به بهانه اوجگیری دیفای: درسهایی که باید از هک DAO یاد بگیریم
تا پیش از هک شدن سازمان مستقل یا خودگردان غیر متمرکز یا همان دائو ، از آن به عنوان مهمترین دستاورد بلاک چین اتریوم یاد میشد. اما هک DAO به ما چه میآموزد؟
قرارداد هوشمند و بلاک چین از همان ابتدا ایدههایی به هم پیوسته بودند. نوشتههای ابتدایی ویتالیک بوترین (Vitalik Buterin)، جزئیات شبکهای را تشریح میکردند که بعدا به دومین بلاک چین محبوب دنیا یعنی اتریوم تبدیل شد. در این نوشتهها، برای اولین بار ایده سازمانهای خودگردان کاملا ناشناس و غیر متمرکز مطرح شد: Decentralized Autonomous Organization که به اختصار DAO نامیده میشود. هدف از ایجاد دائو، مقابله با دنیای سرمایه گذاری خطر پذیر بود. چیزی نزدیک به ۱۵۰ میلیون دلار توکن ETH برای توسعه این پروژه جمع آوری شد و بیش از ۵۰ پروژه مختلف نیز منتظر بودند تا سرمایه مورد نیازشان توسط این اسمارت کانترکت که متعلق به هیچ کس نبود، تامین شود. اما یک حمله سایبری همه چیز را تغییر داد. در یکی از جمعههای ژوئن سال ۲۰۱۶ (خرداد 1395)، سیستم DAO به دلیل یک ضعف امنیتی هک شد و تعداد زیادی از توکنهای ETH به ارزش میلیونها دلار به سرقت رفتند. هویت عاملان این حمله سایبری همچنان نامشخص است.
بیشتر بخوانید: سازمان مستقل غیرمتمرکز چیست؟
هک DAO چه نتایجی در بر داشت؟
پس از حمله اول و رخ دادن حملات مشابه، سازمان مستقل غیر متمرکز با انبوهی از مشکلات جدید رو به رو شد؛ سرمایه گذاران داراییهای خود را از این پروژه خارج کردند، دارک دائو (Dark DAO) ایجاد شد تا از داراییهای سایر سرمایه گذاران محافظت شود و بحثهای شدیدی در مورد انجام شدن هاردفورک یا بازگرداندن دادههای بلاک چین به زمان قبل از هک، به وجود آمد. ۴ سال پس از هک DAO ، متیو لیزینگ (Matthew Leising) یکی از خبرنگاران با سابقه بلومبرگ نیوز (Bloomberg News)، گفت هنوز هم کاملا مطمئن نیست که این سری اتفاقات چه معنیای دارند. به نظر میرسد درسهای مربوط به وفور دارایی در بازار و امنیت شبکه که باید پس از این حمله به آنان اهمیت داده میشد، چندان مورد توجه قرار نگرفته است؛ حباب عرضه اولیه سکه (ICO) که چند سال پیش ترکید و رشد سرسام آور بخش دیفای، از نمونههای بارز این عدم توجه هستند. آقای لیزینگ در این باره میگوید:
این قضیه مربوط به زمانی است که ویتالیک طرحش را برای ایجاد یک پلتفرم غیر متمرکز که به کاربرانش آزادی کامل میداد، ارائه کرد. پلتفرمی با این میزان از انعطافپذیری، مطمئنا مردم را به ایجاد پروژههای عجیب و غریب ترغیب خواهد کرد.
