بلاک‌چین واقعا چقدر امنیت دارد؟

دوشنبه ، ۵ اردیبهشت ۱۴۰۱

هدف اصلی استفاده از بلاک‌چین این است که به افراد (به ویژه به افرادی که از یکدیگر شناختی ندارند و مهمتر از آن اعتمادی نسبت به هم ندارند) اجازه داده شود به روشی ایمن و بدون دستکاری بتوانند داده‌های با ارزش خود را با یکدیگر به اشتراک بگذارند.

بلاک‌چین‌ها به دلیل استفاده از الگوریتم‌های بسیار پیچیده ریاضی و قوانین نرم‌افزاری منحصر به فرد، داده‌ها را به نحوی ذخیره می‌کنند که دستکاری آن‌ها برای مهاجمان بسیار دشوار باشد. اما حقیقت این هستش که هر چه چقدر هم که امنیت این بلاک‌چین‌ها بالا باشد، وقتی پای مهاجمان ماهر در میان باشد گاهی وقتها دیده شده که بلاک‌چین‌هایی با بهترین طراحی نیز از حملات این مهاجمان در امان نمانده‌اند و در مقابل آن‌ها شکست خورده‌اند.

برای درک بهتر موضوع، با آنچه که در اصل بلاک‌چین‌ها را «ایمن» می‌کند، شروع می‌کنیم. بهترین مثال بیت‌کوین است‌. در بلاک‌چین بیت‌کوین، داده‌های به اشتراک گذاشته شده تاریخچه هر تراکنش بیت‌کوینی است که تاکنون ساخته شده است. تمام این تراکنش‌ها در یک دفتر کل توزیع شده «Distributed Ledger» ثبت می‌شود. دفتر کل توزیع شده در چندین نسخه در شبکه‌ای از رایانه‌ها به نام “گره” ذخیره می‌شود. هر بار که شخصی تراکنشی را به دفتر کل ارسال می‌کند، گره‌ها بررسی می‌کنند تا مطمئن شوند که تراکنش معتبر است (هر کسی که یک بیت‌کوین را خرج کرده، بیت‌کوینی برای خرج کردن داشته است). زیرمجموعه‌ای از آن‌ها نیز برای بسته‌بندی تراکنش‌های معتبر در “بلوک‌ها” و اضافه کردن آن‌ها به زنجیره ای از تراکنش‌های قبلی رقابت می‌کنند. صاحبان این گره‌ها ماینر نامیده می‌شوند. استخراج‌کنندگانی که با موفقیت بلوک‌های جدیدی را به بلاک‌چین اضافه می‌کنند، بیت‌کوین را به عنوان پاداش دریافت خواهند کرد.

چیزی که این سیستم را از نظر تئوری غیرقابل دستکاری می‌کند دو چیز است: اثر انگشت رمزنگاری منحصر به فرد برای هر بلوک، و «پروتکل اجماع»، فرآیندی که توسط آن گره‌ها در شبکه در مورد تاریخچه مشترک به توافق می‌رسند.

اثر انگشت که در بالا از آن نام بردیم، هش نامیده می‌شود، که برای تولید اولیه آن زمان و انرژی محاسباتی زیادی صرف می‌شود. بنابراین به عنوان مدرکی عمل می‌کند که ماینری که بلوک را به بلاک‌چین اضافه کرده است، کار محاسباتی را برای کسب پاداش که همان بیت‌کوین است انجام داده است (به همین دلیل، گفته می‌شود بیت کوین از پروتکل «اثبات کار» استفاده می‌کند). همچنین می‌توان در نظر گرفت که به عنوان مهر و موم هم عمل می‌کند، زیرا تغییر بلوک مستلزم ایجاد یک هش جدید است. با این حال، تأیید اینکه آیا هش با بلوک خود مطابقت دارد یا نه، آسان است، و هنگامی که گره‌ها این کار را انجام دادند، نسخه‌های مربوطه خود را در بلاک‌چین با اضافه کردن بلوک جدید به روز می‌کنند. این روش پروتکل اجماع نامیده می‌شود.

