به گزارش ارزجو و به نقل از پایگاه خبری بیت کوین، یک استخراج کننده با سوء نیت توانست کنترل بخش اعظم “هش ریت” (Hashrate) شبکه Verge را در اختیار بگیرد؛ امری خطیر که امکان ایجاد تغییر در تراکنش ها را به مجری آن داد، و موجب زیر سوال رفتن بی نقص بودن کل بلاکچین شد. مجری این حمله، موفق به سرقت ۲۵۰ هزار واحد توکن XVG شد و سبب آماده سازی تیم پروژه برای یک انشعاب سخت گردید. در مورد حملاتی از این دست اینجا بخوانید.
یک روز بد دیگر برای آلتکوین دردسرساز؛ تیم تصمیم به انشعاب سخت Verge گرفت
روز چهارشنبه مورخ چهارم آوریل، “ocminer” یکی از کاربران عادی فروم Bitcointalk، اعلام کرد Verge (XVG) تحت حمله ۵۱% قرار گرفته است. وجود یک ایراد (Bug) در کد های منبع نرم افزار، امکان دستکاری نشانگر های زمانی (Timestamp) را به حمله کننده داد که موجب شد هر بلاک با استفاده از الگوریتم بلاک پیشین ایجاد گردد.
معمولا می باید از الگوریتمی متفاوت برای ایجاد هر بلاک استفاده شود تا مانع کنترل هش ریت XVG توسط یک معدنچی یا جمعی از آنان (Pool) شود. طرفداران Verge به عدم خویشتن داری در برابر اخبار بد مشهورند، و به سرعت کوهی از رشته گفتگو ها در Bitcointalk برای خلاصی از FUD (مخفف ترس، عدم اطمینان و تردید Fear, uncertainty, doubt) ایجاد کردند. یکی از طرفداران چنین اظهار تاسف نمود:
“زمان بندی این حمله به شدت مشکوک است. آیا ممکن است این حمله از جانب یک فرد نبوده و از جانب یک سازمان حکومتی ضد رمزارز باشد که نگران قرارداد عظیم همکاری قریب الوقوع Verge است؟ ماجرا بیش از صرفا یک حادثه است. ماه هاست که می گویم فقط یک همکاری عظیم با شرکتی در کلاس “آمازون” یا “Paypal” لازم است تا ارزش بازار Verge یک شبه ۴ برابر شود.”
شاهکار تبهکارانه استخراج کننده Verge
حمله کننده با بهره گیری از تعدادی ایرادات موجود در کد های Verge توانست هر یک ثانیه چند بلاک را، با استفاده از الگوریتم scrypt استخراج نماید؛ امری به نوع خود شاهکار که غیر ممکن می نمود. حمله پس از ۳ ساعت خنثی شد، اما در همین فاصله حمله کننده موفق به استخراج صدها بلاک گردید و برای برطرف کردن صدمه وارده عقب گرد (Rollback) بلاکچین را اجباری نمود. Justin توسعه دهنده اصلی Verge، اقدام به انتشار یک Commit (کامیت اصطلاحی در برنامه نویسی است) اضطراری جهت حل موقت مشکل نمود که موفقیت آمیز واقع شد – البته در دومین اقدام. حال برای برطرف نمودن دایمی معضل یک انشعاب سخت انجام خواهد شد.
کلاه برداری در توییتر Verge
این اتفاق برای Verge ممکن است تازه شروع دردسر ها باشد. حمله کننده طی انتشار پستی در یک فروم به این مضمون: “تیم Verge، چند نفر توسعه دهنده واقعی پیدا کرده و کد های خود را درست کنید! ما دو مشکل دیگر پیدا کرده ایم که می توان با آنها هش سریع هم انجام دهیم.” ترس به جان تیم این پروژه انداخت. از سوی دیگر، فریب خوردن دست کم یک نفر از طرفداران پروژه به واسطه یک توئیت تقلبی، مزید بر علت شد. این طرفدار چنین شرح داده:
“ساعاتی پیش سری به اکانت رسمی توئیتر Verge زدم تا خبری از هکِ هش بگیرم. وقتی داشتم توئیت را می خواندم متوجه پیام های متعددی شدم که پیشنهاد جبران خسارت حمله از جانب Verge را می داد. مقداری ETH ارسال کنید و با سود، خسارت خود را پس بگیرید. به گوش منِ درد کشیده از حمله که بعد از چند ساعت استخراج، روی دستگاه های بایکالم فقط بلاک یتیم (Orphaned Block) داشتم، منطقی رسید؛ و گول این کلاه برداری کثیف را، آن هم روی پیج رسمی توئیتر، خوردم.”
