدهیم مستعد حمله Sybil خواهیم بود.

  خطرات این حمله برای سازمان‌ها، شرکت‌ها و استارتاپ‌های خصوصاً حوزه امورمالی غیرمتمرکز چیست؟

با این حمله یکی از اولین چیزی‌هایی که از دست می‌دهید بودجه شما برای امور بازاریابی یا مارکتینگ است. فرض کنید شما سعی می‌کنید کاربران خود را افزایش دهید. همان‌طور که اشاره کردیم در دنیای دیفای مشتری ما یک‌رشته کد ۴۲ کاراکتری است و اطلاعات دیگری در موردش نمی‌دانیم. حالا فرض بکنید که یک مزرعه از بات‌ها هفتاد، هشتاد درصد از مشتریان پلتفرم شما را تشکیل دهند. در این حالت شما هیچ‌وقت متوجه این مشکل نمی‌شوید؛ چراکه در فضای دیفای نه IP و نه اطلاعات شخصی کاربر را جمع‌آوری کرده‌اید.

چرا پروژه‌های دیفای خودشان را در معرض این خطر قرار می‌دهند؟

به دلیل پایبندی ما به سه اصل آزادی، شفافیت و حفظ حریم خصوصی در پروژه‌های دیفای یا همان امورمالی غیرمتمرکز نمی‌توانیم به این خط‌قرمزها خدشه‌ای وارد کنیم. اما از طرفی ممکن است خطر سیبیل اتک ما را تهدید کند.

حمله Sybil چه مشکلاتی برای پروژه‌های دیفای به وجود می‌آورد؟

همان‌طور که اشاره کردم کوچک‌ترین مشکلی که برای ما به وجود می‌آید خطر ازدست‌رفتن هزینه‌های مارکتینگ است. اگر ما برای مزرعه‌ای از ربات‌ها تبلیغ کنیم، بخش عمده‌ای از بودجه تبلیغات ما برای یک مهاجم دور ریخته می‌شود.

مشکل اساسی دوم تحت‌الشعاع قرارگرفتن اصل دموکراسی و اهمیت آرا در این پروژه‌ها است. یعنی در پروژه‌های Decentralized یا غیرمتمرکز که جهت‌گیری پروژه با فرایند رأی‌دهی کاربران از طریق ساختارهای Decentralized Autonomous Organization یا به‌اختصار DAO مشخص می‌شود، یک نفر می‌تواند برای آینده تمام کاربران تصمیم‌گیری کند.

لطفاً مثال‌هایی از این حملات در دنیا بزنید.

اتفاقاً در این زمینه با دو مثال خیلی معروف از Sybil Attack که ارتباطی با دنیای کریپتوکارنسی و بلاک‌چین ندارند روبرو هستیم. مورد اول انتخابات سال ۲۰۱۶ امریکاست. هنوز هم دولت امریکا، دولت روسیه را متهم به دست‌کاری در انتخابات می‌کند. به اعتقاد دولت آمریکا، کشور روسیه حساب‌های با تشکیل اجتماعی از حساب‌های کاربری فیک از بات‌ها، سعی بر تأثیرگذاری در نتیجه انتخابات با مهندسی اجتماعی کرده است. مقامات آمریکایی معتقدند دولت روسیه با استفاده از این ربات‌ها، اقدام به تولید محتوای متنی و تصویری انبوهی کرده تا کاندیدای موردنظر خود را بر مسند قدرت بنشاند. در واقع به بیان دیگر بات‌ها با شهروند جلوه‌دادن خود در شبکه‌های اجتماعی، سعی بر تأثیرگذاری بر نتیجه انتخاب داشته‌اند. درنتیجه زمانی که اتاق‌های فکر و لابی‌ها اقدام به افکارسنجی می‌کردند، با نتایج اشتباه روبرو می‌شدند.

