آسیب‌پذیری امنیتی متامسک در هنگام نمایش توکن‌های NFTچه تبعاتی می‌تواند داشته باشد؟

بدون شک نام کیف پول متامسک را شنیده‌اید؛ کیف پول متامسک یکی از بهترین کیف پول‌های توکن NFT است. الکساندرو لوپاسکو که متخصص امنیت شبکه و بنیان‌گذار شرکت امنیتی امنیا است در رابطه با آسیب‌پذیری امنیتی کیف پول متامسک هشدار بسیاری داده است. او معتقد است که این آسیب‌پذیری می‌تواند منجر به حملات DDOS گسترده‌ای شود که ده‌ها میلیون دستگاه را دربر می‌گیرد. در ادامه قصد داریم ابتدا با کیف پول دیجیتال متامسک آشنا شویم و سپس آسیب‌پذیری امنیتی آن را هنگام نمایش توکن‌های NFTبررسی کنیم، پس تا انتها با ما همراه باشید.
به خطر افتادن حریم خصوصی با ایردراپ‌ توکن NFT شاید با خود فکر کنید این خطر چندان جدی نیست اما خطر نشت IP را به هیچ وجه دست کم نگیرید. چراکه اگر عوامل مخرب بتواند علاوه بر آدرس IP اطلاعات دیگری به دست آورند خطر فیزیکی بزرگی نظیر آدم‌ربایی وجود دارد. پس تأثیر این آسیب‌پذیری از به خطر افتادن حریم خصوصی بسیار بیش‌تر است. برای آنکه با این حمله بهتر آشنا شوید دقت داشته باشید که اگر عامل مخرب انگیزه کافی داشته باشد به سادگی تعداد زیادی توکن NFT ایجاد می‌کند و تمام آن‌ها را به یک آدرس URL متصل می‌کند و درنهایت توکن‌های NFT را به میلیون‌ها کاربر ایردراپ‌ متصل می‌کند که به این ترتیب حملات DDOS متعدد و بی سابقه‌ای به آدرس URL انجام می‌گیرد. فراموش نکنید این حمله می‌تواند بصورت همزمان چندین وب سایت معروف و شناخته‌شده نظیر؛ گیت‌هاب، ردیت، نتفلیکس و... را از دسترس خارج کند.

معرفی کیف پول متامسک

متامسک یکی از کیف پول‌های نرم‌افزاری مبتنی بر ارز رمزنگاری است که کاربران با آن می‌توانند با اکوسیستم بلاکچین اتریوم در تعامل باشند.
دقت داشته باشید که کیف پول متامسک در ابتدا تنها نسخه‌ی دسکتاپ خود را معرفی و عرضه کرد و تنها بر روی کامپیوترهای شخصی از طریق گوگل، کروم و فایرفاکس قابل نصب و استفاده است. اما درنهایت در سال ۲۰۱۹ کیف پول متامسک نسخه‌ی موبایلی خود را معرفی و راه‌اندازی کرد و بر روی تلفن‌های همراه قابل نصب و استفاده است.
جالب است بدانید که کیف پول متامسک توسط شرکت نرم‌افزاری بلاکچین در سال ۲۰۱۶ با استفاده از تمرکز بر ابزارها و زیرساخت‌های مبتنی بر اتریوم طراحی و راه‌اندازی شد.
 سایت این کیف پول بنیان‌گذار اصلی خود را Aaron Davis معرفی می‌کند. اما دقت داشته باشید که تیم توسعه‌دهنده متامسک از انجمن جهانی طراحان تشکیل شده است و این تیم در تلاش است که دنیا را با فناوری بلاک‌چین دگرگون کند و آن را به مکانی بهتر تبدیل کند.

