مترجم: اکرم سبزمکان

 

از بین رفتنِ حساب‌های چندامضاییِ parity

اگرچه این مورد از نظر فنی جزو هک‌های بزرگ تاریخ ارزهای رمزنگاری محسوب نمی‌شود، اما بیان آنچه برای کیف پول‌های چندامضاییِ parity رخ داد، خالی از لطف نیست. چقدر اتفاق افتاده که شما به طور تصادفی 150 میلیون دلار را از بین برده باشید؟ این دقیقا همان چیزی است که برای کاربر «devops199» اتفاق افتاد. درست زمانی‌که به طور تصادفی قرارداد زیر را خاتمه داد:

0x863df6bfa4469f3ead0be8f9f2aae51c91a907b4.

او کمی بعد فهمید که فقط جعبه پاندورا (Pandora) را باز کرده است.

در تاریخ 20 جولای به دلیل مشکلات قبلی، یک نسخه جدید از قرارداد هوشمند کیف پول parity، منتشر شد. متأسفانه در این کد جدید، نقص بزرگی وجود داشت. مشخص شد با فراخوانی تابع  initWallet ، می‌توان یک کیف پول را به کیف پول چند امضایی تبدیل کرد و مالک آن شد.

Parity، از کتابخانه‌ هدایت‌کننده قرارداد‌های هوشمند برای کیف پول‌های چند امضایی خود استفاده می‌کرد. به این معنی که تمام کیف پول‌های چندامضایی، کلیه کارهای خود را به این تک کتابخانه قراردادها ارجاع می‌دادند. در اصل، تمام کیف پول‌های چند امضایی parity ، یک نقطه شکست داشتند و آن هم آدرس موجود در کدهای سالیدیتیِ کتابخانه‌ی کیف پول‌ها بود:

constant _walletLibrary = 0x863df6bfa4469f3ead0be8f9f2aae51c91a907b4

براساس نوشته یکی از کاربران Reddit، به نام «ItsAConspiracy»، دلیل انجام این طراحی، صرفه‌جویی در هزینه gas  بود. در واقع آن‌ها به جای کپی و پیست کردن یک کد در هر کیف پول چند امضایی، از یک کتابخانه به عنوان یک «فضای مشترک» برای تمام کیف پول‌ها استفاده کردند.

بنابراین به جای آن‌که یک کد را در هر کیف پول تکرار کنند، یک مکان مشترک وجود داشت که هر کیف پول می‌توانست در آن عمکردهایی را به انجام برساند. این کار برای صرفه جویی در میزان gas و  فضای ذخیره‌سازی صورت گرفته ‌بود.

با این حال، یک نقص مهم و حیاتی وجود داشت که توسط کاربر، به طور ناخواسته، مورد سوءاستفاده قرار می‌گرفت.

در واقع کاربر می‌توانسته به عنوان یک کیف پول، کتابخانه را مقداردهی کند و از تمام قابلیت‌های صاحب آن نیز بهره ببرد، از جمله حق از بین بردن کامل آن.

تمام قراردادهای سالیدیتی دارای تابع خاتمه (kill) هستند.

 به نمونه زیر توجه کنید:

تابع kill برای اتمام قراردادها و انتقال باقی‌مانده توکن‌ها به خالقشان وجود دارد.

هنگامی که کاربر کیف پول را از بین ببرد، اساسا کتابخانه و تمام توابع منطقی مرتبط با آن را از بین برده است. این بدان معنی است که تمام کیف پول‌های متصل به کتابخانه، بی‌استفاده شده و حدود 150 میلیون دلار از بین رفته است.

پیامد

 Parity در مورد این اتفاق در توییتر نوشت:

همان‌طور که در بالا نوشته شده، کماکان تمام دارایی‌ها مسدودند. از آنجا که اتریوم غیرقابل تغییر است، این عمل قابل لغو نیست و تنها راه بازگرداندن سرمایه‌های از دست‌رفته، یک هاردفورک است.

