امنیت بلاک‌چین چیست و چرا برای رمزارز شما اهمیت دارد

1.5 میلیارد دلار. در یک بعدازظهر ناپدید شد. این حادثه مربوط به Bybit در فوریه 2025 بود. گروه Lazarus کره شمالی حتی تلاش نکردند تا رمزنگاری Ethereum را بشکنند. آنها به جای آن انسان‌ها را هدف قرار دادند — کد JavaScript مخرب را به رابط کیف پول Bybit تزریق کردند، یک توکن جلسه AWS را دزدیدند، احراز هویت چند عاملی را دور زدند، و با 401,347 ETH فرار کردند. FBI این نسبت دادن را در عرض چند هفته تایید کرد.

برای درک این اندازه: این بیش از کل دزدی DeFi در سال 2025 بود. یک خرابی عملیاتی در یک صرافی و 1.5 میلیارد دلار ناپدید. Chainalysis کل دزدی بلاک‌چین را 3.4 میلیارد دلار برای 2025 محاسبه کرد — 55 درصد بیشتر از 2.2 میلیارد دلار سال قبل. بلاک‌چین خود سالم بود. انسان‌های کاری بر روی آن ضعیف بودند.

چگونه بلاک‌چین تراکنش‌ها را محافظت می‌کند#

بلاک‌چین یک دفتر کل توزیع شده است — پایگاه داده‌ای که در هزاران کامپیوتر در سراسر جهان کپی شده. وقتی Bitcoin می‌فرستید یا با قرارداد هوشمند Ethereum کار می‌کنید، شبکه تراکنش را تایید می‌کند قبل از ثابت‌کردن آن. سه چیز این کار را سخت می‌کند.

هش رمزنگاری شده هر بلوک را به بلوک قبلی پیوند می‌دهد. هر بلوک یک هش دارد — اثر انگشتی ریاضی — از داده‌های بلوک قبلی. برای تغییر یک تراکنش باید هر هش بعدی را دوباره محاسبه کنید. در Bitcoin، میلیون‌ها معدن‌کار محاسبات SHA-256 را انجام می‌دهند. این نیاز به قدرت محاسباتی بیشتر از آنچه بیشتر کشورها دارند دارد.

تمرکز‌زدایی دفتر کل را در هزاران گره پخش می‌کند. بانک‌های معمولی داده را روی سرورهایی در یک مکان ذخیره می‌کنند. آن سرورها را هک کنید و کنترل داده با شما است. بلاک‌چین هیچ نقطه ضعفی ندارد. دفتر کل همه جا به طور همزمان وجود دارد. برای سازش با آن باید بیشتر گره‌ها را به طور همزمان سازش دهید — در کشورهای متفاوت، شبکه‌های متفاوت، اپراتورهای متفاوت.

توافق مکانیزم‌ها شبکه را وادار می‌کند موافقت کند قبل از ثبت هر چیز. معدن‌کاران Bitcoin برق می‌سوزانند تا معادلات رمزنگاری را حل کنند و حق تایید تراکنش‌ها را بگیرند. اعتبارسنجان Ethereum ETH خود را به عنوان وثیقه قرار می‌دهند — اگر تراکنش تقلبی تایید کنند، سهام را از دست می‌دهند. هر دو روش تقلب را گران می‌کنند. حمله به Proof of Work Bitcoin میلیارد‌ها دلار سخت‌افزار و برق می‌خواهد. حمله به Proof of Stake Ethereum به معنی خریدن و سرمایه‌گذاری میلیارد‌ها دلار ETH است.

این سه لایه با هم کار می‌کند تا بفهماند چرا هیچ کس هرگز خود Bitcoin یا Ethereum را هک نکرده. اما زیرساخت‌های ساخته شده بر روی آن؟ داستان دیگری است.

انواع مختلف بلاک‌چین امنیت‌های متفاوتی دارند#

مردم از بلاک‌چین انگار که یک چیز باشد صحبت می‌کنند. اما نیست. انواع مختلفی وجود دارد با فرضیات امنیتی کاملاً متفاوت.

بلاک‌چین‌های عمومی هزاران اعتبارسنج دارند که یکدیگر را کنترل می‌کنند. برای هک کردن Bitcoin باید کل صنعت معدن‌کاری را شکست دهید. هیچ کس این کار را نکرده است. معامله این است که تمام آن تایید توزیع شده آهسته است.

JPMorgan بلاک‌چین خصوصی اجرا می‌کند چون کنترل کردن چه کسی شرکت می‌کند برای آن‌ها مهم است. برای بانک منطقی است. اما بلاک‌چین سازمانی با 20 اعتبارسنج کاملاً متفاوت از یکی با 20000 است. اگر یک گروه کوچک از گره‌ها را هک کنید، شبکه با شما است. این قیمتی است که وقتی خصوصی را بر عمومی انتخاب می‌کنید می‌پردازید.

بلاک‌چین‌های ترکیبی سعی می‌کنند مزایای هر دو را بگیرند. در عمل، آسیب‌پذیری‌های هر دو را نیز می‌گیرند.

