ابتدای اکتبر امسال، گزارشی توسط CNN منتشر شد که مدعی بود، یکی از دانشجویان دانشگاه میشیگان درحال تلاش برای هک سیستم رای گیری بلاک چینی ایالت ویرجینیای غربی، موسوم به Voatz، بوده است. گفته میشود اکنون FBI در حال تحقیق پیرامون این موضوع و بررسی دقیق صحت این ادعا است.
به گزارش کوین تلگراف، Voatz یک برنامه کاربردی برای تلفنهای هوشمند است که سال گذشته توسط مقامات ویرجینیای غربی برای دریافت آرای شهروندانی که در آن زمان در آمریکا نبودند یا برای خدمت نظامی از کشور خارج شده بودند، مورد استفاده قرار گرفت.
افشای مزبور توسط وزیر مک وارنر (Mac Warner)، از مقامات عالی رتبه ایالت ویرجینای غربی، صورت گرفته است. وی مدعی است فعالیتهایی در قسمت ماژولهای عملیاتی اصلی این برنامه رایگیری شناسایی شده که به عقیده او در جهت استفاده غیرقانونی از این برنامه انجام گرفته است. برای مقابله با چنین اقداماتی، این برنامه در جهت افزایش امنیت، از چندین لایه تایید اطلاعات شخصی مانند تشخیص چهره، اثر انگشت و رسید تایید رأیِ رأیدهندگان استفاده میکند.
در نتیجه دستیابی به این اطلاعات از جانب مراجع، اخیراً آقای وارنر با وضع حالت اضطراری اعلام کرد که اقدامات حفاظت مجازی [دیجیتالی] در این برنامه فعال شده است. تمامی این اقدامات که برای چنین شرایطی در Voatz تعبیه شده بودند، همانطور که از آنها انتظار میرود عمل کرده و در هیچ یک از آراء تغییری صورت نگرفته است.
با این حال، برای درک بهتر ضعف سیستمهای رایگیری مبتنی بر بلاک چین، کوین تلگراف به سراغ یکی از توسعه دهندگان اجرایی برنامههای رایگیری غیرمتمرکز، بری گیتارتز (Barry Gitartz) رفت و در این باره با او صحبت کرد. گیتارز گفت که اخیراً استفاده از این سیستم رای گیری درجه دوم (Quadratic Voting) بسیار مورد توجه قرار گرفته، با این حال این سیستم هنوز دارای ایراداتی است:
بزرگترین موضوعی که در رابطه با این شکل از آراء همچنان حل نشده باقی مانده آن است که برای جلوگیری از دستکاری رأیها، باید اطلاعات هویتی رأیدهندگان ثبت شود تا هر رأی دارای یک هویت باشد. به عبارت دیگر برخی رأیدهندگان میتوانند با تقسیم توکنهای خود در چندین آدرس مختلف قدرت رأی خود را نسبت به دیگران افزایش داده و رای ثبت کنند.
یکی دیگر از نقطه نظرات جالب توجه توسط مدیر ارشد فناوری امنیت سایبری شرکت «کاسابا سکیوریتی» (Casaba Security)، جان لوید (John Lioyd)، مطرح شد. به گفته او، سوال اصلی در رابطه با میزان قابلیت اطمینان به سیستمهای رأیگیری مبتنی بر بلاک چین نیست بلکه درباره میزان شفافیت خود برنامه Voatz است. طی مکاتبات کوین تلگراف با مدیر ارشد تحلیل نرم افزار شرکت «اسمارت دس» (SmartDec)، ایوان ایوانیتسکی (Ivan Ivanitskiy)، ایوانیتسکی در این خصوص گفت:
واقعیت آن است که توسعهدهنده این سیستم نمیتواند به عموم ثابت کند که هیچ یک از آرا دزدیده نشده و این یعنی استفاده از بلاک چین در این مورد با نقص همراه است. عمومیت یکی از اصلیترین قابلیتهای سیستمهای رای گیری بلاک چینی است. در چنین سیستمی، اگر همه جوانب رعایت شده باشد، همه افراد باید بتوانند صلاحیت نتایج آن را تایید کنند.