نظر جامعه اتریوم در مورد این موضوع دوگانه بود، بسیاری از نظرسنجی‌های توییتر، آمار 50-50 مخالفین و موافقین راه‌حل هاردفورک را نشان می‌داد. یک مثال از چنین نظرسنجی‌هایی را در زیر می‌بینید:

در حال حاضر، 150 میلیون دلار اتر در جایی قرار دارد که هیچ‌کس نمی‌تواند ادعای مالکیت آن را داشته باشد.

منبع: blockgeeks

مترجم: اکرم سبزمکان

هک  DAO

پس از بررسی بزرگترین حمله به بیتکوین، نوبت بزرگترین حمله‌ای است که اتریوم تا به امروز با آن روبه‌رو شده است. حمله و پیامدهای آن، چنان شدید بود که توسعه‌دهندگان مجبور شدند برای مقابله و پیشگیری از حملات مشابه یک ارز کاملا جدید ایجاد کنند!  پیش از توضیح حمله DAO، اجازه دهید نگاهی به تاریخ بیاندازیم.

تشکیل DAO

کل اکوسیستم اتریوم براساس قراردادهای هوشمند کار می‌کند. این قراردادها اساساً چگونگی انجام کارها در این اکوسیستم را مشخص می‌کنند. در شرایط عمومی، قراردادهای هوشمند قراردادهای خودکاری هستند که خود قرارداد و شرایط آن را به اجرا می‌گذارند و تسهیل می‌کنند.

سازمان خودمختار غیرمتمرکز (Decentralized Autonomous Organization)، یک قرارداد هوشمند پیچیده بود که اتریوم را به طور کلی متحول می‌کرد و اساساً صندوق سرمایه‌گذاری غیرمتمرکزی بود که قرار بود همه DAPPS های آینده در اکوسیستم را از نظر مالی تامین کند.

راه کار بسیار ساده بود: هرچه می‌خواستید در DAPPS، که فاند می‌گرفت، مطرح می‌کردید و سپس باید توکن‌های DAO را با مقدار خاصی اِتِر معاوضه می‌کردید. توکن‌های DAO شاخص‌هایی بودند که نشان می‌دادند شما رسماً بخشی ازسیستم DAO هستید.

حال، DAPPS قرار است چگونه تأیید و ساخته شود؟ آن‌ها باید در ابتدا توسط ناظرانی که به طور عمده در سرتاسر جهان اتریوم شناخته شده‌اند، در لیست سفید قرار داده شوند. پس از گرفتن مهر تایید، صاحبان توکن DAO به آن‌ها رای خواهند داد. اگر این پیشنهاد در رای‌گیری 20٪ رای تایید بگیرد، آن‌گاه آن‌ها وجوه مورد نیاز را برای شروع دریافت خواهند کرد.

پتانسیل DAO، انعطاف‌پذیری، کنترل و شفافیت کاملی که ارائه داد بی‌سابقه بود؛ مردم به سمت آن هجوم بردند. ظرف مدت 28 روز از شکل‌گیری DAO، بیش از 150 میلیون دلار اتر جمع شد. در آن زمان، 14٪ از تمام توکن‌های اتر منتشر شده بود.

با این که همه چیز در نگاه اول خوب به نظر می‌رسد ممکن است بپرسید چگونه شخصی می‌تواند از DAO خارج شود؟ اگر DAPPای تأیید شود که طرفدار آن نیستید، چه می‌کنید؟ چگونه از DAO خارج می‌شوید؟ برای فعال کردن این ویژگی، یک در خروجی به نام «عمل تقسیم» (Split Function) ایجاد شد. با استفاده از این ویژگی، می‌توانید اتری را که سرمایه‌گذاری کرده‌اید، بازپس بگیرید و اگر مایل باشید، حتی می‌توانید«DAO Child» خود را ایجاد کنید. در حقیقت، شما می‌توانید از صاحبان توکن‌های متعدد DAO جدا شوید و DAO child خود را ایجاد کنید و شروع به پذیرش پیشنهادات کنید.