بزرگ‌ترین حملات بلاک‌چین و اینکه واقعاً چه اشتباهی رخ داده است#

نگاه کنید به اعداد. تقریباً هیچ‌کدام از این‌ها حمله به خود پروتکل نبود. این‌ها اشتباهات انسانی بودند. کسی رمز عبور را دوباره استفاده کرد. کسی کلید خصوصی را روی سرور گذاشت. کسی یک قرارداد هوشمند را بدون بررسی اجرا کرد.

کیف پول هک شده و کلید خصوصی دزدی‌شده 69٪ از خسارات اول سال 2025 را تشکیل می‌دهند. حساب‌های کارمندی مسلح شده 55.6٪ از حوادث سال 2024 را سبب شدند. هیچ‌کس رمزنگاری را شکست نداد. مردم روی لینک اشتباه کلیک کردند، رمزهای عبور را مجدداً استفاده کردند یا کلیدها را در جاهای نامناسب گذاشتند. اشتباهات ساده‌ای که هر کدام صدها میلیون دلار هزینه داشتند.

آسیب‌پذیری‌های معمول بلاک‌چین که باید بدانید#

در پانزده سال اخیر، هیچ‌کس بلاک‌چین را نشکست. آنچه مرتب شکسته می‌شود، تمام چیزهای دور و بر آن است.

قراردادهای هوشمند بدترین بخش هستند. این کد‌های خودکار اجرا می‌شوند و بعد از نشر، نمی‌توانید آن‌ها را مانند نرم‌افزار معمولی تصحیح کنید. یک خرابی و هرکسی در جهان می‌تواند از آن استفاده کند. DAO در سال 2016 این درس را گرفت. یک خرابی reentrancy 60 میلیون دلار هزینه داشت. نه سال بعد، این مشکل هنوز وجود دارد. Chainalysis 8.5٪ از سرقت‌های 2024 را به خرابی‌های قرارداد نسبت داد. یک بررسی از 100 حمله DeFi بزرگ نشان داد که تأیید ورودی معیوب 34.6٪ را سبب شد.

یک آمار مهم: از پروژه‌هایی که هک شدند، تنها 19٪ کیف پول چند‌امضا داشتند. 2.4٪ ذخیره سرد استفاده می‌کردند. یک بانک معمولی برای این کار بسته می‌شود. اما بیشتر پروژه‌های رمزارز بدون هیچ‌کدام از این‌ها شروع شدند و فقط امیدوار بودند.

بهترین شیوه‌های امنیتی بلاکچین که واقعاً هک‌ها را جلوگیری می‌کنند#

پس چه چیزی پروژه‌هایی را از هم جدا می‌کند که بقا می‌یابند تا آن‌هایی که در لیست «بزرگ‌ترین هک‌ها» ظاهر می‌شوند؟ چند چیز ساده است.

حسابرسی قرارداد هوشمند اولویت اول است. شما یک شرکت امنیتی مستقل استخدام می‌کنید تا کد شما را قبل از استقرار تجزیه کند. آن‌ها به دنبال باگ‌های بازورود، خطاهای سرریز، و شکاف‌های کنترل دسترسی هستند. بله، هزینه دارد.

CertiK، Hacken، OpenZeppelin، Trail of Bits — این شرکت‌ها این کار را انجام می‌دهند. قرارداد‌های حسابرسی شده نیز گاهی بهره‌برداری شده‌اند. اما قرارداد‌های حسابرسی نشده در نرخ بسیار بالاتری دچار حمله می‌شوند.

کیف‌های امضای چندگانه برای ذخیره‌سازی پول قابل توجه ضروری هستند. دو یا سه کلید مورد نیاز برای انجام معامله یعنی یک کلید مخروج شده تنها کافی نیست. اما امضای چندگانه تنها یک لایه از دفاع است. Bybit امضای چندگانه داشت و با این‌حال هک شد چون مهاجمان رابط امضا را هدف گرفتند، نه کلیدها را.

ذخیره‌سازی سرد بهترین روش برای وجوهی است که اکنون در حال استفاده نیستند. اگر یک کیف هرگز به اینترنت متصل نشود، نمی‌توان آن را هک کرد. صرافی‌های بزرگی که سال‌های اخیر بدون خسارت باقی ماندند، اکثریت پول مشتریان خود را آفلاین نگه داشتند.

نظارت بلادرنگ جایی است که ممکن است تفاوت ایجاد شود. Venus Protocol سیستم نظارت خود را تنظیم کرد و تماس‌های قراردادی عجیب را ۱۸ ساعت قبل از یک حمله شناسایی کرد. آن‌ها سیستم را متوقف کردند و هر دلار را نجات دادند. مهاجم در هزینه‌های گاز ضرر کرد. Chainalysis Hexagate، Forta Network، OpenZeppelin Defender — این ابزارها فعالیت بلاکچین را شب و روز نظارت می‌کنند و الگوهای مریب را می‌یابند.