آقای لیزینگ در تازهترین کتاب خود که «خارج از اتر: داستان شگفت انگیز اتریوم و سرقت ۵۵ میلیونی که نزدیک بود همه چیز را خراب کند» (Out of the Ether: The Amazing Story of Ethereum and the $55 Million Heist That Almost Destroyed It All) نام دارد، به بررسی سلسله اتفاقاتی که در نهایت به هک شدن DAO منجر شد پرداخته است. وی به تازگی با وبسایت کوین دسک مصاحبهای در خصوص عواقب هک دائو و آینده بلاک چین انجام داده که در ادامه متن آن را مشاهده میکنید:
نظر شما در مورد هک سازمان خودگردان غیر متمرکز و عواقب آن چیست؟
به نظر من عواقب هک DAO تاثیری کوتاه مدتی داشتند. فکر میکنم پس از این حمله سایبری، مردم به این نتیجه رسیدند که باید سقفی برای تعداد قراردادهای هوشمند مشخص و از سرمایه گذاری ۱۵۰ میلیون دلار ETH، آن هم در چنین پروژه جدیدی جلوگیری میشد. در آن زمان، اتریوم بلاک چینی یک ساله محسوب میشد. باید یک راه متوقف سازی اضطراری برای چنین سیستمی تعبیه میکردند، یا حداقل امکان کنترل شبکه در صورت پیش آمدن شرایط بحرانی فراهم میشد. من به ایده مدیریت غیرمتمرکز علاقه دارم، اما اگر قرار است کدهای این سیستم مدیریتی با استفاده از زبان برنامه نویسی سالیدیتی (Solidity) نوشته شوند، باید یک راه حل ضامن برای مقابله با مشکلات احتمالی وجود داشته باشد. این زبان برنامه نویسی در زمان هک DAO کمتر از یک سال سن داشت و حتی قبل از این هک هم باگهای فراوانی در سیستم دائو پیدا شده بود؛ بنابراین عدم اضافه کردن یک مکانیزم ضامن به این سیستم یک اشتباه بزرگ بود.
لازم به ذکر است که قبل از هک، دائو چندین تست امنیتی را هم پشت سر گذاشته بود، ولی هنوز هم مشکلاتی وجود داشتند. به صورت کلی، استفاده از یک زبان برنامه نویسی مثل سالیدیتی با مشکلاتی همراه خواهد بود. بنابراین چنین پروژههایی پیش از عرضه عمومی باید بیشتر مورد بررسی قرار بگیرند تا کاربران بعدا ضرر مالی نبینند.
به نظر میرسد ریشه این مسئله در اشتیاق کلی مردم نسبت به حوزه رمز ارزها نهفته باشد. مردم به ریسک و نوسان جذب میشوند.
مطمئنا نمیتوان محدودیتی برای اشتیاق مردم قائل شد و فکر نمیکنم کسی این را بخواهد. این قضیه مربوط به زمانی است که ویتالیک طرحش را برای ایجاد یک پلتفرم غیر متمرکز که به کاربرانش آزادی کامل میداد، ارائه کرد. پلتفرمی با این میزان از انعطاف پذیری، مطمئنا مردم را به ایجاد پروژههای عجیب و غریب ترغیب خواهد کرد. تنها کاری که میتوان در چنین شرایطی انجام داد، شرکت نکردن در این نوع پروژههاست. فکر میکنم راه حلهای در دست توسعه جالبی برای حل این مشکل وجود دارند. فابیان وگلستلر (Fabian Vogelsteller) در حال بررسی احتمال یک عرضه اولیه سکه برگشتپذیر است. وگلستلر همان کسی است که کدنویسی استاندارد ERC20 را انجام داد، که اکنون امکان برگزاری ICOها را فراهم میکند. وی یک مکانیزم جمع آوری سرمایه توسعه داده که به مردم اجازه میدهد هر زمان که بخواهند سرمایه خود را از پروژه بیرون بکشند. بنابراین دیگر خبری از ارسال غیر قابل برگشت ETH به یک استخر و خرید لامبورگینی توسط تیم توسعه دهنده نیست!
من اعتماد کردن به فردی مثل فابیان را به اعتماد کردن به افراد ناشناسی مثل سوشی شف (Sushi Chef) ترجیح میدهم. سوالاتی مهمی که پیش از اعتماد به یک پروژه باید پرسیده شوند، اینها هستند: دست اندرکاران این پروژه چه کسانی هستند؟ آیا هویت آنان مشخص است؟ آیا مدتی است که در شبکه اتریوم فعالیت دارند، یا از ناکجاآباد پیدا شدهاند و قصد جمع آوری سرمایه دارند؟
بیشتر بخوانید: سقوط 50 درصدی ارز دیجیتال سوشی ؛ کلاهبرداری دیگر در دیفای؟
شما در کتابتان به صورت قطعی هکر DAO را معرفی نکردید، و همچنین به صحبتهایتان با چند نفر دیگر هم اشاره میکنید که مظنونین مورد نظر خودشان را داشتند، ولی از افشای اطلاعات خودداری کردند. به نظر شما دنیای ارزهای دیجیتال بیش از حد به نامهای مستعار و ناشناس ماندن بها میدهد؟
خیلی از افراد نمیدانند که چندین حمله مختلف به سازمان مستقل غیر متمرکز صورت گرفته است. حمله ۵۵ میلیونی روز جمعه معمولا اولین چیزی است که مردم پس از شنیدن «هک DAO» به آن فکر میکنند. اما سه شنبه پس از این حمله، یک حمله سایبری دیگر نیز انجام شد. در حین این حمله بود که من توانستم یکی از عاملان احتمالی آن را ردیابی کنم. من باور داشتم که این حمله به تقلید از حمله اصلی انجام شده و کدهای قرارداد آن نیز قبلا گردش داشته و استفاده شده بود. عاملان این هک آنقدر بی احتیاط بودند که من توانستم ردشان را پیدا کنم. اما در مقابل، عاملان حمله ۵۵ میلیونی با دقت کامل ردهای خود را پوشانده بودند و کاملا مشخص بود که کارشان را بلد بودند. من در ردیابی عاملان حمله اول به موفقیت چندانی دست پیدا نکردم.
