Bitcoin Threat Model
هدف از ارائه مدل تهدید بیت کوین (Bitcoin Threat Model) کمک رسانی به کاربران، سرمایهگذاران و توسعه دهندگان است تا درک بهتری از امنیت شبکه پیدا کنند. منظور از تهدید هر گونه فعالیتی است که مانعی در برابر رسالت بیت کوین باشد و اجازه ندهد بیت کوین به هدف نهایی خود که همان تبدیل شدن به پول است، دست یابد، مانند سرقت کلید خصوصی .
قبل از خواندن این مقاله ضروری است اعلام کنیم که در حال حاضر هیچ گونه خطری این شبکه را تهدید نمیکند. اما ممکن است در آینده تهدید های جدیدی کشف شوند و یا تهدیدهای فعلی قدرتمند تر از قبل وارد عمل شوند. در این مقاله به معرفی حملات محتمل میپردازیم. در ضمن بعد از هر حمله قابلیتهای امنیتی شبکه بیتکوین که مانع از اجرای این حملات میشود را هم معرفی میکنیم.
مقدمه
برای اینکه متوجه شویم که اصلاً تهدید بیت کوین چیست باید از اشکال تهدید، برنامههای امنیتی طراحیشده برای محافظت در برابر تهدید و همچنین نمونههای قبلی از حملاتی که تهدیدی خاص را عملی کردهاند، اگاه شویم.
در شبکه رمزارزها و به خصوص شبکه Bitcoin که در اینجا به بررسی حملات آن میپردازیم، مهاجمان میتوانند مستقیماً با ایجاد یک برنامه نرمافزاری به شبکه حمله کنند و باعث تهدید بیت کوین شوند. بدین صورت که نشان دهند بیت کوین یک پول بیهوده و بیثمر است؛ و یا به انسانهایی که حضورشان برای پشتیبانی از این نرمافزار ضروری است، حمله کنند.
تهدید ها به دسته های زیر تقسیم میشوند:
- ممانعت از پذیرش بیت کوین: این نوع تهدیدها با ارائه دلایل معقول، پذیرش بیت کوین به عنوان یک پول را زیر سوال میبرند. و از این امر ممانعت میکنند.
- کند کردن روند پذیرش: این نوع تهدیدها با ارائه دلایل معقول فرآیند پذیرش بیت کوین را کند میکنند.
- تهدیدهایی که هیچ تأثیری بر روند پذیرش ندارند: این نوع تهدیدها هیچ دلیل منطقی برای کند کردن روند پذیرش بیت کوین ندارند.
تهدیدهای نرم افزاری
این نوع تهدیدها با سو استفاده کردن از معایب و نقصهای موجود در نرم افزار بیت کوین از تبدیل شدن آن به پول جلوگیری میکنند.
ایجاد تراکنش
مالکان بیت کوین میتوانند با ایجاد یک تراکنش امضا شده و انتشار آن در شبکه بیت کوین، مقادیری از این رمزارز را برای یکدیگر ارسال کنند. نرم افزاری که مسئولیت ساخت این تراکنش را به عهده دارد، “ولت” یا همان کیف پول نامیده میشود.
برای اینکه یک تراکنش از سمت شبکه مورد قبول واقع شود، کاربر باید با استفاده از کلید خصوصی خود به صورت دیجیتالی آن را امضا کند. این نرمافزار یا همان ولت بیت کوین کلیدهای خصوصی کاربران را هم مخفی نگه میدارد.
مطلب مفید:آیا کشف هویت طرفین معامله در شبکه بیت کوین ممکن است؟
سرقت کلید خصوصی
مهاجم با سرقت کلید خصوصی کاربران به راحتی میتواند به بیت کوین های آنان دسترسی پیدا کند و آنها را به سرقت ببرد. اگر مهاجمی به کلیدهای خصوصی کاربران دسترسی پیدا کند. به راحتی میتواند بیت کوین مورد نظر را برای خودش ارسال کند.