در ادامه لوید اظهار داشت که چند تن از محققان، بخشهایی غیر عادی در این برنامه پیدا کردهاند و شرکت سازنده پلتفرم نیز تا به اینجا هیچ تایید نتیجهای از بررسیها را در اختیار عموم قرار نداده است. او در ادامه به این موضوع اشاره کرد که برنامه Voatz در واقع یک شبکه خصوصی هایپرلجر (Hyperledger) با کمتر از ۱۰ نود است. به همین دلیل به اعتقاد او این شبکه فایدهای بیش از یک پایگاه داده سنتی ندارد. آقای لوید در ادامه افزود:
یک بلاک چین که تنها با نودهای خاصی عمل میکند، همچنان نیاز دارد تا برای جمع آوری آراء از مردم نودها را از طریق اینترنت به افراد معرفی کند. تلاش در جهت رخنه در برنامههایی که جنبه عمومی دارند به یک روتین در میان آنها بدل شده است؛ اف بی آی هم به همین دلیل به این مسئله ورود پیدا کرده است. نمیتوانید بعد از ثبت رای به عنوان یک حقیقت، آن را تغییر دهید. هدف اصلی باید تلفن همراه رأیدهندگان و پس از آن زمانی باشد که دستگاههای این رای دهندگان تایید شده باشد.
ایوانیتسکی نیز در ادامه صحبتهای خود ذکر کرد که در سپتامبر گذشته، از یک سیستم رأیگیری مبتنی بر بلاک چین برای انتخابات پارلمانی در مسکو استفاده شد. نتیجه این کار از نظر آماری نسبت به شمارش سنتی متفاوت بوده است و این یعنی در نتیجه نهایی کمی دستکاری صورت گرفته است. او در ادامه افزود:
در این اتفاق نیز بخش بلاک چین درست عمل میکند و مشکلی در رابطه با آن وجود ندارد، در حقیقت مشکل اصلی در قسمت شناسایی افراد است. با وجود آنکه بلاک چین برای رأیگیری فوقالعاده است اما مساله احراز هویت یک مشکل پیچیده بوده و تا زمانی که موضوع شناسایی افراد در این سیستم درست عمل نکند، نباید از هیچ کدام از سیستمهای رأیگیری الکترونیکی استفاده کرد.
بلاک چین در سیستمهای رای گیری
ایجاد تمایز بین فناوری بلاک چین و برنامههایی که از آن استفاده میکنند بسیار مهم است. به زبان سادهتر، بلاک چین به ما اجازه ساخت یک پایگاه داده مقاوم در برابر دستکاری را میدهد و سپس با ایجاد چندین کپی از آن، اطلاعات موجود در این پایگاه داده، در مقابل هرگونه فعالیت مخرب که توسط افراد شخص ثالث انجام میشود مقاوم خواهد بود.
و این یعنی اگر یک کپی از این پایگاههای داده به هر نوعی دستکاری شوند، این دستکاری به سرعت توسط سایر مشترکین شبکه قابل مشاهده خواهد بود. علاوه بر این، به محض آنکه مغایرت موجود پیدا شد میتوان آن را بوسیله یکی دیگر از نسخههایی که پیشتر کپی آن تهیه شده بود، بازنویسی کرد و آن را به حالت اولیه خود بازگرداند. برای توضیح بیشتر در رابطه با این موضوع، جف استالمن (Jeff Stollman) از مشاورین «ریکی مانتین» (Ricky Mountain)، میافزاید:
مشکل سیستمهای رأیگیری بلاک چین در بخش فرانتاند (front-end) برنامه است که وظیفه وارد کردن اطلاعات جدیدی را دارد که به سیستم منتهی میشوند. بنابراین تکنولوژی بلاک چین نمیتواند جلوی هک شدن بخش فرانتاند برنامه و تغییر رأیهایی که قرار است برای بلاک چین ارسال شود را بگیرد. به عنوان مثال، یک کلاهبردار میتواند با جعل هویت و یا دزدیدن اعتبارنامه یک رأیدهنده دیگر، پیش از آنکه دادهها وارد بلاک چین شوند به صورت مشروع رأی دهد و در این مورد کاری از دست بلاک چین ساخته نیست.
در رابطه با برنامه Voatz، از آنجایی که هیچ مدرک مستندی برای پاسخ به این سوال که آیا این برنامه مورد نفوذ موفق قرار گرفته است یا خیر وجود ندارد، می توان اینطور فرض کرد که هکر به جای اطلاعات مربوط به بلاک چین به دنبال دسترسی به دادههای یک بخش خاص مربوط به خود برنامه بوده است.
