اخبار ارز دیجیتال

معرفی جدیدترین ابزار امنیتی متامسک برای محافظت از قراردادهای هوشمند

جدیدترین ابزار امنیتی متامسک برای محافظت از قراردادهای هوشمند در برابر حملات

کیف پول متامسک (MetaMask)، یکی از پیشروترین کیف پول نرم افزاری رمزارزها که کاربران را قادر می‌سازد با کیف پول اتریوم (Ethereum) خود در مرورگرها تعامل داشته باشند، با هدف اجرای استانداردهای امنیتی درجه یک و بهره‌گیری از کل اکوسیستم متن باز جاوا اسکریپت (Java Script) آماده شده است. ابزار جدید متامسک از توسعه دهندگان قرارداد هوشمند در برابر حملات فیشینگ یا سرقت محافظت می‌کند. این آخرین ابزار امنیتی متامسک برای محافظت از قراردادهای هوشمند در برابر حملات است.

در ۲۰ فوریه سال ۲۰۲۱ میلادی، بیش از ۵۰ توسعه دهنده قرارداد هوشمند ضربه بزرگی را به واسطه حملات سایبری متحمل شدند. این حمله زمانی اتفاق افتاد که کتابخانه هاردهت (HardHat) نامیک لبز (NomicLabs)، کتابخانه‌ای که برای توسعه قرارداد هوشمند اتریوم استفاده می‌شود، با حمله فیشینگ معروف به “تایپو اسکواتینگ” مواجه شد. در حمله‌هایی از این دست، مهاجمان منتظر فرصت‌هایی می‌مانند که کاربران، به طور اتفاقی، نام دامنه را اشتباه تایپ می‌کنند و در نتیجه به یک فضای مجازی با نامی مشابه نام دامنه اصلی هدایت می‌شوند. بنابراین مهاجمان دامنه‌ای شبیه به آدرس یک وب سایت معتبر را خریداری می‌کنند تا به اندازه کافی واقعی به نظر برسد. اینگونه صفحه وب سایت همچون وب سایت اصلی و معتبر به نظر خواهد رسید اما کلاهبرداران از آن با نیت ناسالم استفاده خواهند کرد.

اما در مورد متامسک مهاجمان از یک نام دامنه زیبا استفاده نکرده‌اند. در عوض، آنها نامی را در NPM ثبت کرده‌اند که یک منبع اصلی و قابل اعتماد برای کتابخانه‌های جاوا اسکریپت متن باز به حساب می‌آید. نام مورد نظر برای استفاده از کتابخانه هاردهت به شکل “@ nomiclabs / hardhat-waffle” بوده است و مهاجمان نام “hardhat-waffle” را به ثبت رسانده‌اند که به اندازه نام بسته واقعی، قانونی به نظر می‌رسد. به احتمال بسیار زیاد، مهاجم منتظر بوده تا کاربران به اشتباه “hardhat-waffle” را به جای “@ nomiclabs / hardhat-waffle” تایپ کنند، تا اینگونه پس از نصب برنامه، اسکریپ مورد نظر مهاجمان اجرا شود و محتویات و پرونده‌های اعتباری کوبرنتس (Kubernetes) را به یک سرور دیگر بارگذاری کند. به همین منظور سرور متامسک با بکارگیری ویژگی‌های امنیتی جدید خود به طور مداوم در تلاش است تا با چنین سرویس‌های جعلی‌ای که می‌خواهند اعتبار حساب کاربر را تخلیه کنند، مبارزه کند.

با این حال، این نوع حملات جدید نیستند. در سال ۲۰۱۸ نیز کو پی (Copay)، که یک کیف پول مشهور بیت کوین (Bitcoin) است، قربانی یک چنین حمله‌ای شد و کلیدهای خصوصی اتریوم و بیت کوین کاربران به سرقت رفت.

در پی حادثه اخیر، هاردهت تیم متامسک را ترغیب کرده است تا ابزاری جدید به نام لاواموت (LavaMoat) را به مجموعه ابزارهای قدرتمند امنیتی خود بیافزاید تا اینگونه از توسعه دهندگان در برابر سرقت محافظت کند.

این ابزار ساده و سبک “@ lavamoat / allow-scripts” نام دارد. این برنامه توسعه دهندگان را قادر می‌سازد تا در صورت لزوم کدهای دوره‌ای NMP خود را به صورت جداگانه توسعه دهند و در برابر کدهای مخرب در زنجیره تأمین نرم افزار مصون بمانند. بنابراین لازم خواهد بود که تمام توسعه دهندگان این ابزار جدید را نصب و پیکربندی آن را در سیستم‌های توسعه خود انجام دهند.

اگر تمام توسعه دهندگانی که به اشتباه hardhat-waffle را نصب کرده بودند، @ lavamoat / allow-scripts را بر روی پروژه‌های خود پیکربندی کرده بودند، در برابر همه این حملات جاوا اسکریپتی مصون می‌ماندند.

نوشته معرفی جدیدترین ابزار امنیتی متامسک برای محافظت از قراردادهای هوشمند اولین بار در ایکس بلاکچین. پدیدار شد.

منبع

نمایش بیشتر

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا