هک دائو؛ چگونه حمله‌ای سایبری سرنوشت اتریوم را تغییر داد؟

شما درمورد ماجرای هک دائو در سال ۲۰۱۶ چه اطلاعاتی دارید؟ آیا می‌دانید که چگونه ضعف امنیتی یک سازمان خودگردان غیرمتمرکز، بلاک چین اتریوم را به دو شاخه تقسیم کرد؟

امروزه، همه‌ی ما دائو را سازمانی خودگردان و غیرمتمرکز می‌دانیم؛ اما همین عبارت اگر با کلمه The ترکیب شود، یعنی The DAO، دائو اصلی یا اولین دائو، به ماجرای حمله‌ای سایبری اشاره دارد که سرنوشت بلاک چین اتریوم را برای همیشه تغییر داد. در سال ۲۰۱۶ و تنها چند ماه پس از معرفی پلتفرم قراردادهای هوشمند اتریوم، برادران Jentzsch و چند توسعه‌دهنده‌ی دیگر با اهدافی بلندپروازانه تصمیم گرفتند تا اولین صندوق سرمایه‌گذاری جهانی در تاریخ بشر را راه‌اندازی کنند.

این صندوق، به کمک فناوری به‌کاررفته در بلاک چین اتریوم، سازمانی خودگردان، مستقل، دیجیتال و غیرمتمرکز را به نام دائو یا DAO (مخفف Decentralized Autonomous Organization) تشکیل می‌داد و امکان جمع‌آوری سرمایه‌ و رأی‌گیری برای استفاده از آن را بدون نیاز به یک مدیر یا رهبر، فراهم می‌کرد.

با وجود تمام مزایایی که سازمانی خودگردان غیرمتمرکز ارائه می‌داد، در یک صبح‌ بهاری در سال ۲۰۱۶، رویای استفاده از دائو، به همان شکل اولیه‌ای که توسعه‌دهندگان متصور شده بودند، به تاریخ پیوست. ماجرا با ارسال ایمیل فیشینگی به یکی از کارمندان یاهو آغاز شد که درنهایت به از دست دادن ۶۰ میلیون دلار اتر یا یک‌سوم سرمایه‌ جمع‌آوری شده توسط شرکت‌کنندگان DAO منجر شد.

در نتیجه این حادثه، قیمت رمزارز اتر به شدت کاهش یافت و بحث‌های زیادی در مورد راه‌حل‌های مختلف برای جبران خسارت و جلوگیری از تکرار آن، مطرح شد. بسیاری از توسعه‌دهندگان داخلی معتقدند که بدون هک دائو در سال ۲۰۱۶، بلاک چین اتریوم به شکلی که امروزه می‌بینیم، وجود نداشت. درواقع شاید بتوان گفت که ماجرای هک دائو، باعث شد تا مسئله‌ی هاردفورکی هماهنگ به عنوان بحث‌برانگیزترین تصمیم در تاریخ اتریوم، مطرح شود. گاهی اوقات از این هاردفورک هماهنگ، با عنوان تغییر وضعیتِ نامنظم نیز یاد می شود.

انجام هاردفورک در آن زمان، به‌سادگی امکان بازیابی ۵۰ میلیون دلار را فراهم کرد و بلاک چین اتریوم را به حالت قبل از حمله برگرداند، همزمان بحث‌های بزرگ و مهمی را در مورد اصل تغییرناپذیری بلاک چین به راه انداخت.

مخالفان هاردفورک نگران بودند که این کار، یکپارچگی و تمرکززدایی شبکه را از بین یبرد و اعتماد به سیستم را کاهش دهد، اما امروزه برادران Jentzsch و دیگر افراد درگیر در شرایطِ آن زمان، معتقدند که هک دائو و انجام هاردفورک نه تنها تراژدی نبود، بلکه آن را نقطه عطفی برای شکل‌گیری اتریوم، به شکل امروزی آن معرفی می‌کنند. تاجایی که حتی جنجال DAO را به نوعی موازی با تأثیر هک Mt. Gox بر بیت‌کوین در نظر می‌گیرند: تست استرسی که جامعه را تا مرز نابودی پیش برد، اما پیوندها و پیشینه‌هایی را ایجاد کرد که در موفقیت و حرکت رو‌به‌جلوی این فناوری موثر بودند.

