TechScape: چرا رمزارز نمی تواند باگ های خود را از بین ببرد؟ | فن آوری

مندر فوریه، کاربر توییتر برودان، مهندس Giphy، متوجه چیز عجیبی در مورد Bored Ape Yatch Club (BAYC) شدم، مجموعه توکن های غیرقابل تعویض مبتنی بر میمون برتر. رکوردی که برای اثبات رمزنگاری قابل اعتماد بودن میمون‌های حوصله‌ای انجام شده بود، حاوی 31 ورودی یکسان بود، وضعیتی که تصور می‌شد غیرممکن باشد. برودان نوشت: “یک چیز فوق العاده مشکوک در مورد برخی از میمون های شما وجود دارد.”

شش ماه بعد، زمانی که خبرنامه روز زباله آن را مورد توجه بیشتری قرار داد، پرسش برودان هنوز پاسخی دریافت نکرده بود. این وضعیت در صنعت کریپتو و جامعه متن‌باز گسترده‌تر بسیار رایج است و این سوال را مطرح می‌کند که آیا اساساً مشکلی در این ایده وجود دارد که انبوهی از آماتورها می‌توانند به طور مؤثر پروژه‌های بزرگ را به حساب آورند.

مشکل مربوط به یک سابقه مبهم به نام “هش منشأ” است. این رکوردی است که توسط سازندگان BAYC، Yuga Labs منتشر شده است، که قصد دارد ثابت کند هیچ تجارت میمونی در تخصیص اولیه میمون ها وجود نداشته است (با عرض پوزش). مشکلی که تیم باید حل می‌کرد این است که برخی از میمون‌ها کمیاب‌تر و ارزشمندتر از دیگران هستند. اما در “ضرابخانه” اولیه، آنها به طور تصادفی بین 10000 نفر اول برای درخواست تخصیص داده شدند. برای اثبات اینکه آنها به‌طور تصادفی توزیع شده‌اند، به جای چند مورد ارزشمند که بین افراد داخلی توزیع شده‌اند، یک هش منشأ منتشر کردند: فهرستی از امضاهای رمزنگاری‌شده برای هر یک از 10000 میمون، که نشان می‌دهد میمون‌ها از قبل تولید و از قبل تخصیص داده شده‌اند. بدون اینکه مشخص شود چه ویژگی هایی دارند.

تا اینجا خوب بود، با این تفاوت که 31 مورد از آن امضاها یکسان بود. از آنجایی که 31 میمونی که آنها به آنها منصوب شده بودند متمایز بودند، این بدان معناست که رکورد منشأ آن میمون ها شکسته شده است – و از نظر تئوری، آنها می توانستند برای مطابقت با خواسته های شخصی که آنها را خریداری کرده اند تغییر کنند.

اوایل تابستان امسال از آزمایشگاه‌های یوگا درباره موارد تکراری پرسیدم، و این شرکت در ابتدا به شواهدی اشاره کرد که نشان می‌دهد یک میمون سریع انجام نداده است: هیچ‌کدام از 31 میمون به هیچ‌کس با ارتباطات داخلی نرفته‌اند، و یا به‌ویژه با آن‌ها ساخته نشده‌اند. صفات مطلوب که درست است – اما رضایت بخش نیست. اگر متوجه شدید که دزدگیر دزدگیر شما هرگز توسط شرکتی که آن را نصب کرده است سیم کشی نکرده است، “هیچ چیزی گم نشده، درست است؟” فقط یک پاسخ جزئی خواهد بود.

هنگامی که تحت فشار قرار گرفت، شرکت مشکل را بیشتر بررسی کرد و علت مشکل را یافت: هنگامی که در حال آماده سازی هش های منشأ بود، یک خطای محدودکننده نرخ را از سرور ذخیره کننده تصاویر میمون ها ایجاد کرد. این خطا به این معنی بود که 31 بار، به جای ایجاد یک امضای رمزنگاری از تصویر یک میمون، شرکت به طور ناآگاهانه امضای رمزنگاری پیام خطا “429 Too Many Requests” را تولید کرد. اوه

از Kerem Atalay، یکی از بنیان‌گذاران آزمایشگاه‌های یوگا، که زیر نظر امپراتور گوجه‌فرنگی سس گوجه‌فرنگی کار می‌کند، پرسیدم که آیا احساس می‌کند شکاف چند ساله بین مشکل و حل آن، توجیه هش‌های منشأ را تضعیف می‌کند. اگر کسی این موارد را بررسی نمی کند، چه فایده ای دارد؟ آتالای گفت: «من فکر می‌کنم در این مورد، شاید دلیلی که برای مدت طولانی مورد توجه قرار نگرفت، این است که این یک پروژه بسیار دقیق برای شروع است. «هش منشأ در لحظه انفجار به یک ویژگی کمتر مهم کل این پروژه تبدیل شد. اگر یک پیکسل در کل مجموعه پس از آن نقطه تغییر می کرد، به طرز چشمگیری آشکار بود.

در این گفتار، هش های منشأ برای رد اتهامات طرفداری مفید هستند – اما اگر اتهامی وجود نداشته باشد، تعجب آور نیست که هیچ کس هش ها را بررسی نمی کند. آزمایشگاه‌های یوگا دفاعی مشابه را برای نظارت چند ساله دیگر انجام دادند که چند ماه پیش مشاهده شد: این شرکت کنترل توانایی ایجاد میمون‌های جدید را در هر زمان که می‌خواست، حفظ کرده بود، علی‌رغم اینکه قول داده بود آن‌ها را نابود کند. برخلاف هش منشأ، این توانایی به سرعت مورد توجه قرار گرفت: در ژوئن 2021، آزمایشگاه یوگا گفت که آنها نظارت را رفع خواهند کرد “در یکی دو روز آینده”.