قابلیتهای امنیتی
- هر کاربر بیت کوین فقط از کلید خصوصی خودش نگهداری میکند. پس مهاجم تنها به همان کلیدهای آن کاربر مشخص دسترسی دارد و در لحظه میتواند تنها از همان یک نفر سرقت کند.
این مسئله اشتیاق مهاجم را کم میکند. چرا که در بیشتر سیستمهای متمرکز مثل بانکها، نهادهای اعتباری و کارگزاری ها، یک حمله موفقیت آمیز میتواند منجر به دسترسی به سرمایه هزاران کاربر شود.
- تا زمانی که سرقت کلید خصوصی هماهنگ و سیستماتیک نباشد، مانعی برای پذیرش بیت کوین به عنوان پول نخواهد بود. این مسئله تا زمانی که سرقت کلیدهای خصوصی دشوارتر از سرقت پول دولت باشد، واقعاً درست است.
- با محبوبیت هرچه بیشتر کیف پول های سخت افزاری در میان مردم، سرقت کلید خصوصی تقریباً غیر ممکن شده است. مگر اینکه سارق به خود کیف پول یا اعداد پین دسترسی پیدا کند.
حملات گذشته
- در سال 2011 زمانی که نگه داری از کلید خصوصی بسیار سختتر از الان بود، سرقت کلید خصوصی امری محتمل تر بود. https://bitcointalk.org/index.php?topic=16457.msg214423#msg214423
- مالکان بیتکوین کلیدهای خصوصیشان را در اختیار بازاری به نام sheep قرار داده بودند. https://www.theverge.com/2013/12/2/5167670/sheep-marketplace-bitcoin-heist-nets-at-least-5-million-owners-blamed
- مالکان بیت کوین کلیدهای خصوصیشان را در اختیار صرافی ای به نام Mt Gox قرار داده بودند. https://www.wired.com/2014/03/bitcoin-exchange/
اگرچه کاربران باید در حفظ کلید خصوصی خود کوشا باشند، اما هنوز هم بیت کوین امنترین دارایی دیجیتال جهان به حساب میآید.
مطلب مفید:پایان بدقولی چند ساله Mt GOX
حدس زدن کلید خصوصی کاربران
مهاجم با استفاده از یک کامپیوتر کوانتومی میتواند کلید خصوصی همه کاربران را حدس بزند. اگر مهاجم کلیدهای خصوصی را حدس بزند، پس میتواند همه بیت کوینهای کاربران را به سرقت ببرد.
قابلیت های امنیتی
- کلید خصوصی به قدری بزرگ است که برق زیادی باید صرف عملیات حدس زدن آن شود. انرژی و برق رایانه ای که قادر به حدس زدن این کلید است از برقی که خورشید در طول عمر خود تولید می کند، بیشتر خواهد بود.
تا به حال هیچ حمله ای به این صورت انجام نشده است.
چنین حملهای برای سرقت کلید خصوصی تقریباً غیر ممکن است. بسیار بعید است که محاسبات کوانتومی یا هر زمینه دیگری از تحقیقات علمی منجر به عوض شدن درک ما از قوانین پایهای فیزیک شود و بتوانیم بگوییم حدس زدن کلید خصوصی امری محتمل خواهد بود.
به طور کلی کلید عمومی و خصوصی برای رمزگشایی پیامهای رمزنگاری شده با الگوریتمهای کریپتوگرافی (Cryptography)، مورد استفاده قرار میگیرد. کلید عمومی را میتوان در اختیار هرکسی قرار داد اما از کلید خصوصی استفاده شده برای رمزنگاری، باید مثل پسورد گاوصندوق داراییهای دیجیتال محافظت کرد.
حمله 51 درصد یک حمله بالقوه به یک شبکه بلاک چین است که در آن یک فرد یا گروه کنترل غالب هشریت شبکه را در اختیار گرفته و در آن اختلال ایجاد کند. در این سناریو، مهاچم قدرت استخراج کافی برای دستکاری تراکنشها را در اختیار دارد.