حمله ۵۱% بسیار نادر است
فرض غالب بر این است که حمله ۵۱% بسیار نادر است. به عنوان مثال برای کنترل بخش اعظم هش ریت بیت کوین، به توانی معادل ۱۴ اگزاهش (معادل ۱۴ میلیون تراهش) نیاز است، که کافی اما غیرممکن است. اما آلتکوین ها هش ریتی به مراتب پائین تر دارند؛ با این وجود باز هم شاهد چنین حملاتی بودن به هیچ وجه معمول نیست.
جالب اینجاست، باور بر این است که یک ارز دیگر با الگوریتم (PoW) “گواه انجام کار”، Electroneum، سه روز پیش توسط یک حمله ۵۱ درصد زمین گیر شده است. گزارشات حاکی از این است که حمله ۵۱% Electroneum از زمان از سر گرفته شدن، توسط هویت پشت حمله Verge صورت گرفته است.
Rowan Stone بنیانگذار شرکت استخراج رمزارز Alter Chain چنین شرح داده است: “تامین امنیت ارز هایی که از الگوریتم PoW استفاده می کنند مانند Verge، به واسطه توافق غیر متمرکز صورت می گیرد. این حمله مثالی خوب است برای نشان دادن آنچه در صورت ایجاد توافق توسط یک نفر که توان هش کافی در اختیار دارد، ممکن است رخ دهد. این واقعیت که XVG ایرادی قابل توجه در کد نویسی داشته اجرای عملیات را برای حمله کننده صرفا آسان تر نموده است.”
مشکل؟ کدام مشکل؟
طبق معمول، تیم Verge با انتشار یک توئیت سعی کرد از شدت هراس این حمله بکاهد:
“اول صبح امروز ما با یک حمله هش مواجه شدیم که حدود ۳ ساعت طول کشید، و اکنون بر طرف شده است. برای جلوگیری از رخ دادن این دست حملات در آینده بررسی های بیشتری انجام خواهیم داد.”
در فروم Bitcointalk نیز تلاش برای کنترل آسیب های حمله به شدت جریان داشت، مخصوصا با مطلبی که یکی از اعضای تیم، با اعتماد به نفس تمام منتشر نمود: “ما از رخ دادن این حمله و این که اوضاع از این بدتر نگردید به نوعی خوشنودیم.” این تیم همچنان تلاش کرد تا مانع از پیشروی بحث این اتفاق “جزئی” در کانال تلگرام خود شود.
سرقت ناشی از حمله استخراج کننده بد نیت
اما واقعیت چیز دیگری بود: هیچ یک از کیف پول های Verge با بلاکچین هماهنگ نمی شوند چرا که “اسنپ شات” (Snapshot) بلاکچین روی بلاک ۲۰۰۷۳۶۴ گیر کرده و اجرای یک انشعاب سخت واجب است. Verge ادعا کرده ۲۵۰ هزار واحد XVG توسط این معدنچی رِند به سرقت رفته، در صورتی که مخالفان مدعی شده اند این تعداد ۳٫۹ میلیون واحد است.
یکی از اعضای این فروم نوشته: “بر اساس آنچه از پست این توسعه دهنده می توان دریافت، روشن است اگر “ocminer” بقیه را متوجه این موضوع ننموده بود، تیم XVG این اتفاق را نه افشا می کرد و نه می پذیرفت. این که با جسارت سعی می کنند ماجرا را به روی خود نیاورند فقط موجب عصبانیت طرفداران را فراهم می کنند.” یکی از توسعه دهندگان با بی اعتنایی به ابعاد ماجرا چنین اعتراض خود را بیان نمود: “امسال چقدر ETH به سرقت رفته؟ این سرقت در مقابلش هیچ است.”
در ۲۴ ساعت گذشته XVG با ۱۶% کاهش مواجه شد. خبر حمله روز چهارشنبه صرفا به دلیل انتظار برای اعلان بزرگ مورخ ۱۶ آوریل که موجب دو برابر شدن قیمت در هفته گذشته بود، تلطیف شد. Verge فقط در سال ۲۰۱۸، خطا هایی همچون هک اکانت توئیتر، نشت اطلاعات توسط توسعه دهندگان، التماس خجالت آور از طرفدارانش برای ۳ میلیون دلار، و حال حمله ۵۱% را از سر باز کرده است. احتمالا جامعه رمزارز مشغول تمسخر باشند اما پیروان واقعی XVG زیاد تحت تاثیر قرار نگرفته اند.