مورد دوم معامله‌ی خرید توییتر توسط ایلان ماسک بود. به ادعای ایلان ماسک حدود بیست درصد کل حساب‌های کاربری توییتر را ربات‌ها تشکیل داده‌اند. بیست درصد کل حساب‌های کاربری توییتر عدد بسیار بزرگی است. زمانی که این حساب‌ها با یکدیگر در جهت هدف خاصی متحد شوند می‌توانند فضای افکار عمومی را به سمت دلخواه خود جهت‌دهی کنند.

آیا شبکه‌های بلاک‌چینی که زیرساخت پروژه‌های دیفای را تشکیل می‌دهند، مستعد این حمله هستند؟

بله. در حوزه امور مالی غیرمتمرکز هم با این حملات مواجه هستیم. اگر شما بتوانید کنترل پنجاه به‌علاوه یک درصد از شبکه را به دست بگیرید، توانایی تغییر داده‌های ثبت شده در تمامی بلاک‌ها را خواهید داشت. در این صورت داده‌های غلط ارسال شده مورد تأیید کل شبکه قرار می‌گیرد و تمام نودهای دیگر که حداقل تسلط بر شبکه را دارند، دیتای شما را به‌عنوان دیتای اصلی خواهند پذیرفت. خب این همیشه شبکه‌های بلاک‌چین را مستعد حمله از سوی بات‌ها می‌کند.

اگر بخواهیم به طور ساده بگوییم چرا پروژه‌های غیرمتمرکز بلاک‌چینی در حوزه دیفای، مستعد این حمله هستند باید اشاره کنیم: ما به‌عنوان عضوی از جامعه‌ی ارزهای دیجیتال بسیار آرمان‌گرا هستیم. یعنی همیشه سه اصل آزادی، شفافیت و حریم خصوصی را اساس تصمیم‌هایمان در توسعه محصولات قرار می‌دهیم. در نتیجه ازآنجایی‌که می‌دانیم Central KYC، یعنی همان کاری که بانک‌ها برای احراز هویت ما انجام می‌دهند بسیار مضر است، پس به سراغ این روش نمی‌رویم. البته از آن طرف بوم افتادن و هیچ کاری در جهت رفع این مشکل در فضای غیرمتمرکز نکردن نیز مسئله‌ی خیلی خطرناک‌تری است.

در دنیای دیفای تابه‌حال با حملات Sybil Attack روبرو شده‌ایم؟

حتماً بله. در مثال اتریوم و اتریوم کلاسیک هم قبلاً این مشکل به وجود آمده است. بعد از سرقت میلیون‌ها دلار درنهایت جامعه اتریوم بر خلاف مانیفست خود که کد را اصل و محور تصمیمات می‌دانست مجبور به بازگشت سرمایه‌های ازدست‌رفته از طریق هارد فورک شد. افرادی که به مانیفست پایبند بودند در زنجیره قبلی باقی‌مانده و افرادی که تمایل به برگشت دارایی خود در قالب رمزارزی جدید بودند به شبکه جدید مهاجرت کردند. در نتیجه این خطر خصوصاً در پروژه‌های نوپا بسیار جدی است. ببینید؛ مثلاً مدتی پیش پروژه zk Sync که از پروژه‌های جذاب لایه دوم اتریوم محسوب می‌شود اعلام کرد که یک فارم بزرگ از بات‌ها را کشف کرده و در این مزرعه 21000 هزار ولت توسط یک نفر مدیریت می‌شدند. خب این یعنی شما هر سیاستی برای شبکه اتخاذ کنید، اعم از تصمیم‌گیری به‌وسیله DAO یا برگزاری طرح ایردراپ برای تشویق جامعه کاربران و… در عمل داخل تله‌ی این بات‌ها افتاده‌اید. پس سیبل اتک موضوع مهمی است.