سپس اساسی‌ترین موارد: ماژول‌های امنیت سخت‌افزاری برای کلیدهای خصوصی، دسترسی مبتنی بر نقش تا یک نفر نتواند تنها یک انتقال بزرگ را تأیید کند، چرخش منظم اعتبارات، داشتن نقشه پاسخ حادثه قبل از اینکه مشکلی پیش بیاید.

DeFi امن‌تر می‌شود، اما CeFi بدتر می‌شود#

اختلاف DeFi و CeFi در سال ۲۰۲۴ واقعاً شگفت‌انگیز است.

CeFi یازده حادثه داشت. یازده. و تقریباً به‌همان میزان خسارت دید که DeFi در ۲۲۱ حادثه از دست داد. یک روز بد در یک صرافی متمرکز بیش‌تر ضرر وارد می‌کند تا ماه‌ها بهره‌برداری پراکنده از DeFi.

DeFi در حال بهبود است. خسارات پل کمتر شده‌اند. پروژه‌های بیش‌تری قبل از راه‌اندازی حسابرسی انجام می‌دهند. برنامه‌های جایزه باگ Immunefi هکرهای White-hat را برای یافتن مسائل پرداخت می‌کنند، و این کار می‌کند.

CeFi از طرف دیگر بدتر می‌شود. صرافی‌ها مقادیر عظیمی از پول مشتریان را در چند حساب کارمندی نگه می‌دارند. یک ایمیل فیشینگ که یک توسعه‌دهنده برای آن فریب بخورد و ناگهان یک خسارت نه‌رقمی رخ می‌دهد. Bybit بعد از نقض فوریه ۲۰۲۵ باید ۱٫۵ میلیارد دلار از پول مشتریان را در سه روز جایگزین کند. آن‌ها موفق شدند. همه صرافی‌ها نخواهند شد.

بازار امنیت بلاکچین منفجر می‌شود#

Fortune Business Insights بازار امنیت بلاکچین را در سال ۲۰۲۵ حدود ۵ میلیارد دلار ارزش‌گذاری کرد و انتظار دارد تا سال ۲۰۲۶ به ۸٫۴ میلیارد دلار برسد. Coherent Market Insights آن را تا سال ۲۰۳۲ در ۱۲۸ میلیارد دلار می‌بیند، با نرخ رشد ترکیبی ۵۷٪.

دو چیز این را هدایت می‌کند. هر سال پول بیشتری در سیستم جریان دارد، پس بیشتری باید محافظت شود. و تنظیم‌کنندگان دیگر منتظر نیستند. چارچوب MiCA اتحادیه اروپا الزامات امنیتی خاصی برای هر کسب‌وکار رمزنگاری‌ای در اروپا تعیین می‌کند. CFTC آمریکا برنامه‌ای برای دارایی‌های دیجیتال شروع کرد و وثائق توکن‌شده را می‌پذیرد، اما فقط از شرکت‌هایی با کنترل‌های امنیتی قوی. اگر پول مؤسسه‌ای دارید، به امنیت مؤسسه‌ای نیاز دارید. این قبلاً یک حرف فروش بود. حالا قانون است.

فناوری هم تغییر می‌کند. Anthropic یک تمرین تیم قرمز انجام داد و ۴.۶ میلیون دلار ایرادهای قرارداد هوشمند را پیدا کرد با استفاده از تحلیل AI — نوع مشکلاتی که حسابرسان انسانی هفته‌ها برای یافتن آن‌ها وقت می‌گذاشتند. اثبات‌های بدون دانش اجازه می‌دهند معاملات بلاک‌چین خصوصی باقی بمانند و در عین حال قابل تأیید باشند. محاسبات چند‌طرفه در مدیریت کلیدهای سازمانی شروع به جایگزین کردن multi-sig سنتی می‌کنند.

این برای شما چه معنی دارد#

اگر رمزنگاری دارید، اصول پایه‌ای ساده هستند: کیف پول سخت‌افزاری، عبارت بذری روی کاغذ در محل امن، احراز هویت دو فاکتوری با یک برنامه نه پیامک، و شک به هر پیوندی که انگار از صرافی‌تان است. بیشتر مردم رمزنگاری را از طریق خطای انسانی یا ذخیره‌سازی بد کلید از دست می‌دهند، نه از طریق حملات عمیق در پروتکل.

اگر کد برای بلاک‌چین می‌نویسید، کار پیچیده‌تر است اما شفاف: حسابرسی قبل از انتشار، multi-sig برای تغییرات مهم، نظارت مستمر بر قراردادهای خود، و طرح پاسخ‌دهی به حادثه آماده قبل از اینکه شنبه شب ساعت ۳ صبح چیزی خراب شود. تکنولوژی بلاک‌چین زیرین سالم است. پانزده سال بیتکوین این را ثابت کرده‌اند. اما قراردادهای هوشمند، پل‌ها، کیف پول‌ها، و عملیات‌های ساخته‌شده بر روی آن تنها به اندازه‌ی خوبی هستند که مردمی که آن‌ها را اجرا می‌کنند. و درست الان، ۳.۴ میلیارد دلار ضرر در سال نشان می‌دهد که ما آن‌ها را خوب اجرا نمی‌کنیم.