در قرارداد یک شرط وجود داشت که بر اساس آن پس از جدا شدن از DAO شما تا 28 روز قادر به استفاده از اتر خود نخواهید بود. لذا به نظر می‌رسد همه چیز خوب و کامل است … اما یک مشکل کوچک وجود دارد. بسیاری از افراد این راهِ گریزِ کوچک را دیدند و آن را اعلام کردند. سازندگان DAO اطمینان دادند که این موضوع، مسئله­ بزرگی نیست. این تنها مسئله‌ای بود که وجود دارد، و وجود داشت، و طوفانی را ایجاد کرد که اتریوم را به اتریوم و اتریوم کلاسیک تقسیم کرد.

منبع: blockgeeks

مترجم: اکرم سبزمکان

 

در قسمت قبل دیدیم که Mt. Gox، پس از بررسی‌های بسیار دریافت که مورد حمله انعطاف‌پذیری (Malleability) قرار گرفته است.

انعطاف‌پذیری (Malleability) تراکنش چیست؟

قبل از پرداختن به مفهوم آن، یک کد ساده از تراکنش بیتکوین را بررسی کنیم.
شکل زیر، یک تراکنش را به فرم کد نمایش می‌دهد. فرض کنید آلیس می خواهد 0.0015 بیتکوین را برای باب ارسال کند. برای انجام این کار، 0.0015770 بیتکوین را به عنوان ورودی می‌فرستد. جزئیات تراکنش به صورت زیرخواهد بود:

اولین چیزی که می‌بینید، به این شکل خواهد بود:

 

که نام تراکنش یا به عبارت دیگر هش ورودی و خروجی است.

Vin_sz تعداد داده‌های ورودی است، چون آلیس اطلاعات را فقط با استفاده از یکی از معاملات قبلی خود ارسال می‌کند، این عدد 1 است.

Vout_sz   برابر 2 است زیرا تنها خروجی، باب و مقداری است که آلیس به عنوان باقی‌مانده پس می‌گیرد.

این داده ورودی است :

 

آلیس تنها از یک تراکنش ورودی استفاده می‌کند، به همین دلیل مقدارvin_sz  برابر یک است.

در زیرِ داده‌های ورودی، امضای داده‌های او قرار دارد که در ادامه باید آن را به خاطر داشته باشید.

شکل زیر داده‌های خروجی را نشان می‌دهد:

 

اولین بخش این داده‌ها نشان‌دهنده این است که باب ۰٫۰۰۱۵ بیتکوین دریافت می‌کند. بخش دوم نیز نشان می‌دهد آلیس ۰٫۰۰۰۰۵۱۲ بیتکوین را به‌عنوان باقی‌مانده دریافت می‌کند.

به یاد دارید که اطلاعات ورودی ما 0.0015770 بیتکوین بود؟ این بیشتر از «0.0015 + 0.00005120» است. اختلاف این دو، کارمزدی است که ماینرها دریافت می‌کنند.  این ساختارِ یک تراکنش ساده است.

حال قبل از اینکه بفهمیم انعطاف‌پذیری یک تراکنش چیست، باید یک نکته دیگر را نیز بدانید:  بلاکچین به منظور تغییرناپذیری، از طریق توابع هش رمزنگاری، ایجاد شده است. این بدین معنی است که اگر داده‌ای در بلاکچین قرار گیرد، هیچ‌گاه قابل تغییر نیست. این ویژگی به تنهایی به ارزهای مبتنی بر بلاکچین امنیت بی‌حد و مرزی می‌دهد.

اما با این حال راه گریزی وجود دارد.

اگر داده‌ها قبل از قرار گرفتن در بلاکچین، دستکاری شوند، چه؟ حتی اگر متوجه دستکاری شوید، بعد از ورود آنها به بلاکچین، هیچ کاری نمی‌توان کرد. این اتفاق، انعطاف‌پذیری تراکنش نامیده می‌شود.

حال چگونه می‌توان داده‌ها را دستکاری کرد؟

امضای داده‌ها را به خاطر دارید؟ به نظر می‌رسد، امضای داده‌ها، می‌تواند دستکاری شود. این کار به نوبه خود می‌تواند شناسه تراکنش را تغییر دهد. در حقیقت، می‌توان کاری کرد که گویی معامله اصلا انجام نشده است. بگذارید این اتفاق را در قالب یک مثال ببینیم.