ماجرای شکل‌گیری اولین دائو

ایده‌ی راه‌اندازی دائو اصلی یا اولین دائو (The DAO) درنتیجه‌ی کمبود بودجه بنیاد اتریوم، سازمانی غیرانتفاعی برای نظارت بر توسعه بلاک چین، شکل گرفت. کریستوف، یکی از برداران Jentzsch، پس از مطالعه وایت پیپر اتریوم در سال ۲۰۱۴، تحت تاثیر قرار گرفت و در توسعه‌ی اولیه بلاک چین این شبکه، مشارکت کرد. او خیلی سریع به بنیاد اتریوم پیوست و به عنوان کدنویس و تستر نسخه‌ی ++C کلاینت اتریوم مشغول به کار شد؛ کریستوف درست هم‌زمان با فعالیت‌های ویتالیک بوترین، این کلاینت را توسعه داد و سپس کلاینت پایتون را ایجاد کرد.

توسعه ++C تا تابستان ۲۰۱۵ انجام شد، اما در آن زمان بنیاد اتریوم با کمبود بودجه مواجه شده بود و بسیاری از مشارکت‌کنندگان تصمیم گرفتند روی دیگر پروژه‌های مرتبط سرمایه‌گذاری کنند؛ برای مثال گاوین وود (Gavin Wood)، یکی از بنیان‌گذاران اتریوم، برای راه‌اندازی پلتفرمی به نام Parity (همان پولکادات امروزی) از بنیاد اتریوم جدا شد. کریستوف ناامید نشد و پلتفرم توسعه‌دهنده‌ای را برای قراردادهای هوشمندی به نام Slock.it، راه‌اندازی کرد.

او و تیمش در ابتدا، اولین دائو یا The DAO را به طور خاص برای جمع‌آوری سرمایه مورد نیاز Slock.it توسعه دادند و هدف از این کار را هم جمع‌آوری مبلغی بین ۵ تا ۱۰ میلیون دلار از کاربران اتریوم عنوان کردند. با این حال، پس از مدت کوتاهی پروژه دائو سرو‌صدا به راه انداخت و اوضاع به سرعت از کنترل خارج شد؛ سرمایه جمع‌آوری‌شده خیلی بیشتر از انتظار بود و حالا دیگر اهداف پروژه نیاز به بازنگری اساسی داشتند. کریستوف در این‌باره گفت:

پس از جمع‌آوری ۲۰ یا ۳۰ میلیون دلار، همه معتقد بودیم که این سرمایه می‌تواند علاوه بر پلتفرم Slock.it، برای تامین مالی تمام برنامه‌های موجود در اتریوم استفاده شود.

افراد مشارکت‌کننده می توانستند پس از خرید اتریوم و سرمایه‌گذاری در پروژه DAO، با دریافت تعدادی توکن، حق رأی کسب کنند. به‌ لطف ویژگی‌هایی مانند تطبیق‌پذیری، انعطاف و شفافیت شبکه اتریوم در عرض چند هفته، اولین دائو موفق شد، سرمایه‌ای خیر‌ه‌کننده به مبلغ ۱۵۰ میلیون دلار جمع‌آوری کند؛ این موضوع کریستوف را وحشت‌زده کرد، او می‌گوید:

۱۵۰ میلیون دلار، بسیار بیشتر از مبلغی بود که دنبالش بودیم! من ساعت‌ها در طبیعت قدم می‌زدم و تمام مدت نگران DAO بودم، من فقط ۵ تا ۱۰ میلیون دلار نیاز داشتم، نه ۱۵ درصد از کل اتریوم را! ۱۵۰ میلیون دلار مبلغی نجومی بود؛ من داشتم پروژه‌ای را به دنیا می‌آوردم که ممکن بود از کنترلم خارج شود و اتفاق بدی را در جهان رقم بزند.