باتوجه‌به به اهمیت این حملات، چه راه‌حلی برای جلوگیری از آن در فضای دیفای وجود دارد؟

چون فرایند احراز هویت متمرکز با موضوع هویت شهروندی ما درگیر می‌شود و ما نمی‌خواهیم برای احراز هویت خودمان، در هر جایی، از کارت شناسایی، پاسپورت و… استفاده کنیم، نیازمند روش‌های نوین دیگری در دنیای دیفای هستیم. برای ما در دنیای امور مالی غیرمتمرکز این اهمیت دارد که صرفاً بدانیم شما انسان هستید. یعنی اگر انسان هستید، پس اجازه دارید از خدمت مالی ما استفاده کنید. این تفکر کثرت‌گرا در دنیای غیرمتمرکز بلاک‌چین برای ما بسیار حائز اهمیت است. درحالی‌که در فضای CeFi یا امور مالی متمرکز اگر شما شهروند یک کشور باشید می‌توانید از خدمت مالی آن کشور یا از خدمات مالی بین‌المللی استفاده کنید. تأکید می‌کنم برای ما تنها هویت انسانی شما اهمیت دارد و اگر انسان باشید نه ربات، حق استفاده از خدمات مالی را خواهید داشت.

اینجاست که راه‌حل و موضوع جدید Proof of personhood یا اثبات شخصیت انسانی به‌جای Know Your Customer یا احراز هویت مشتری مطرح می‌شود. در واقع فقط کافی است ثابت کنید که شما انسانید نه بات، همین کافی است و باقی اطلاعات شما بدرد ما نمی‌خورد. موضوع Proof of personhood در حال حاضر بسیار ترند شده است.

راه‌حل Proof of Personhood چطور مشکل احراز هویت متمرکز را برطرف می‌کند؟

از نظر من به‌صورت عمومی دو مسیر عمده برای Proof of personhood در فضای غیرمتمرکز وجود دارد. روش اول مسیر Biometrics و روش دوم مسیر Social Graph است. البته راه‌حل‌های دیگری هم برای حل این مشکل آزموده شده ولی عمده چیزی که الان در حال حاضر در جهان مشاهده می‌کنیم، حول همین دو مسیر خلاصه می‌شود.

پروژه‌هایی که به مسئله اثبات شخصیت انسانی از سمت بایو متریک رفته‌اند خود به دو دسته‌ی بزرگ تقسیم می‌شوند. دسته اول قبل از رمزارز WorldCoin و ورود آقای سم آلتمن مؤسس ChatGPT به این بازار، و دسته دوم پروژه‌های بعد از ورود ایشان به این حوزه است. در دسته اول ما با دو پروژه خیلی معروف به نام‌های Proof of Humanity و Idena روبرو هستیم. این دو پروژه با استفاده از روش‌های بایو متریک مثل ضبط ویدئو احراز هویت و با کمک AI یا همان هوش مصنوعی، شخصیت انسانی شما را اثبات می‌کنند. امل مشکل اصلی در این راه‌حل، نیاز مجدد این پروژه‌ها به کارت شناسایی شما بود. پس هنوز مشکل به‌صورت کامل رفع نشده. اینجا همان نقطه‌ای است که بزرگی انقلابی که شبکه بلاک‌چین Word Coin در حوزه پروژه‌های اثبات شخصیت انسانی بر مبنای اطلاعات بیولوژیکی به وجود آورد مشخص می‌شود.

این پروژه مدعی شد توانایی اثبات هویت انسانی کاربران را با استفاده از داده‌های بیومتریک، بدون جمع‌آوری و ذخیره داده‌ها دارد. در واقع دو شرط پروژه WorldCoin برای اطمینان‌بخشی به کاربران و پایبندی به آرمان‌های دیفای این بود: اولاً متمرکز نخواهم بود و ثانیاً داده‌های شما را جمع‌آوری نمی‌کنم.

برای تحقق این اهداف، وردکوین از 2 ابزار تکنولوژیک بسیار مهم در دنیای غیرمتمرکز استفاده میکند. مورد اول زیرساخت کلید عمومی یا PKI و مورد دوم که اثبات دانش صفر یا ZKproof است.