اکنون تعداد و میزان گستردگی حملاتی از این نوع در حال افزایش است، اما به نظر میرسد که دیگر اهمیت چندانی به آنها داده نمیشود. به نظر شما دنیای رمز ارزها این حملات را به عنوان ریسکهای اجباری قبول کرده است؟
اگر منظورتان از دست رفتن مبالغ هنگفت مثل ۵۵ میلیونی که در هک DAO از دست رفت است، که باید بگویم مردم به همان اندازهای که در سال ۲۰۱۶ نگران بودند، امروز نیز نگران هستند. من نمیتوانم به نمایندگی از دنیای رمز ارزها صحبت کنم، اما با توجه به افزایش تعداد حملات، به نظر میرسد که بخشی از این دنیا نقش امنیت را کمرنگ جلو میدهد. هر کسی که با ارزهای دیجیتال معامله میکند باید بداند که نگهداری دارایی در صرافیها کار درست یا امنی نیست. من مطمئن نیستم که افراد تازه وارد به این حوزه از این موضع مطلع باشند.
بیشتر بخوانید: بهترین مکان برای ذخیره ارز دیجیتال کجاست؟ صرافی بهتر است یا کیف پول؟
دسترسی به صرافیهایی مثل کوین بیس (Coinbase) و جمینی (Gemini) آرزوی هر هکری است. شما باید داراییهای خود را در والت متصل به یک بلاک چین نگهداری کنید. این یک اقدام ساده است که مردم باید برای محافظت از داراییهای خود انجام دهند. اما آیا آموزشهای کافی در این زمینه وجود دارد؟ آیا کسی به تازه واردها میگوید که این کارها را انجام دهند؟ مطمئن باشید کوین بیس به مردم نخواهد گفت که بیت کوینهایی که تازه خریداری کردهاند را از حسابشان در صرافی به کیف پول شخصی منتقل کنند. چون این کار به نفعشان نیست. مردم قوانین کمیسیون بورس و اوراق بهادار (SEC) و کمیسیون معاملاتی معاملات آتی کالای ایالات متحده (CFTC) را مورد تمسخر قرار میدهند، اما این دو سازمان آموزشهایی عالی در اختیار سرمایه گذاران میگذارند تا آنها بدانند چگونه به هنگام خرید و فروش در بازار، پول خود را امن نگهداری کنند.
هک DAO به کنار، در طی تحقیقاتی که برای نوشتن این کتاب انجام دادید، چه چیزی در مورد ویتالیک بیشتر شما را غافلگیر کرد؟
پدر ویتالیک «دانشنامه خرگوشها» را به من نشان داد، که یکی از نوشتههای پسرش در سن ۷ سالگی بود. در این سن، ویتالیک غرق دنیای خرگوشها شده بود و برای همین یک دانشنامه ۲۰ صفحهای در مورد آنها نوشته بود. با دیدن این اثر قابل تحسین بود که از ویتالیک خوشم آمد. بیشتر مواقع اگر یکی از جزئیات زندگی یک شخص را دنبال کنید، میتوانید به درک بهتری از شخصیت آنها دست یابید. به نظر من، این دانشنامه هم از این دسته جزئیات بود. همه میدانند ویتالیک فردی باهوش است، اما علاوه بر این، او فردی دقیق و بامزه هم است. او در ۷ سالگی همه انرژی خود را صرف این دانشنامه کرده بود و من با دیدن آن به درک بهتری از شخصیت او دست پیدا کردم.