دانلود هفتمین ماهنامه دامیننس

سواد اقتصادی و ذهنیت برنده در دنیای کریپتوکارنسی

Please leave this field empty.

Δ

هک دائو

در یک صبح بهاری در ژوئن ۲۰۱۶، Jentzsch و تمام افراد تیمش با قرمز شدن ناگهانی صفحه‌نمایش گوشی‌ها و کامپیوترهای‌شان وحشت‌زده شدند. یکی از اعضای تیم پشتیبانی دائو می‌گوید، من نیروی فنی نبودم، اما می‌دانستم که اتفاق بدی در حال وقوع است. اما دائو چگونه هک شد؟ طبق یکی از شرایط قرارداد DAO، انتقال اتر تا ۲۸ روز پس از خریدِ این رمزارز، امکان‌پذیر بود و هکری ناشناس هم با استفاده از‌ همین حفره‌ی امنیتی، بیش از ۵۰ میلیون دلار از شبکه اتریوم را به‌سرقت برد.

در واکنش به این حمله سایبری، نه تنها بنیان‌گذاران اتریوم، بلکه چهره‌هایی از سراسر فضای کریپتو برای یافتن راه‌حل دور هم جمع شدند؛ خود ویتالیک بوترین، که مستقیماً با DAO درگیر نبود، یا حتی برخی از طرفداران سرسخت بیت کوین هم دست‌به‌دست هم دادند تا راهی برای جبران مافات ضررهای ناشی از این هک پیدا کنند.

گروهی از هکرهای کلاه سفید، به نام گروه رابین هود، تلاش کردند تا با ضدحمله، تا جایی که ممکن بود، وجوه هک شده را بازیابی کنند. درنهایت کلاه سفید‌ها موفق شدند بخش بزرگی از مبلغ به‌سرقت رفته را زنده کنند، اما این موفقیت در اصل داستان، تغییری ایجاد نمی‌کرد؛ DAO واقعاً غیرمتمرکز بود و هیچ راه آسانی برای جلوگیری از حمله‌ای مشابه در آینده وجود نداشت. کریستوف معتقد است:

حتی پس از پیروزی کلاه سفیدها هم پایانی واقعی برای هک دائو در کار نبود؛ این داستان ممکن بود باز هم بارها اتفاق بیفتد.

هک دائو با وجود ضرر مالی و ضربه به شهرت آن، توجهِ مورد نیازِ توسعه‌دهندگانی که سعی در پیشبرد امور داشتند را نیز، به خود جلب کرد. کریستوف در‌این‌باره می‌گوید:

دو ماهِ تمام، توجه کل اکوسیستم اتریوم به این موضوع بود و درنهایت تصمیم بر این شد که باید از آن عبور کنیم. هارد‌فورک، پایانی بسیار تروتمیز برای این مرحله بود.

هاردفورک اتریوم

توسعه‌دهندگان اتریوم، یا باید هرچه سریع‌تر راه‌حلی برای مشکل هک دائو پیدا می‌کردند یا باید دزدیده‌شدن مبلغ به سرقت‌رفته را پذیرفته و آن را امری طبیعی در شبکه غیرمتمرکز بلاک چین قلمداد می‌کردند.

ابتدا تیم توسعه‌دهنده شبکه اتریوم برای حفظ اعتبار آن، تصمیم به انجام سافت‌فورک گرفت؛ درواقع آن‌ها می‌خواستند بدون تغییر قوانین بلاک چین، مانع از انجام تراکنش، به‌دست هکرها شوند و با نادیده‌گرفتن بلاک‌های دخیل در حملات سایبری، مبلغ دزدیده‌شده را به صاحبان‌شان برگردانند. بااین‌حال، سافت‌فورک می‌توانست حجم زیادی تقاضای کاذب را به‌‌سمت سرور شبکه اتریوم روانه کند و آن را درمعرض خطر حملات DDoS قرار دهد.