ویژگی‌های کیف پول متامسک

 بدون شک می‌دانید که مهم‌ترین و اصلی‌ترین ویژگی‌ کیف پول متامسک رمزگذاری برجسته آن است. با استفاده از این رمزگذاری کلیدهای خصوصی و رمزعبور هر کاربر تنها در تلفن‌های همراه و کامپیوترهای شخصی فرد ذخیره می‌شوند و هیچ فرد ثالثی به آن‌ها دسترسی ندارد. در کیف پول متامسک به راحتی اتریوم و تمام توکن‌ها و رمزارزهای مبتنی بر اتریوم به سادگی منتقل می‌شوند.
 یک مرورگر وب سازگار با مرورگر داخلی در این کیف پول به گونه‌ای طراحی شده است که بصورت کاملا امن با نرم‌افزارهای غیرمتمرکز ارتباط برقرار می‌کند.
خوب است بدانید که کیف پول متامسک امنیت بسیار بالایی دارد و نزد کاربران محبوب است. به همین خاطر این کیف پول بیش از ۵ میلیون کاربر از سراسر جهان دارد. همچنین متامسک بستری فراهم می‌کند که کاربران می‌توانند بطور همزمان به چندین کیف پول متصل شوند و در میان شبکه اصلی اتریوم، شبکه‌های آزمایشی اصلی و حتی شبکه اصلی بایننس اسمارت چین جابه‌جا شوند.
از دیگر ویژگی‌های کیف پول متامسک این است که کاربران می‌توانند از طریق کارت اعتباری یا نقدی تا سقف ۵۰۰ دلار اتریوم را به سادگی و با نرم‌افزار موبایلی این کیف پول خریداری نمایند.

مزایا و معایب کیف پول متامسک

کیف پول متامسک دارای مزایا و معایب بسیاری است که در ادامه به بررسی مهم‌ترین آن‌ها می‌پردازیم.

مزایای کیف پول متامسک

مهم‌ترین مزایای کیف پول متامسک عبارت است از؛
·       کیف پول متامسک رابط کاربری ساده و بسیار آسانی دارد، به همین خاطر هر کاربر از تازه‌کار تا پیشرفته به سادگی می‌تواند از آن استفاده کند.
·       کیف پول متامسک بر روی سیستم عامل‌های اندروید، آی‌اواس، ویندوز، مک و... قابل نصب و استفاده است.
·       کیف پول متامسک با کیف پول سخت‌افزاری ادغام شده است.
·       در صورت فراموشی رمزعبور و گم‌کردن آن به سادگی می‌توانید از طریق عبارت بازیابی از کیف پول خود بک‌آپ بگیرید و تمام اطلاعات را بازگردانید.
·       در کیف پول متامسک کلیدهای عمومی و خصوصی به جای سرورهای متامسک بطور مستقیم بر روی مرورگر وب کاربران ذخیره می‌شود.
·       دقت داشته باشید که متامسک هیچ اطلاعات شخصی از کاربران دریافت نمی‌کند.

معایب کیف پول متامسک

مهم‌ترین معایب کیف پول متامسک عبارت است از؛
·       امروزه در برخی از کشورها گزینه‌های خرید ارز دیجیتال بسیار محدود شده است.
·       کیف پول متامسک در گذشته حملات فیشینگ بسیاری در تاریخ خود ثبت کرده است.
·       کیف پول متامسک یک نود کامل اتریوم نیست.
·       دقت داشته باشید که در کیف پول متامسک بصورت بومی از بیت کوین پشتیبانی نمی‌شود.
·       از دیگر معایب کیف پول متامسک این است که این کیف پول یک کیف پول گرم است و بصورت دائم به اینترنت متصل است، به همین خاطر احتمال هک‌شدن و ازبین‌رفتن دارایی‌ها در آن بسیار بالا است.

نحوه عملکرد توکن‌های NFT

برای آنکه با حملات متعدد DDOS آشنا شوید و دلیل آسیب‌پذیری امنیتی متامسک هنگام نمایش توکن‌های NFT را بدانید، بهتر است که پیش از هر چیزی با اصول اولیه نحوه عملکرد توکن‌های غیرمثلی آشنا شوید.
همانطور که می‌دانید آیتم NFT در بلاک‌چین ذخیره شده است. اما به این خاطر که ذخیره‌سازی حجم زیادی از اطلاعات در زنجیره‌های عمومی بسیار گران است، ذخیره‌سازی تصویر در سرور ریموت و حفظ آدرس URL آن تصویر در زنجیره جایگزین این امر می‌شود.
بطورکلی چرخه عمر و تعامل با توکن NFT بصورت زیر است؛
۱_در ابتدا باید تصویر آیتم کلکسیونی موردنظر را در سرور آپلود کنید.
2_حال در این مرحله یک توکن NFT در بلاک‌چین صادر می‌شود و آدرس دارنده توکن و آدرس URL و تصویر موردنظر در سرور ذخیره می‌شود.
3_پس از ذخیره‌سازی شما می‌توانید توکن NFT خود را به آدرس بلاکچین دیگری انتقال دهید یا اینکه انتقال ندهید. دقت داشته باشید که این گزینه کاملا اختیاری است.
4_در این مرحله کیف پول دارنده توکن به اسکن بلاکچین می‌پردازد تا به این ترتیب مشخص شود که چه آیتم کلکسیونی در اختیار او است و توکن NFT موردنظر خود را به راحتی پیدا کند.
5_در مرحله آخر کیف پول، عکس آپلود شده را از آدرس URL موجود در توکن NFT دریافت می‌کند.