تا قبل از این، اصلا خبر نداشتم که در پشت صحنه بنیاد اتریوم (Ethereum Foundation) چه غوغایی برقرار بوده است. 6 ماه پس از آنکه افرادی از این بنیاد اخراج شدند، یک ساماندهی مجدد صورت گرفت و سپس افراد بیشتری اخراج شدند. پس از این اتفاق، تصمیم گرفته شد گروه مدیریتی جدیدی روی کار آورده شود، ولی این گروه جدید نیز از همان ابتدا با یکدیگر مشکل داشتند. من عاشق داستان جمع شدن گروهی از افراد برای ایجاد اتریوم و عدم مدیریت صحیح آن از ابتدا تاکنون هستم. علی رغم همه سیاست بازیها و خیانتها، ایده اتریوم آنقدر خوب و معتبر بود که هیچ چیز توانایی از بین بردن آن را نداشت.
به نظر شما مدیران اتریوم میتوانند به خوبی از پس تغییر سیستم به Ethereum 2.0 برآیند؟
بله، به نظر من توانایی انجام این کار را دارند. این تغییر مدت زیادی است که در راه بوده است. من در سال ۲۰۱۷ مصاحبهای با ویتالیک داشتم و او به من گفت که الگوریتم اجماع اثبات سهام (PoS) تا آخر آن سال به اتریوم میآید. مدتی پس از این مصاحبه، به این نتیجه رسیدم که Ethereum وعدههای خود را به موقع عملی نمیکند. آنها میخواستند سه شنبه بعد از کنفرانس میامی بیت کوین، جمع آوری سرمایه مردمی (Crowdsale) خود را انجام دهند؛ اما در نهایت این کار شش ماه بعد انجام شد. تیم اتریوم همیشه با برنامههای زمانی مشکل داشته است. با این حال، من نشانههایی مبنی بر نزدیک شدن زمان ثمره دادن Eth 2.0 میبینم و نمیتوانم دلیلی برای عدم موفقیت تیم مدیریتی در اجرایی کردن آن ارائه کنم.
به نظر میرسد واقعا به چشمانداز اتریوم اعتقاد پیدا کردهاید. چه ویژگی از این شبکه شما را بیشتر هیجان زده میکند؟
برنامههای وب 3 (Web 3.0) که روی پلتفرم اتریوم توسعه داده میشوند، نظرم را جلب کردهاند. این برنامهها به کاربران اجازه میدهند حریم خصوصی و دادههای خود را به صورت کامل کنترل کنند. اکنون شاهد پیشرفت این نوع برنامهها (مثل کیف پول متاماسک – Metamask) هستیم و برنامههای وبی که واقعا غیر متمرکز هستند، در دست توسعه قرار دارند. اینها همه نتیجه عقاید آرمانگرایانه افرادی مثل گوین وودز (Gavin Woods)، ویتالیک و نها نارولا (Neha Nerula) هستند. این افراد واقعا معتقد بودند که میتوانند دنیا را تعییر دهند و اکنون نیز در حال انجام کارهای مختلف برای اجرایی شدن این تغییر هستند. اگر این برنامهها به درستی اجرا شوند، میتوانند جایگزینی عالی برای کسانی که به دنبال حریم خصوصی بهتر هستند، باشند. بیشتر مردم راحتی را به حریم خصوصی ترجیح میدهند، اما این انتخاب حق آنان است. البته در حال حاضر گزینههای خاصی برای انتخاب کردن وجود ندارد.
وعده فراهم کردن حریم خصوصی بهتر، باعث پیشرفت این برنامه میشود. انگار که قرار است اینترنت یکی از ویژگیهای ابتدایی خود را دوباره به دست بیاورد. آندریاس آنتونوپولوس (Andreas Antonopoulos) میگوید باید وب را دوباره تمرکز زدایی کرد و به نظر میرسد که این اتفاق در حال انجام شدن است. گوگل دیگر کنار نخواهد رفت، اما من دوست دارم جایگزینی برای آن داشته باشم.
به نظرتان موضوع کتاب بزرگ رمز ارزی بعدی چه خواهد بود؟ چیزی شبیه به هک DAO یا…؟
داستان تتر (Tether)؛ البته اگر کسی بتواند داستان واقعی آن را با جزئیات کامل روایت کند. من سعی کردم، ولی این کار بسیار دشوار بود. فکر میکنم هنوز هم داستانهای بیت کوینی زیادی برای روایت کردن وجود دارد؛ اما با توجه به سرعت تغییر و تحول در دنیای رمز ارزها، نمیتوانم مطمئن باشم.
منبع: coindesk
نظرات کاربران (0 نظر)