روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ یکی از باورهای ضعیفی که بسیاری از مشتاقان بلاک‌چین دارند این است که کدی که خودِ بلاک‌چین حمایتش کند کفایت می‌کند. آن‌ها می‌گویند: «کد، قانون است». متأسفانه از خیلی وقت پیش ثابت شده که این باور کذبی است چراکه کد را افراد می‌نویسند و افراد نیز خود پیوسته در معرض خطا هستند. حتی وقتی ماشین‌ها هم کدنویسی می‌کنند باز هم امکان بروز خطا وجود دارد دیگر چه برسد به انسان: برای مثال بهره‌برداری از قرارداد هوشمند سازمان غیر متمرکز مستقل DAO نهایتاً از اتریوم به «انشعاب سختِ» (hard fork) اتریوم کلاسیک رسید. چنین دردسرهایی بیش از یک بار و با بیش از یک بلاک‌چین اتفاق می‌افتد.

این مشکلات تنها محدود به نقایص کد نیستند. از دیدگاه امنیت اطلاعات، سیستم‌های بلاک‌چین -شامل نودها و کیف‌پول‌ها- تنها نرم‌افزارند و بس. افرادی هم که از این نرم‌افزارها استفاده می‌کنند خیلی راحت فریب ترفندهای مهندسی اجتماعی را می‌خورند. برخی مشکلات از جمله استفاده از فیشینگ برای سرقت سکه‌ها از کیف‌پول می‌تواند با نرم افزاری امنیتی از سوی مشتری رفع گردد اما یک‌سری‌ مشکلات به این آسانی‌ها حل‌شدنی نیستند؛ مثلاً آن‌هایی که وقتی اسکمرها  بازده سرمایه‌گذاری صد در صدی را وعده می‌دهند باورشان می‌شود؛ غافل از اینکه خیلی ناگهانی هم غیبشان می‌زند.

«عرضه اولیه سکه[1]» (ICO) هنوز هم میانِ استارت‌آپ‌هایی که جذب سرمایه می‌کنند باب است؛ تعداد توکن[2]‌های فروش از تعداد آن‌ها در سال 2017 بیشتر شده است. در عین حال، آنقدر که قیمت‌های رمزی کاهش یافت، از خودِ کلاهبرداری کم نشد. برخی برآوردها حاکی از این است که جمع خسارات از سال گذشته 1.7 میلیارد دلار بوده و در سال 2017 بالای 400 درصد بوده است (سال تنظیمات رکورد برای میزان خسارت هر رخداد). نمونه‌ی بارِزش آسیب‌پذیری‌های Parity Wallet که نخست به خسارت 30 میلیون دلار ارزش اتریوم و بعد به بسته شدن 154 میلیون دلار ارزش توکن اتریوم (با پاک کردن اطلاعات از بلاکچین) منجر شد.

و سناریو وخیم‌تر هم شد: در سال 2018 حدود 950 میلیون بابت دزدی از تبادلات رمزارزها و کیف‌پول‌ها از دست رفت و 750 میلیون دیگر نیز در نتیجه‌ی ICOهای کلاهبردار و یا توکن‌های فروش، هک تبادل‌های ارزی و دیگر نقشه‌ها به باد هوا رفت. البته که هیچ تعجبی نیست رگولاتورها نیز دست به کار شده‌اند. موضع چنین مقامات مالی‌ (مانند کمیسیون بورس و اوراق بهادار آمریکا[3]) این است که با توکن‌ها باید درست مانند اوراق بهادار با تمام مفاهیم آن (شامل پیگرد قانونی مجرم) رفتار کرد. این برای STO (عرضه توکن اوراق بهادار) نیز صادق است؛ بنابراین اگر توکن‌های فروش را به چشم وسیله‌ای برای ارتقای سطح سازمانی می‌بینید پیشنهاد می‌دهیم درست همانطور به توکن‌های فروش فکر کنید که در مورد صدور اوراق بهادار فکر می‌کنید.

چهار حوزه‌ی اصلی توکن‌های فروش:

آسیب‌پذیری‌های قرارداد هوشمند، اشتباهات پرسنل، حملات فیشینگ بر روی سرمایه‌گذاران و امنیت عملیات‌ها.