 

همچنین بخوانید:

آموزش ساخت NFT؛ چگونه توکن غیرمثلی خود را بفروشیم؟

اگر سرور تحت کنترل عامل مخرب باشد چه اتفاقی رخ می‌دهد؟

احتمالاً از خود پرسیده‌اید که اگر سرور توسط عامل مخرب کنترل شود چه اتفاقی رخ می‌دهد و چه پیامدهایی اتفاق خواهد افتاد؟ در ادامه به بررسی پاسخ این پرسش می‌پردازیم.
 زمانی که سرور میزبان توسط عامل مخرب تحت کنترل قرار گیرد؛ کیف پول در هنگام دریافت تصویر ریموت آیتم کلکسیونی تصویر IP دارنده NFT توسط تلفن همراه افشا می‌شود.   البته لازم به ذکر است که این اتفاق برای کیف پول‌هایی که بر بستر موبایل نیستند نیز اتفاق می‌افتد و تنها مختص به کیف پول‌های موبایلی نیست. اما برای کیف پول‌های موبایلی احتمال این اتفاق بیش‌تر است، چراکه احتمال استفاده از اینترنت موبایل و همچنین لورفتن مکان جغرافیایی، اپراتور تلفن همراه و دیگر اطلاعات مبتنی بر آدرس IP بیش‌تر است.
فراموش نکنید بلافاصله پس از آنکه عامل مخرب به آدرس بلاکچین شما دست یابد به راحتی توکن NFT با آدرس URL ارتباط برقرار می‌کند و مالکیتNFT به آدرس شما منتقل می‌شود. درنتیجه زمانی که تصویر ریموت توکن NFT را از سرور دریافت می‌کند حریم خصوصی شما را بطور کامل در معرض خطر قرار می‌گیرد.
احتمالاً با خود می‌گویید یعنی این حمله اینقدر ساده است و بلافاصله پس از بازکردن کیف پول بطور خودکار رخ می‌دهد؟ نیاز به اجازه صریح کاربر نیست؟ چگونه و چه زمانی دریافت تصویر از سرور فعال می‌شود؟
با بررسی کیف پول متامسک مشخص شد که تصویر ریموت بطور خودکار و بدون درخواست اجازه صریح کاربر دریافت می‌شود. لازم به ذکر است که این موضوع در بخش پشتیبانی متامسک نیز تأیید و بیان شده است.

راهکارهای بالقوه کاهش خطر

یکی از راهکارهای رایج و متداول برای کیف پول‌های کریپتو این است که برای دسترسی به دامنه مشخص هنگام دریافت تصویر ریموت توکن NFT نیاز به کسب تایید و اجازه از کاربران باشد و به آن‌ها اطلاع داده شود. دقت داشته باشید که این موضوع ممکن است منجر به نشت آدرس IP شود. از دیگر راهکارهای ممکن می‌توان به دریافت تصویر ریموت در بک‌اند اشاره کرد. البته فراموش نکنید که این مسئله هیچ نقشی در حملات DDOS ندارد.

حمله DDOS چیست؟

 حمله Distributed denial of Service که آن را به نام DDoSمی‌شناسید نوعی تلاش خرابکارانه است که هدف آن اختلال در ترافیک عادی سرور، سرویس یا شبکه مقصد است. با استفاده از این حمله زیرساخت‌های پیرامون با ترافیک مواجه می‌شود.  دقت داشته باشید که حملات DDOS با استفاده از تعداد زیادی سیستم کامپیوتری انجام می‌گیرد.
بطورکلی می‌توان گفت حمله DDOS را می‌توان یک ترافیک سنگین در نظر گرفت که بزرگراه را مسدود می‌کند و مانع از رسیدن ترافیک عادی به مقصد مطلوب می‌شود.