می‌رسیم به فاکتور امنیتی نهایی، آن هم این است که هش‌ها همچنین به عنوان پیوند در بلاک‌چین‌ها عمل می‌کنند، هر بلوک شامل هش منحصر به فرد بلوک قبلی است. بنابراین اگر می‌خواهید یک ورودی قبلی را در دفتر کل تغییر دهید، باید یک هش جدید نه تنها برای بلوکی که در آن وجود دارد، بلکه برای هر بلوک بعدی نیز محاسبه کنید. و شما باید این کار را سریعتر از گره‌های دیگر انجام دهید که در حال اضافه کردن بلوک‌های جدید به بلاک‌چین هستند. بنابراین، در صورت اینکه رایانه‌های قوی‌تر از مجموع سایر گره‌ها داشته باشید (و حتی در آن زمان هم، تضمینی برای موفقیت شما نیست)، هر بلوکی که اضافه می‌کنید با بلوک‌های موجود تضاد خواهد داشت، و گره‌های دیگر به طور خودکار تغییرات شما را رد می‌کنند. این همان چیزی است که بلاک‌چین را غیر قابل دستکاری یا “تغییرناپذیر” می‌کند.

یکی از ضمانت‌های امنیتی بر روی کاغذ یک سیستم بلاک‌چین، «تمرکززدایی» است. اگر کپی‌هایی از بلاک‌چین در یک شبکه بزرگ و گسترده از گره‌ها نگهداری شود، هیچ نقطه ضعفی برای حمله وجود ندارد و سخت است برای یک فرد یا تیم که قدرت محاسباتی کافی برای براندازی شبکه ایجاد کند. اما اخیرا سیرر و همکارانش طی تخقیقاتی نشان دادند که بیت‌کوین و اتریوم آنقدر هم که فکر می‌کنید غیرمتمرکز نیستند. آن‌ها دریافتند که چهار تیم برتر استخراج بیت‌کوین بیش از ۵۳ درصد از میانگین ظرفیت استخراج سیستم در هفته را دارند. و با همین معیار، سه ماینر اتریوم ۶۱ درصد استخراج را به خود اختصاص دادند.

برخی می‌گویند پروتکل‌های اجماع جایگزین، و پروتکل‌هایی که متکی به استخراج نیستند، می‌توانند ایمن‌تر باشند. اما این فرضیه در مقیاس بزرگ آزمایش نشده است و پروتکل‌های جدید احتمالاً مشکلات امنیتی خاص خود را دارند.

برخی دیگر بر خلاف سیستم بیت‌کوین که هر کسی که نرم افزار آن را دانلود کند می‌تواند به شبکه بپیوندد، پتانسیل را در بلاک‌چین‌هایی می‌بینند که برای پیوستن به آن‌ها نیاز به مجوز دارند. چنین سیستم‌هایی با اخلاق ضد سلسله مراتبی ارزهای رمزنگاری شده مغایرت دارد، اما این رویکرد برای مؤسسات مالی و سایر مؤسسات که به دنبال بهره‌برداری از مزایای یک پایگاه داده رمزنگاری مشترک هستند مناسب است.

با این حال، سوالاتی زیادی در ذهن مخطبان مطرح می‌شود، مانند چه کسی صلاحیت اعطای مجوز را دارد؟ چگونه سیستم اطمینان حاصل می‌کند که ولیدیتورها همان‌هایی هستند که می‌گویند؟ یک سیستم مجاز ممکن است باعث شود صاحبان آن احساس امنیت بیشتری کنند، اما در واقع فقط به آن‌ها کنترل بیشتری می‌دهد، به این معنی که آن‌ها می‌توانند تغییراتی را ایجاد کنند، خواه سایر شرکت‌کنندگان شبکه موافق باشند یا نه (چیزی که معتقدان واقعی آن را ناقض ایده بلاک‌چین می‌دانند.)