آسیب‌پذیری‌های قرارداد هوشمند

قراردادهای هوشمند خیلی ضعیف نوشته می‌شوند. برآوردهای چندین سال پیش حاکی از این می‌باشد که کد قرارداد هوشمند 6 برابر کد قرارداد تجاری بیشتر باگ دارد. بر اساس آمار سال 2018، ظاهراً این وضعیت همچنان رو به بهبود نیست. از نقطه‌نظر ما که بیش از دو دهه است داریم با نقایص نرم‌افزاری دست و پنجه نرم می‌کنیم، بررسی روی قراردادهای هوشمند چیزی شبیه به انجام آزمایش روی امنیت اپ است. شاید حتی ساده‌تر از آن، زیرا قراردادهای هوشمند پیش از گردآوری، به زبان اسکریپت نوشته می‌شوند. خوب می‌دانید، چیز جدیدی در کار نیست- شما می‌توانید خودتان هم ببینید که بیشتر خطاهای انسانی مدت‌هاست در جهان قاعده‌مندِ نرم افزاری شناخته‌شده‌اند. برای مثال، تماس‌های خالیِ بازگشتی که به سرقت DAO و انشعاب سخت اتریوم حاصل از آن و یا کنترل دسترسی نادرست منجر می‌شوند (مانند Parity Wallet) از جمله خطاهای ناشیانه در جهان امنیت اطلاعات به حساب می‌آید.

برای این بخش نگاهی تیزبینانه به کد نیاز است؛ پس پیش از اینکه کد را به بلاک‌چین نسپردید به خودتان افتخار نکنید که از متخصصی خواستید قرارداد هوشمندتان را بازنگری کند چرا که دیگر نخواهید توانست تغییراتِ اعمال‌شده را به حالت اول بازگردانید.

اشتباهات پرسنل

شاید فکر کنید می‌خواهیم بگوییم انسان خطاکار است و در معرض اشتباه کردن است اما نه... در این بخش می‌خواهیم به نکته‌ای دیگر اشاره کنیم: تبدیل کردن کارمندان به دیوار آتشین. در حقیقت دیده شده که در برخی سازمان‌ها تعداد وقایع بعد از آموزش ما 90 درصد کاهش یافته است.

حملات فیشینگ

هیچگاه شهرت بدون پیامد نخواهد بود و یکبار که  ICO ردیابی شود دیگر جولانگاهی برای اسکمرهای فیشینگ خواهد شد. تحلیل‌های ما اینطور نشان داده است که سایت‌های فیشینگ حتی پیش از سایت‌های رسمی سر و کله‌شان پیدا می‌شود. شاید سخت بتوان سایت‌های فیشینگ را که هدفشان خریداران توکن است گیر انداخت؛ اما همچنان می‌توانید آن‌ها را شناسایی کرده و سرمایه‌گذاران فعلی و احتمالی را آگاه سازید. خوب است که انسان خوشنام باشد تا بدنام، اینطور نیست؟

امنیت عملیات‌ها

برای شرکت‌هایی که در بازار اوراق بهادار فعالیت می‌کنند، قابلیت واکنش‌دهی به وقایع و آموزش کارمندان ریخت‌وپاش اضافی نیست بلکه واجبند. بسیارخوب در حوزه امنیت سایبری نباید چیزی را پشت گوش انداخت و باید تا حد امکان جانب احتیاط را رعایت کرد. همشه مبنا را روی این بگذارید که حادثه اتفاق افتاده است؛ نگویید حالا بگذارید اول رخ دهد تا بعد ببینیم چه می‌شود.

[1] یک روش ایجاد سرمایه از طریق سرمایه‌گذاری جمعی است بر محور رمزارز به وجود آمده‌است. در عرضه اولیه سکه، درصدی از پول اینترنتی جدید در قبال پول‌های دیجیتالی مطرح مانند بیت‌کوین یا اتریوم به سرمایه‌گذاران واگذار می‌شود. ICO بخشی از فرایند تامین مالی برای استارت آپ‌ های فعال در حوزه بلاک چین است.

[2]هر سهم قابل خرید و فروش در یک ICO، یک توکن (Token) نامیده می شود.

[3] US Securities and Exchange Commission