کدهایی که در کمتر از یک سال 500 میلیون دلار را نابود کردندReviewed by بهزاد ناصرفلاح on Feb 17Rating: 5.0 چاپ این مطلبارزهای دیجیتالی از راه مختلفی از دست می‌روند، از هک شدن حساب‌ها  و کیف پول‌ها گرفته تا گم کردن رمزهای عبور و کارت‌های حافظه؛ اما شاید وقتی پای مباحث میلیون دلاری در میان باشد، یکی از عمده دلایل از دست رفتن سرمایه‌های دیجیتالی کدهای مخرب‌اند که عموما ناشی از خطای توسعه‌دهندگان و شرکت‌های توسعه‌دهنده نمی‌باشند؛ بلکه اشخاص ثالث‌اند که مسئول بروز چنین کدهای مخربی می‌شوند. این اشخاص ثالث می‌توانند یک قرارداد هوشمند مشکل‌دار و ناقص باشد و یا هم یک صرافی یا ارز مرجع ای که سابقه درخشانی ندارد. تمام این‌ها باعث هدر رفتن نیم میلیارد دلار در هفت ماه گذشته شده‌اند.

صرافی BitGrail و داستان دردسرهایش

کدهایی که در کمتر از یک سال 500 میلیون دلار را نابود کردند

هفته گذشته بود که بخش خبری وب‌سایت بیت کوین دات کام، خبری از انحلال صرافی «بیت گریل» منتشر کرد. این انحلال در پی آن صورت گرفت که این صرافی باعث از دست رفتن ۱۷۰ میلیون دلار ارز دیجیتالی Nano شده بود. این خبر و نتایج فاجعه‌بار آن بر بازار و همچنین بر هزاران مشتری این صرافی مورد تائید قرارگرفته و از طرفی کد نویسی ضعیف عامل این حادثه قلمداد می‌شود. در گزارشی که کمی پس از حادثه انتشار یافت آمده:

شایعه‌هایی از ورشکست شدن صرافی بیت گریل به گوش می‌رسد که ناشی از وجود باگی در سیستم خارج کردن پول از این صرافی به وجود آمده. بنا این خبر که توسط گروه این صرافی در شبکه «دیسکورد» منتشر شد، این باگ باعث شده تا بسیاری از کیف پول‌ها با کسری مواجه شوند. بنا بر گفته‌های یکی از کاربران به‌وسیله این باگ می‌توانستید با ثبت دو سفارش، دو برابر در حساب کاربری خود باقی مانده داشته باشید. شما درعین‌حال که سفارش های شما در حال پردازش بودند می‌توانستید مبالغ را از حساب خود خارج کرده به‌این‌ترتیب دارایی‌ها را به سرقت ببرید. در پایان با وجود منفی شدن میزان موجودی شما، تنها کافی بود که یک حساب کاربری جدید ایجاد کنید.

پس‌ازاین اتفاق گزارش‌ها حاکی از مقصر بودن کد نویسی های بیت کوین بود و اخباری مبنی برای مشکل در نانو کدها رد شدند. یکی از منابع دستگیرشده دراین‌باره می‌گوید:

یک باگ در صفحه خارج کردن دارایی‌ها وجود داشت. پروسه تصحیح و آزمایش تنها در جاوا اسکریپت بخش مشتری وجود داشت، و شما می‌توانستید با استفاده از گزینه‌های  inspect elemen، به صورت دستی دستورات جاوا را وارد نمایید. بدین ترتیب با استفاده از این باگ، می‌شد درخواست‌هایی مبنی بر خارج کردن مبالغی بیشتر از مانده‌حساب خود ارسال کنید. اینکه چند نفر از این باگ مطلع بودند را نمی‌دانم.

در یک باگ دیگر شما می‌توانستید درخواست برداشت مبالغی از یک حساب دیگر به‌حساب خود را انجام دهید. بدین ترتیب و با انجام این کار باقی‌مانده حساب آنها نیز منفی می‌شد و حساب کاربری با خطای مبالغ گم شده رو به رو می‌گشت. کد نویس بیت گریل نیز این مشکل را با واردکردن مقادیر درست در دیتا بیست رفع نمود. این را می‌توان از مزیت‌های کد نویسی یک وب‌سایت پی اچ پی، توسط فردی با ضریب هوشی یک انسان کودن فرض نمود.

حتی بهترین ارزهای دیجیتالی نیز از جانب کد نویسی ضعیف، در امان نیستند

کدهایی که در کمتر از یک سال 500 میلیون دلار را نابود کردند

هیچ ارز دیجیتالی ای را نمی‌توانید پیدا کنید که باگ‌هایی بیشتر از اتریوم معروف داشته باشند. مشکل دقیقاً از جانب کدهای اتریوم نیست، بلکه ناشی از قراردادهای هوشمندی است که می‌توان بر پایه شبکه اتریوم اقدام به ایجاد آنها کرد. اولین مشکلاتی که گریبان اتریوم را گرفت حمله DAO بود که هنوز چیزی از ورود اتریوم به بازار نگذشته بود که آنها مجبور شدند تا یک فورک جدید برای آن عرضه کنند. سپس باگ مشهور Parity بود که باعث شد تا صد و پنجاه هزار اتریوم دزدیده و ۱۶۸ میلیون دیگر نیز برای همیشه از دسترس خارج شوند.

در چند ماه گذشته نیز بارها شاهد سرباز کردن باگ‌های اتریوم بودیم که خوشبختانه به‌اندازه باگ‌های پیشین بزرگ نبودند. «اثبات دست‌های ضعیف» (Proof of Weak Hands) یک ارز بی‌استفاده و تقلبی بود که برای شوخی ایجاد شده بود اما بعدها به صورت یک ارز تقلبی و به وسیله یک باگ در سیستم باعث انتقال ۹۰۰ اتر به یک حساب شد.

پس‌ازآن بود که توسعه‌دهنده آن، تهدید به مرگ شد و سپس ناپدید گشت. این تهدیدات از جانب افرادی بود که بعدها فهمیدند طرح پانزی ای که روی آن سرمایه گذاری کرده‌اند از چیزی که به نظر می‌رسید کاغذی‌تر بوده است.

پس از PoWH این بار نوبت سکه تقلبی دیگری با نام «هرم اتری» بود که به گفته خودش برای «دستان قدرتمند» ساخته شده. وب‌سایت رسمی این سکه در پاسخ به این سؤال که «آیا هرم اتری امن است؟» گفته بود: «بله تیم توسعه ما بر روی آزمایش کدها بسیار وقت صرف کرده‌اند تا مطمئن شوند که توکن های شما در امنیت کامل قرار بگیرند. عملکردهای داخلی قرار دادها برای هیچ یک از کاربران قابل دسترس نخواهد بود.» PoWH420 نیز یکی دیگر از این نمونه‌ها بود که از آن با عنوان «شمای ۴۲۰ هرمی که خود، باعث ثبات خود می‌شود و کاملاً بر پایه هویت‌های مستعار کار می‌کند.»

با اینکه سکه‌های تقلبی و توسعه‌دهندگان تقلبی، از تمام معادلات بازار خط خورده‌اند اما مشخصاً ارزهای دیجیتالی به‌اندازه پیوندهای ضعیفشان، قوی هستند. اتریوم، نانو و تمام ارزهای دیجیتالی دیگر باوجود پتانسیل‌هایی که دارند همواره در معرض اشتباهات کد نویسی در کیف پول‌ها، قراردادهای هوشمند و صرافی هستند. تنها کافی است یک خط از کدی مخرب در میان باشد.

دیدگاه تان را بنویسید