فرض کنید باب از آلیس می‌خواهد که برایش 3 بیتکوین ارسال کند. آلیس 3 بیتکوین را به آدرس عمومی باب می‌فرستد و منتظر تایید آن توسط ماینرها می‌شود. در حالی که تراکنش‌ در صف انتظار است، باب از انعطاف‌پذیری تراکنش برای تغییر امضای آلیس استفاده کرده و شناسه تراکنش را تغییر می‌دهد.

حالا این احتمال وجود دارد که این تراکنش قبل از تراکنش آلیس تایید شود، با این کار تراکنش آلیس بازنویسی می‌شود. هنگامی که باب 3 بیتکوین خود را می‌گیرد، می تواند به راحتی به آلیس بگوید که 3 بیتکوینی را که از او طلبکار بوده، دریافت نکرده است. آلیس نیز که می‌بیند تراکنشش انجام نشده، آن را دوباره ارسال می‌کند. در نتیجه، باب به جای 3 بیتکوین، 6 بیتکوین دریافت خواهد کرد.

این دقیقا همان چیزی است که در هک Mt. Gox ، اتفاق افتاد. به دلیل سوء مدیریت شدید و عدم وجود برنامه‌های مقابله‌ای، حدود 473 میلیون دلار بیتکوین، که تقریبا 7 درصد از عرضه بیتکوین در جهان بود، از این سیستم ربوده شد.

پیامد

زمان وقوع حمله Mt. Gox بسیار بد بود. چرا که بیتکوین به آرامی در جریان اصلی قرار گرفته بود. این نگرانی وجود داشت که بعد از حمله Mt. Gox حداقل 4-5 سال طول بکشد تا اعتماد مردم به سیستم بازگردد. همان‌طور که در گراف زیر نشان داده شده است، ارزش بیتکوین به شدت کاهش یافت:

 

Gox اعلام ورشکستگی کرد و کمی بعد فهمید، پول دزدیده شده، توسط پلتفرم معاملاتی دیگری به نام BTC-e پولشویی شده است. مالک  BTC-e ، الکساندر وینیک (Alexander Vinnik) در یونان دستگیر شد. او متهم به پولشویی پول‌های   Mt. Gox از طریق BTC-e و Tradehill، یک پلتفرم معاملاتی، دیگر بود. در صورت اثبات این اتهام او باید ۵۵ سال را در زندان سر کند.

خوشبختانه بیتکوین از این حادثه گذر کرده و  باقدرت در حال رشد است.

منبع: blockgeeks

مترجم: شکیبا آذرخشی

 

 

 از کجا می‌توان لایت کوین خرید و آن را پس‌انداز کرد؟

یکی از دلایل اصلی افزایش ارزش لایت کوین، اضافه شدن آن به Coinbase است. اگر بتوانید در کشور خود از coinbase استفاده کنید، بهترین و سریع‌ترین راه خرید لایت کوین همین است. غیر از آن، می‌توانید لایت کوین را از صرافی‌های زیر خریداری کنید:

• BTC-e
• Kraken
• Cryptsy

برای پس‌انداز لایت کوین، کیف پول‌های بسیاری وجود دارد که می‌توانید از آنها استفاده کنید.

• گزینه اول : کیف پول سخت‌افزاری

کیف پول‌های سخت‌افزاری دستگاه‌های فیزیکی هستند که شما می‌توانید ارز رمزنگاری شده خود را در آن‌ها ذخیره کنید. چند مدل مختلف از آن‌ها وجود دارد که مرسوم‌ترین آن نوع USB است که توسط سری Nano Ledger تولید شده است. اگرچه بسیاری به این کیف پول‌ها عمیقا اعتماد دارند، اما کیف پول‌های سخت‌افزاری هنوز نیازمند بررسی هستند.