در‌نهایت برای رفع مشکل هک دائو، اکثر جامعه اتریوم و بنیان‌گذاران آن، راه‌حلی رادیکال پیشنهاد دادند: اگر تنها راه برای شکست دادن هکرها، تغییر قوانین بازی باشد، چه؟ با هاردفورکِ کل بلاک چین اتریوم، امکان بازیابی ۵۰ میلیون دلار فراهم می‌شد و بلاک چین شبکه اتریوم را به حالت قبل از حمله برمی‌گرداند. این تغییر، نه تنها اشکالی که DAO را فلج کرده بود، برطرف می‌کرد، بلکه اتفاقی بسیار رادیکال‌تر را شامل می‌شد: «تغییر وضعیت نامنظم».

مخالفان هاردفورک اعتقاد داشتند که قانون همان کد نوشته شده است و بلاک چین‌ها نباید مطابق میل بشری تغییر داده شوند، برای آنها، تغییر وضعیت نامنظم، فقط نوعی تقلب نبود، بلکه خیانت عمیقی به کل فناوری بلاک چین بود و اعتقاد داشتند که هاردفورک یکپارچگی و غیرمترکز بودن شبکه را از بین می‌برد؛ در همین راستا، شکاف ایدئولوژیکی عمیقی بین دو گروه مخالفان و موافقان هاردفورک رخ داد.

سرانجام موافقان هاردفورک پیروز شدند؛ هاردفورک روی بلاکِ شماره‌ی ۱،۹۲۰،۰۰۰، یعنی یک بلاک قبل از رخ‌دادن حمله انجام شد و بلاک چین و ارز دیجیتال جدیدی، به‌وجود آمد. البته مخالفان هاردفورک هم راه خود را رفتند، آن‌ها روی زنجیره قدیمی اتریوم باقی ماندند و نام آن را به اتریوم کلاسیک تغییر دادند؛ از‌آنجا‌که اتریوم کلاسیک روی همان کد قدیمی بلاک چین اتریوم باقی ماند،‌ گاهی از آن با نام اتریوم اصلی نیز یاد می‌کنند.

پس از هارد فورک، اتریوم کلاسیک هیچ به‌رو‌زرسانی مستقیمی از زنجیره اتریوم دریافت نکرد؛ اتریوم کلاسیک و اتریوم به عنوان پروژه‌های مجزا نگهداری می‌شوند و تیم‌های متفاوتی برای توسعه هرکدام فعالیت می‌کنند.

آنچه پس از هک دائو رخ داد

امروز، هفت سال از هک دائو و هاردفورک اتریوم، زمان می‌گذرد و نکته‌ی قابل‌توجه در این مدت، این است که در این مدت، اتفاقی که به انجام هاردفورکی مشابه نیاز داشته باشد، رخ نداده است. حتی پس از مشکل کیف پول Parity در اواخر سال ۲۰۱۷ هم هیچ‌ پیشنهادی مبنی بر انجام هاردفورک برای رفع آن، مطرح نشد. مشکل کیف پول Parity، باگ امنیتی بزرگی بود که در نوامبر ۲۰۱۷ رخ داد و باعث شد حدود ۳۱ میلیون دلار از اترهای نگهداری شده در کیف پول‌های چندامضای Parity، فریز شوند.

این باگ به دلیل یک خطای برنامه‌نویسی در قرارداد هوشمند کتابخانه Parity Wallet Library ایجاد شد و تاکنون هم هیچ راه‌حلی قطعی برای بازگرداندن اترهای فریز شده، مطرح نشده است، حتی با وجود اینکه برخی از توسعه‌دهندگان اتریوم، معتقدند که این مسئله مستلزم هاردفورکی دوباره است، اما هرگز توافقی برای انجام آن، صورت نگرفت.