براساس گزارشها برنامه Voatz به جای استفاده از یک بلاک چین غیر انحصاری (permissionless blockchain)، یک دفتر کل انحصاری (permissioned blockchain) با تعداد نسبتا کمی از نودها را به کار گرفته است. جان واگستر (John Wagster)، از اعضای اصلی شرکت حقوقی «فراست، براون، تاد»، معتقد است از آنجایی که در بلاک چینهای غیرانحصاری هر تراکنش باید توسط تعداد بیشتری از مشارکتکنندگان تایید شود، استفاده از آن گزینه بهتری برای فعالیتهای مربوط به رأیگیری است. او در تصریح گفتههای خود میگوید:
هیچ سیستمی به طور کامل ایمن نیست، با این حال امنیت برنامه Voatz با وجود آنکه برای بلاک چینهای انحصاری طراحی شده است، قابل قبول به نظر میرسد. اتفاقی که در رابطه با آن صحبت میشود بیشتر شبیه یک تلاش برای نفوذ به این برنامه بوده است تا یک نفوذ کامل.
آیا حادثه Voatz تکرار شدنی نیست؟
سوال مهمی که در نتیجه این اتفاق مطرح میشود آن است که آیا در آینده باز هم شاهد به خطر افتادن سیستمهای رأیگیری مبتنی بر بلاک چین خواهیم بود یا خیر؟ در واقع تمام هکهای مربوط به این موضوع را نمیتوان به بلاک چین ربط داد. درواقع دادههایی هک میشوند که قرار است به سیستم اصلی بلاک چین وارد شوند. آقای واگستر در این باره میگوید:
برنامههای کاربردی برای رأیگیری به دلیل امکان ایجاد شفافیت و تعامل قابل اثبات و بدون نیاز به اعتمادسازی بین طرفین یک مورد فوقالعاده از استفاده فناوری بلاک چین هستند.
مدیر پروژه شرکت امنیت سایبری OccamSec، هنری لی (Henry Ly) نیز در این مورد نظر مشابهی دارد. لی در صحبتهایش با خبرگزاری کوین تلگراف اظهار میکند که با وجود اینکه سیستمهای رای گیری مبتنی بر بلاک چین به پروتکلهای تایید بیشتری نیاز دارند تا بتوان بخشهای آسیبپذیر آنها را مشخص کرد، اما اتفاقات این چنینی [هکهای اخیر] چیز جدیدی نیستند.
لی در ادامه صحبتهایش به این موضوع اشاره کرد که تلاش برای هک بسیاری از برنامههای مبتنی بر بلاک چین امری عادی است که هر روز اتفاق میافتد، اما به این معنا نیست که سیستمهای این چنینی در آینده کاربردی ندارند. او میافزاید:
ساخت یک سیستم کاملاً بینقص، تقریباً غیرممکن است. با استفاده از زمان و منابع کافی میتوان به هر سیستمی نفوذ کرد. سیستمهای رأیگیری الکترونیکی و بلاک چین هنوز مشکلات بسیاری دارند اما میتوان به آنها امیدوار بود.
افزایش استفاده از بلاک چین توسط دولتها
حتی اگر منتقدین به تاکید اظهارات خود در رابطه با آسیبپذیریهای مربوط به بلاک چین ادامه دهند، موارد استفاده جهانی از این تکنولوژی به طور پیوسته درحال افزایش است. به عنوان مثال، Æternity، یک پروژه سرمایهگذاری با محوریت برنامههای غیرمتمرکز بلاک چین است که اخیراً با حزب دیجیتال اروگوئه به منظور ایجاد یک پلتفرم جدید به توافق رسیده است. با استفاده از این پلتفرم، شهروندان اروگوئه میتوانند در طیف گستردهای از تصمیمات سیاسی به شکل شفاف و غیرمتمرکز دخیل باشند.
همچنین آژانس استانداردهای مواد غذایی انگلستان (FSA)، اعلام کرد که سال گذشته مراحل ساخت برنامه آزمایشی رهگیری توزیع گوشت این کشور بر بستر بلاک چین را با موفقیت به اتمام رسانده است.
در ایالات متحده آمریکا نیز تاکنون مجموع ۱۸ ایالت به شکلهای مختلف طرحهایی در خصوص قوانین و مقررات مربوط به فناوری بلاک چین ارائه کردهاند که ۹ مورد از این لوایح تاکنون به تصویب رسیده و به صورت قانون، اجرایی شدهاند. به عنوان مثال، مردم در ایالت تنسی میتوانند با استفاده از قراردادهای هوشمند و فناوری بلاک چین انجام تراکنشهای الکترونیکی خود را تسهیل ببخشند. و یا در مورد دیگر، قانون جدید ایالت وایومینگ آمریکا به نهادها امکان میدهد تا از بلاک چین برای ثبت گزارشهای داخلی خود استفاده کنند.