یک حمله DDOS چگونه کار می‌کند؟

همانطور که گفتیم حمله DDOS نیاز به یک مهاجم دارد که کنترل شبکه ماشین‌های آنلاین را در دست بگیرد و حمله را انجام دهد. کامپیوترها و دیگر ماشین‌ها با بدافزار آلوده می‌شوند و هرکدام تبدیل به یک بات می‌شوند. حال مهاجم از راه دور بر روی گروهی از بات‌ها کنترل دارد.
لازم به ذکر است که زمانی که گروهی بات‌ها ایجاد می‌شوند مهاجم به سادگی قادر است که با آموزش‌های به‌روز به هر بات از راه دور به کنترل ماشین‌ها بپردازد. دقت داشته باشید که زمانی که آدرس آی پی یک قربانی توسط گروهی از بات‌ها مورد هدف قرار می‌گیرد، هر بات با فرستادن تقاضاهایی به هدف مورنظر واکنش نشان می‌دهد، به همین جهت سرور یا شبکه هدف دچار به سر ریزی ظرفیت می‌شود و هیچ تمایلی به ایجاد ترافیک عادی برای شبکه ندارد.
فراموش نکنید که هر بات یک ابزار اینترنتی قانونی است به همین خاطر به سختی می‌توان ترافیک حمله را از ترافیک عادی شبکه تمایز داد.

انواع رایج حمله DdoS

  متغیرهای مختلف حمله DDoS به اجزای مختلف یک کانکشن حمله می‌کنند. به همین خاطر بهتر است که جهت شناخت و درک حملات DDoS با ساخت کانکشن شبکه‌ای آشنا شوید.
دقت داشته باشید یک کانکشن شبکه‌ای در اینترنت از مولفه‌ها و لایه‌های مختلف بسیاری تشکیل شده‌اند.
همانطور که می‌دانید تقریبا تمام حملات DDoS از احاطه یک ابزار یا شبکه مقصد با ترافیک تشکیل شده است اما بطورکلی این حملات را می‌توان به سه دسته تقسیم کرد که در ادامه به معرفی و بررسی آن‌ها بپردازیم.

۱_حملات لایه کاربردی

بطورکلی هدف از انجام این حمله به اتمام رساندن منابع مقصد است.
 لازم به ذکر است که حملات لایه کاربردی لایه‌های یک پلتفرم مورد هدف قرار می‌دهند. در این حمله صفحات وب بر روی سرور ایجاد می‌شوند و در جواب به تقاضاهایHTTP تحویل داده می‌شوند.
لازم به ذکر است که یک تقاضای خاص HTTP برای اجرا از جانب مشتری بسیار ارزان است ‌اما جواب دادن به آن برای سرور مقصد می‌تواند هزینه‌بر باشد. چراکه سرور اغلب باید فایل‌های زیادی را بارگذاری کند و پرس‌وجوهای پایگاه داده را برای ایجاد یک صفحه وب مدیریت کند.
دفاع در برابر این نوع حملات بسیار دشوار است؛ چراکه تشخیص ترافیک بدکار بسیار مشکل است.

سیل HTTP

این نوع حمله بسیار مشابه با تکرار یک رفرش در یک مرورگر شبکه بر روی کامپیوترهای مختلف است که به سرعت انجام می‌گیرد.
لازم به ذکر است که اگر تعداد تقاضاهای HTTP زیاد شود در سرور طغیان ایجاد می‌شود و مانع از انجام سرویس می‌شود. فراموش نکنید که این حمله انواع مختلفی از ساده تا پیچیده دارد. در نوع ساده‌تر این حمله دسترسی به URL یا همان گستره آدرس‌های آی پی در حال حمله و مراجع و عامل‌های کاربری انجام می‌گیرد.
اما در سمت دیگر در نسخه‌های پیچیده از تعداد بسیار زیادی از آدرس‌های آی پی درحال حمله استفاده می‌شود و آنچه مورد هدف قرار می‌گیرد همان URL ها بصورت تصادفی هستند.

حملات پروتکل

احتمالا حملات پروتکل را به عنوان حملات مرحله اتمام بشناسید. این حمله با مصرف تمام ظرفیت موجود سرورهای کاربردی وب یا دیگر منابع واسطه نظیر؛ فایروال و... سرویس را قطع می‌کنند. جالب است بدانید که حملات پروتکل از ضعفی که در لایه‌های ۳ و۴ بسته پروتکل وجوددارد، استفاده می‌کنند تا به این ترتیب مقصد را غیرقابل دسترس نمایش دهند.