یکی از واقعیت‌های قابل توجه در مورد هک دائو، این است که مجرم هنوز شناسایی نشده است. درواقع می‌دانیم که هکر برای حمله به دائو، از باگ‌هایی که تیم توسعه‌دهنده‌ی این پروژه شناسایی کرده بودند، سواستفاده کرده و قبل از اصلاح این باگ‌ها، حمله‌ی خود را انجام داده است. بر همین اساس برخی معتقدند، هکرِ جنجال دائو، نیرویی خودی و از داخل تیم توسعه بوده، اما این فرضیه در حد حدس و گمان باقی ماند.
پس از جریان هک دائو، هک‌ها و حملات سایبری به پروژه‌ها و صرافی‌های بزرگ ارزهای دیجیتال در دنیای دیفای (DeFi)، همچنان ادامه داشتند و جنجال دا‌ئو نتوانست راهی برای جلوگیری از این حملات ارائه دهد.

این حملات گاها بسیار بزرگتر از هک دائو بودند، تاجایی که برخی از مبالغ سرقتی در هک‌های دیفای به ۳۲۵ میلیون دلار (هک Warmhole سال ۲۰۲۲) و ۶۲۵ میلیون دلار (اکسپلویت Ronin) هم رسید. طبق گزارش Chainalysis، هک‌های دنیای دیفای، ۸۲ درصد از کل سرقت‌های هکری در سال ۲۰۲۲ را تشکیل می‌دهند.

روی خوش ماجرا

بدون شک اگر ماجرای هک دائو اتفاق نمی‌افتاد، امروز اوضاع تراکنش‌ها و امنیت آن‌ها در دنیای کریپتوکارنسی فاجعه بود! کریستوف معتقد است:

کل صنعت کریپتوکارنسی پس از جنجال دائو، به سمت امنیتی شدن سوق پیدا کرد. پیش از آن، این فضا تنها به خاطر سرعت بالای تراکنش‌ها محبوببت داشت و کل ماجرای اهمیت در حفظ امنیت بلاک چین اساساً پس از دائو مطرح شد.

کریستوف معتقد است که یکی از بدترین پیامد‌های هک دائو، تغییر مدل‌های تامین مالی در صنعت کریپتو از سازمان‌های جمعی به فروش مستقیم ICO به سرمایه‌گذار بود. درواقع دائو ثابت کرده بود که شما می‌توانید به صورت زنجیره‌ای پول جمع‌آوری کنید، اما پس از آن ماجرای جنجالی، این اصل از بین رفت و پروژه‌های جستجوی سرمایه، دست خالی باقی ماندند. او می‌گوید:

پس از جنجال دائو، بسیاری از پروژه‌هایی که برای جمع‌آوری پول از DAO برنامه‌ریزی می‌کردند، درنهایت به انجام ICO‌ها ختم شدند.

ICO یا Initial Coin Offering، نوعی دیگر از روش‌های تامین مالی برای پروژه‌های رمزارزی است؛ شرکتی که قصد دارد یک سکه، برنامه یا خدمت جدیدی ارائه دهد، می‌تواند یک ICO را به عنوان راهی برای جمع‌آوری سرمایه راه‌اندازی کند و سرمایه‌گذاران علاقه‌مند هم می‌توانند در ICO شرکت کرده و در ازای مشارکت خود، توکن رمزارزی جدید دریافت کنند. این توکن ممکن است برای برخی از کاربردهای مربوط به محصول یا خدمات شرکت، مزیتی ارائه دهد یا نشان‌دهنده سهم در شرکت یا پروژه باشد.

به گفته کریستوف، آنچه در تغییر از DAO به ICO از دست رفت، نظارت یا بررسی کارشناسانه بود. درواقع در دائو، ترکیبی از خرد جمعی و سرمایه‌گذاران بالغ برای بررسی سرمایه‌ جمع‌آوری‌شده وجود داشت و ایده‌ی اصلی، دریافت قراردادی هوشمند با تمام جزئیات به جای دریافت چک بود:

حکمت و خرد بسیار بیشتری در دائو وجود داشت و دریافت سرمایه هم به‌طبع مشکل‌‌تر از راه‌اندازی ICO بود؛ همین موضوع باعث می‌شد تا سرمایه جمع‌آوری شده برای صرف پروژه‌های قانونی صرف شود و کلاهبرداری‌های آشکار کمتری رخ دهند.