اول از همه شما به شرکت سازنده کیف پول، اعتماد می‌کنید که یک گزارش از همه کلیدهای خصوصی برای حمله به کیف‌ پول‌ها در آینده نساخته است. این در مورد کسانی صدق می‌کند که خودشان کیف‌ پول را از شرکت خریداری می‌کنند، نه کسانی که کیف پول سخت‌افزاری دست دوم می‌خرند. تحت هیچ شرایطی، هیچ کس نباید از یک کیف پول دست دوم استفاده کند.

کیف پول‌های سخت‌افزاری زیر می‌توانند برای ذخیره لایت کوین استفاده شوند:

• Trezor
• Ledger Nano S

• گزینه دوم : کیف پول دسکتاپی

کیف پول دسکتاپ، یک نوع کیف پول گرم (hot) است. کیف پول‌های دسکتاپ بعد از دانلود، بر روی یک کامپیوتر یا لپ تاپ شخصی نصب می‌شوند و فقط از دستگاهی که در آن دانلود شده قابل دسترسی هستند.

با وجود این‌که این نوع از کیف پول‌ها نسبت به کیف پول‌های آنلاین، امن تر هستند، اما هنوز هم می‌توانند نامطلوب باشند زیرا شما به کیف پول خود دسترسی ندارید مگر این‌که در دستگاهی باشید که کیف پول را بر روی آن نصب کرده‌اید.

Exodus یک نمونه عالی از کیف پول‌های دسکتاپی است که از انواع ارزهای رمزنگاری شده مثل لایت کوین پشتیبانی می‌کند.

• گزینه سوم: کیف پول موبایلی

کیف پول‌های موبایلی یک مثال بسیار خوب از کیف پول‌های گرم هستند که برای استفاده بسیار مناسبند زیرا تنها چیزی که نیاز دارید نصب اپلیکیشن آن بر روی تلفنتان است.

• گزینه چهارم: کیف پول کاغذی

کیف پول‌های کاغذی یک روش ذخیره‌سازی آفلاین برای ذخیره ارز رمزنگاری شده است. این کیف پول شامل چاپ کلید عمومی و خصوصی شما بر روی یک تکه کاغذ است که پس از آن می‌توانید آن را در یک جای امن ذخیره کنید.

کلیدها به صورت کد QR چاپ می‌شوند که در آینده نیز می‌توانید آن را برای تراکنش‌های خود اسکن کنید. دلیل امنیت کامل آن این است که کنترل را تماما به عنوان کاربر به شما می‌دهد. نیاز نیست که شما نگران درستی یک قطعه سخت‌افزاری یا هکرها و یا هرگونه تروجان باشید. تنها باید مراقب یک تکه کاغذ باشید. شما می‌توانید کیف پول کاغذی خود را در liteaddress.org ایجاد کنید.

نتیجه‌گیری لایت کوین

لایت کوین در طول چند ماه گذشته در جهان غوغا کرده است. دلایل آن بسیار است:

• ارز رمزنگاری شده روزبهروز بیشتر به جریان اصلی و مورد اعتماد تبدیل می‌شود.
• Coinbase شروع به فروش آن کرده است.
• لایت کوین، segwit را فعال کرده است.

با این حال، بیشتر از افزایش چشمگیر آن، آنچه که لایت کوین عرضه می‌کند، بسیار با ارزش است. درست است که لایت کوین به عنوان برادر جوان‌تر بیتکوین تصور می‌شده، اما هدف آن به مراتب بیشتر از این رشد کرده است. در طول سال گذشته، لایت کوین بارها و بارها برای نشان دادن وسعت و توانایی ارزهای رمزنگاری ریسک کرده است.

لایت کوین یکی از اولین‌هایی بودند که Segwit را پیاده‌سازی کرد و همچنین با موفقیت مبادله اتمی را تست نمود. آنها فعالانه به دنبال این هستند که شبکه لایتینگ را به سیستم خود اضافه کنند.

با این تفاسیر، درک افزایش ارزش آن به خوبی ممکن است. با این حال، چارلی لی به همه کسانی که برای داشتن سهمی از لایت کوین مشتاقند می‌گوید:

منبع: blockgeeks