در حقیقت، بیش از یک سال طول کشید. آتالای در توییتی نوشت: «در حالی که مدت‌ها بود که می‌خواستیم این کار را انجام دهیم، اما احتیاط زیادی نداشتیم. “در حال حاضر احساس راحتی کردم که این کار را انجام دادم. همه چیز تمام شد.»

چنین مسائلی به هیچ وجه به آزمایشگاه های یوگا یا به طور کلی بخش کریپتو محدود نمی شود. هفته گذشته، تیم امنیت سایبری گوگل، Project Zero، از کشف یک آسیب پذیری امنیتی جدید در اندروید خبر داد. خوب، برای آنها جدید بود: این سوء استفاده قبلاً توسط هکرها “حداقل از نوامبر 2020” استفاده شده بود. اما علت اصلی این باگ قدیمی‌تر بود و در آگوست 2016 به تیم توسعه منبع باز گزارش شده بود – و یک ماه بعد اصلاح پیشنهادی رد شد.

این سال‌ها ضعف امنیتی معنی‌دار تقریباً برای همه تلفن‌های اندرویدی موجود در بازار است، علی‌رغم اینکه مشکلی که در پرونده عمومی برای دیدن همه قابل مشاهده است.

مشخص نیست که این آسیب‌پذیری چه مدت در کد وجود داشته است، اما در موقعیت‌های دیگر آن زمان می‌تواند منشأ مشکلات بزرگی باشد. در ماه آوریل، یک نقص در یک ابزار خط فرمان به نام Curl کشف شد 20 سال حضور داشت.

و در دسامبر گذشته، یک نقطه ضعف در ابزار گزارش‌گیری به نام Log4j کشف شد که مرکز امنیت سایبری ملی گفت: «احتمالاً شدیدترین آسیب‌پذیری رایانه در سال‌های اخیر بود». این باگ به سختی پیچیده بود، و یک مهاجم به سختی مجبور بود قبل از کنترل بالقوه «میلیون‌ها رایانه در سراسر جهان» تلاش کند. اما به مدت هشت سال کشف نشده در نرم افزار منبع نشسته بود. این نظارت نه تنها برای افرادی که به مدل امنیتی نرم‌افزار متن‌باز اعتقاد داشتند شرم‌آور بود، بلکه فاجعه‌بار بود: به این معنی بود که نسخه‌های آسیب‌دیده نرم‌افزار در همه جا وجود دارند و فرآیند پاکسازی مداوم ممکن است هرگز کامل نشود.

اشکالات کوچک، مشکلات بزرگ

نرم افزار منبع باز مانند Log4j زیربنای بسیاری از دنیای مدرن است. اما با گذشت زمان، مفروضات اساسی مدل شروع به نشان دادن نقاط ضعف خود کرده است. یک نرم افزار کوچک که هزاران برنامه از آن استفاده کرده و مجدداً مورد استفاده قرار می گیرد تا در نهایت بر روی میلیون ها رایانه نصب شود، باید تمام چشمان دنیا را برای یافتن مشکلات اسکن کند. در عوض، به نظر می‌رسد، هرچه یک نرم‌افزار فراگیرتر و کاربردی‌تر باشد، افراد بیشتری تمایل دارند بدون بررسی به آن اعتماد کنند. (مثل همیشه یک کارتون مرتبط از کمیک وب XKCD وجود دارد).

به روشی انحرافی، کریپتو برخی از این مشکلات را با ایجاد سود اقتصادی ملموس در یافتن باگ ها حل کرده است. ایده «پاداش باگ» چیز جدیدی نیست: یک توسعه‌دهنده نرم‌افزار بزرگ مانند اپل یا مایکروسافت به افرادی که آسیب‌پذیری‌های امنیتی را گزارش می‌کنند پول پرداخت می‌کند. ایده این است که به جای ساختن بدافزاری که از آن سوء استفاده می‌کند، انگیزه‌ای برای گزارش یک نقص ارائه شود، و به نوعی تحقیقات جمع‌سپاری را که قرار است نرم‌افزار منبع باز تشویق می‌کند، تامین کند.

با پروژه‌های رمزنگاری، از لحظه روشن شدن آن‌ها به طور موثر یک باگ بوونتی داخلی وجود دارد: اگر شما فرد باهوشی هستید که یک اشکال را در پروژه رمزنگاری مناسب پیدا می‌کنید، جایزه باگ شما می‌تواند تمام پول باشد. آن پروژه برقرار است بنابراین زمانی که هکرهای کره شمالی حفره‌ای را در بازی ویدیویی Axie Infinity پیدا کردند، با بیش از نیم میلیارد دلار پول از آن خارج شدند. البته نقطه ضعف چنین رویکردی این است که در حالی که باگ ها به سرعت کشف می شوند، پروژه تمایل دارد از این تجربه جان سالم به در نبرد.

برای لابراتوارهای یوگا، لطف صرفه‌جویی این است که تنها افرادی که می‌توانستند از این نظارت‌ها سوء استفاده کنند، خود کارمندان آزمایشگاه‌های یوگا بودند که به‌سرعت به‌عنوان افرادی قابل اعتماد شناخته شدند که نگران آن نباشند. اما سرمایه‌گذاران در اکوسیستم رمزنگاری گسترده‌تر خوب است که محتاط باشند: حتی اگر کسی بگوید که مدرکی را منتشر کرده است که قابل اعتماد است، تجربه نشان می‌دهد که دلیلی وجود ندارد که باور کنیم کسی آن را بررسی کرده است.

اگر می خواهید نسخه کامل خبرنامه را بخوانید، لطفا مشترک شوید تا هر چهارشنبه TechScape را در صندوق ورودی خود دریافت کنید.