بازار ارزهای دیجیتال در سال 2020 و به دنبال رونق حوزه دیفای (امور مالی غیرمتمرکز)، شاهد ظهور بخش جدیدی به نام صرافیهای غیرمتمرکز یا DEX بود. رشد سریع تقاضا در این بخشها باعث توسعه گسترده پروتکلهای آنها و افزایش حجم معاملات شد، اما تحقیقات صورت گرفته نشان داده است که امنیت صرافیهای غیر متمرکز همیشه هم تضمین شده نیست و بسیاری از آنها امنیت کاربران را به خطر میاندازند. در ادامه این مطلب از آرینا اقتصادی، بیشتر درباره این موضوع صحبت خواهیم کرد.
بسیاری از صرافی های غیرمتمرکز امن نیستند
به طور کلی معماری توزیع شده مراکز داد و ستد رمز ارز دیجیتال نامتمرکز و همچنین کنترل کامل دارایی کاربر توسط خود او باعث بروز بعضی مشکلات شده است. برای مثال، کاربر در صورت هک شدن رمز عبور یا گم کردن کلید خصوصی خود قادر به بازیابی اطلاعات و داراییهایش نیست. چون در سیستمهای DEX فرایندهای شناخت مشتری (KYC) و کنسل شدن معامله در نظر گرفته نشده است. همچنین در ثبت توزیع شده فرایندهای بازپرداخت و استرداد وجود ندارد. در واقع زمانی که کاربر، این مدل موسسات را برای معامله ارز دیجیتال انتخاب کند، مسئولیت کامل حفظ داراییهایش را شخصاً بر عهده میگیرد و هیچ مرجع پشتیبانی برای کمک به او وجود ندارد.
موسسه تحقیقاتی هاکن گروپ (Hacken Group) در زمینه امنیت سایبری فعالیت دارد که به طور ویژه روی بخش بازار ارزهای دیجیتال تمرکز کرده است. واحد ارزیابی صرافیهای نامتمرکز رمزارزهای این شرکت، تصمیم گرفته که وضعیت فعلی این موسسات را مورد بررسی قرار دهد. در ادامه بخشهایی از این تحقیقات منتشر شده است.
تنها 8 درصد از صرافی های غیرمتمرکز امن هستند
این موسسه تحقیقاتی معروف در گزارش خود چند ریسک احتمالی در هنگام کار با صرافیهای DEX را معرفی کرده است. موارد مطرح شده در زیر، بخشی از ریسکهای موجود در صرافیهای نامتمرکز هستند که در این گزارش به آنها اشاره شده است. لازم به ذکر است که در مراکز داد و ستد ارزهای دیجیتال CEX تا حدود زیادی میتوان از این ریسکها جلوگیری کرد.
-
احتمال وجود توکنهای جعلی با همان نماد توکنهای اصلی در این مراکز.
-
بالا بودن Slippage در این موسسات. در این شرایط ممکن است که معاملهگر، توکنی با قیمت بسیار بالاتر از قیمت آن را در بازار خریداری کند.
-
تأخیر در تراکنش و زمانبر بودن تراکنشها.
-
عدم وجود اطلاعات کافی درباره جفت ارزها.
اگر کاربر مرتکب اشتباهی شده و دارایی خود را از دست بدهد، بسیاری از مراکز DEX هیچ ضمانتی برای حفاظت از دارایی او ارائه نمیدهند. البته در این گزارش ذکر شده که تاکنون هیچ هک قابل ملاحظهای در مراکز DEX در مقایسه با صرافیهای CEX رخ نداده است.
موسسه هاکن گروپ، 25 صرافی نامتمرکز را با در نظر گرفتن فاکتورهایی مثل تاریخچه حسابرسی کدهای برنامه، میزان نقدینگی، کیف پول سخت افزاری و غیره مورد بررسی قرار داده است. در نهایت مراکز مورد نظر از رتبه یک تا 10 رتبهبندی شدهاند. هر چقدر امتیاز امنیت یک موسسه بالاتر باشد یعنی آن مرکز در میان سایر DEX ها امنیت بالاتری دارد.
تصویر زیر نتایج نهایی این تحقیق را نشان داده و تا حدی نگران کننده است. چون این نتایج نشان میدهند که تنها 2 مرکز ( به نامهای Uniswap و Synthetix) از میان 25 صرافی نامتمرکز امتیاز بالای 8 را کسب کردهاند.
عدم انحصار در حسابرسی برنامه
در این بخش از تحقیق، امنیت صرافیهای غیر متمرکز، زمانی که فاکتور «بررسی و حسابرسی کدهای برنامه» به طور ویژه مورد ارزیابی قرار گرفت، نتایج جالب توجهی به دست آمد. بر اساس این تحقیقات مشخص شد که 6 پلتفرم از 25 مورد DEX یا گزارش حسابرسی خود را منتشر نکردهاند یا اصلاً حسابرسی نشدهاند. این در حالی است که حسابرسی نشدن کدهای یک پلتفرم دیفای، امنیت آن را به میزان قابل توجهی کاهش میدهد.
با این وجود، اکثر پروتکلهایی که از فیلتر حسابرسی کدهای برنامه عبور کردهاند از خدمات حسابرسی مختلفی استفاده کردهاند. این موضوع مشخص میکند که توسعهدهندگان برای حسابرسی برنامه خود، گزینههای گوناگونی در اختیار داشته و انحصاری در این زمینه وجود ندارد.
همچنین چند موضوع نگران کننده دیگر هم در این گزارش دیده میشود. بسیاری از صرافیهای غیرمتمرکز بعد از انجام بهروزرسانی در پروتکلهای خود، برای بار دیگر حسابرسی نمیشوند. در واقع تنها 4 درصد از مراکز DEX پروسه حسابرسی خود را 100 درصد به صورت دقیق و بهروز حفظ میکنند. البته اکثر این موارد به این دلیل است که بعد از آخرین تحقیقات صورت گرفته توسط Hacken Group در کدهای صرافیهای DEX هیچ بهروزرسانی انجام نشده است.