سیل SYN

سیل SYN شبیه به یک کارگر در یک اتاق عرضه است و درخواست‌هایی که از سمت جلو دریافت می‌کند را پاسخ می‌دهد. دقت داشته باشید که این تقاضاها گاهی بسیار زیاد می‌شوند و کارکرد با تقاضاهای پاسخ داده نشده بسیاری احاطه می‌شود.
این حمله با ارسال تعداد زیادی بسته‌های SYN درخواست اتصال اولیه TCP با آدرس‌های آی پی جعلی از TCP handshake بهره‌برداری می‌شود.

حملات حجمی

دقت داشته باشید که هدف از حمله حجمی مصرف تمام پهنای باند است. این نوع حمله با این روش میان هدف و اینترنت ازدحام ایجاد می‌کند.
در این نوع حمله تعداد بسیار زیادی داده با استفاده از شکلی از تقویت یا ابزارهای ایجاد ترافیک عظیم ایجاد می‌شود.

DNS Amplification

برای آنکه بهتر با مفهوم DNS Amplification بهتر آشنا شوید دقت داشته باشید که این پلتفرم درست شبیه آن است که یک نفر با یک رستوران تماس بگیرد و بگوید که از هر چیزی یکی می‌خورد و در نهایت اعلام کند که شما با من تماس بگیرید و سفارش من را اعلام کنید. دقت داشته باشید که در این شرایط شماره مقصد با شماره تماس داده‌شده یکسان است. پس می‌توان گفت در DNS Amplification با تلاش کم یک عکس‌العمل طولانی ایجاد می‌شود.

فرایند خنثی‌کردن حملهDDoS

همانطور که می‌دانید نگرانی اصلی در تسکین حمله DDOS متمایز کردن این حمله از ترافیک عادی است. پس تلاش‌هایی که جهت خنثی‌کردن این حملات انجام می‌گیرد گاهی کاملا بیهوده است چراکه در گام اول به خوبی نتوانسته‌ایم ترافیک عادی شبکه و ترافیک حمله را از هم جدا سازیم.
در اینترنت مدرن ترافیک DDOS به شکل‌های بسیاری درمی‌آید و از لحاظ طراحی می‌تواند بسیار متنوع باشد. از معروف‌ترین حملات DDOS می‌توان به حملات پیچیده، حملات چند متغیری تطبیقی و... اشاره کرد.
خوب است بدانید که حمله DDOS چند متغیری از مسیرهای حمله متعددی جهت احاطه هدف استفاده می‌کند و تلاش‌های تسکینی در هر مسیر را می‌تواند از بین ببرد.
دقت داشته باشید که تسکین یک حمله DDOS چند متغیری به استراتژی‌های گسترده‌ای نیاز دارد فراموش نکنید هرچه که یک حمله DDOS پیچیده‌تر شود؛ احتمال تشخیص ترافیک عادی و ترافیک حمله‌کننده شبکه بسیار دشوارتر و کنار خواهد شد. فراموش نکنید مهاجم در تلاش است که دو ترافیک را باهم ترکیب کنید تا به این ترتیب بتواند به سادگی به هدف خود برسد. امروزه راه‌حل لایه‌ای یکی از روش‌های رایج و محبوب است که حملات DDOS را کاهش می‌دهد.

جمع بندی

در مطالب فوق به بررسی آسیب‌پذیری کیف پول متامسک در هنگام نمایش توکن‌های NFT پرداختیم. همانطور که گفتیم این آسیب‌پذیری موجب می‌شود که حریم خصوصی هر کاربر به خطر افتد و تمام اطلاعات وی افشا شود. در این نوع آسیب‌پذیری متامسک زمانی که عامل مخرب با انگیزه‌ باشد تعداد زیادی توکن NFT ایجاد می‌شود و درنهایت آن‌ها به یک آدرسURL مرتبط می‌سازد. حال این توکن‌ها به میلیون‌ها کاربر ایردراپ‌ متصل می‌شوند و حملات DDoS متعددی رخ می‌دهد.  البته دقت داشته باشید که این حمله به عوامل و آیتم‌های بسیاری بستگی دارد که از مهم‌ترین آن‌ها می‌توان به تعداد کاربران و فاصله زمانی که کاربران جهت استفاده از کیف پول خود، اشاره کرد.

 

مرجع: cryptobriefing