در کل می‌توان گفت که کریستوف از افول و هک دائو بیشتر متاسف است تا خوشحال:

ماهیت اتریوم در آن زمان و دیدگاهی رویایی که ما برای جهان متصور بودیم، بسیار شبیه به طرفداران و توسعه‌دهندگان اولیه بیت‌کوین‌ بود. هنوز هم بخشی از همان دیدگاه را حفظ کرده‌ایم. ما نتوانستیم چشم‌اندازی را که در آن زمان برای ساخت برنامه‌های غیرمتمرکز واقعی داشتیم، دنبال کنیم، با این حال، امروز در مورد برقراری امنیت در قراردادهای هوشمند، در شرایط بسیار بهتری به سر می‌بریم.

گفتار پایانی

ماجرای هک دائو در سال ۲۰۱۶ یکی از بزرگترین حملات سایبری به بلاک چین اتریوم بود که منجر به سرقت میلیون‌ها دلار از سازمان خودگردان غیرمتمرکزی به نام دائو شد. دائو (DAO) پروژه‌ای بود که قصد داشت با استفاده از قراردادهای هوشمند، سازمان غیرمتمرکز را ایجاد کند که تصمیم‌گیری‌های آن توسط سرمایه‌گذاران و توکن‌داران انجام شود.

به گفته بعضی منابع، روند هک دائو با ارسال یک ایمیل فیشینگ به یکی از کارمندان یاهو آغاز شد و هکرها با استفاده از ضعفی امنیتی در قرارداد هوشمند دائو، توانستند حدود ۳۶ میلیون توکن ETH به ارزش حدود ۵۵ میلیون دلار را به حساب خود منتقل کنند. این حادثه باعث شد که قیمت رمزارز اتر به شدت کاهش یابد و بحث‌های شدیدی در مورد راه‌حل‌های مختلف برای جبران خسارت و جلوگیری از تکرار آن مطرح شود.

بعضی از جامعه اتریوم پیشنهاد دادند که با انجام هاردفورک، بلاک چین را به حالت قبل از هک بازگردانده و دارایی‌های سرقت شده را به صاحبان اصلی برگردانند. این پیشنهاد با مخالفت بخش دیگری از جامعه روبرو شد که معتقد بودند که هاردفورک نقض عقیده غیرمتمرکز بودن بلاک چین است و ممکن است در آینده منجر به دخالت‌های دولت‌ها و سازمان‌های مختلف در آن شود.

در نهایت، هاردفورک با رأی‌گیری عمومی تصویب شد و بلاک چین اتریوم به دو شاخه تقسیم شد: یک شاخه که هاردفورک را پذیرفت و به نام ETH شناخته می‌شود و یک شاخه که هاردفورک را رد کرد و به نام ETC یا اتر کلاسیک معروف است.

امروز، هفت سال از هک دائو و هاردفورک اتریوم، زمان می‌گذرد و نکته‌ی قابل‌توجه در این مدت، این است که در این مدت، اتفاقی که به انجام هاردفورکی مشابه نیاز داشته باشد، رخ نداده است. کل صنعت کریپتوکارنسی پس از جنجال دائو، به سمت امنیتی شدن سوق پیدا کرد و بدون شک اگر ماجرای هک دائو اتفاق نمی‌افتاد، امروز اوضاع تراکنش‌ها و امنیت آن‌ها در دنیای کریپتوکارنسی، بهبود پیدا نمی‌کرد.

شما درباره‌ی هک دائو، پیامد‌ها و اتفاقات پس از آن چه دیدگاهی دارید؟ آیا هاردفورک را راهی مناسب برای بازگرداندن وجوه به‌سرقت رفته می‌دانید یا معتقدید که انجام سافت فورک در آن زمان راه بهتری برای رفع مشکل بود؟