أفضل المعلومات حول العملات الرقمية تصلك مباشرة إلى بريدك الإلكتروني.
مقابلة: لماذا يستمر المتسللون في استهداف بروتوكولات DeFi ، والحلول؟
ملخص سريع
- تستمر موجة الهجمات التي ينفذها القراصنة على بروتوكولات التشفير DeFi في الارتفاع.
- خسارة أكثر من 7 مليارات دولار بسبب الهجمات على صناعة العملات المشفرة في عام 2021.
- لماذا يواصل القراصنة استهداف صناعة التشفير؟
ظلت موجة الهجمات التي شنها المتسللون على مساحة DeFi وصناعة العملات المشفرة مصدر قلق للصناعة.
تشير التقاريراختراق لتقنية البلوك تشينdentفي عام 2021، حيث بلغت الخسائر ما يقارب 7 مليارات دولار. وخلال الشهر الماضي، تم الإبلاغ عن خمس حالات اختراق للعملات الرقمية على الأقل، وكان DeFi بروتوكول التمويل " آخر ضحايا هذه الهجمات، حيث قيل إن أكثر من 130 مليون دولار سُرقت.
بدلاً من ذلك، أجرت Cryptopolitan مقابلة مع ديمتري ميشونين، الرئيس التنفيذي والمؤسس لشركة هاش إكس، وهي شركة بحث وتطوير متخصصة في دمج تقنية البلوك تشين في العمليات التجارية والأمن السيبراني. يتمتع ديمتري بخلفية تقنيةtronفي مجال الأمن السيبراني والتطبيقات اللامركزية، بالإضافة إلى خبرة واسعة في تطوير أنظمة أمن المعلومات.
فيما يلي مقتطفات من المقابلة
س: هل تفاجأت بعدد الاختراقات والثغرات الأمنية التي يواجهها المستخدمون في الآونة الأخيرة؟
للأسف، لا. نشهد تزايدًا في أعداد الأشخاص الذين يكتبونtracالذكية. لكنهم غالبًا ما يفتقرون إلى الخبرة البرمجية الكافية والفهم الجيد لـ Solidity، وهي حاليًا لغة البرمجة الوحيدة المتوافقة مع Ethereum. يُعدّ الفهم الجيد للغة البرمجة أمرًا ضروريًا لإنشاء بروتوكول DeFi موثوق، وقد يؤدي عدم معرفة بعض تفاصيلها الدقيقة بسهولة إلى استغلال الثغرات وسرقة الأموال.
س: كيف يمكن أن يؤدي قبول أو توقيعtracذكي يحتوي على تعليمات برمجية ضارة إلى سرقة أصولك؟
يجب على كل مستخدم أن يعلم أن معاملات البلوك تشين غير قابلة للإلغاء: بمجرد الموافقة على مبلغ معين من رمز ERC-20 لعقد ذكي من نوع ERC-20tracسيتم نقله إليه بشكل نهائي. قد يحتوي العقدtracشفرة مصدرية موثقة وخالية من الثغرات، ولكنه قد يعتمد أيضًا على مكتبة غير موثقة. تُعد الموافقة على الرموز لمثل هذا العقدtracكبيرة، لأنه لا يمكنك التحقق من كيفية عمل المكتبة.
هذا ما حدث في مشروع StableMarket، حيث سُرقت أموال المستخدمين بقيمة لا تقل عن 27 مليون دولار. كانتtracتحتوي على شفرة مصدرية مدققة، ولكنها نُشرت مع مكتبة غير موثقة. كانت هذه المكتبة خبيثة، وسرقت رموز المستخدمين المخزنة في البروتوكول.
هناك خطر آخر على المستخدمين يتمثل في الموافقة على رموز لعقد ذكي قابل للترقيةtracهذا العقدtracفقد تتمmaticبرمجيات خبيثة وسرقة الرموز المعتمدة.
غالبًا ما توافق تطبيقات الواجهة الأمامية على الحد الأقصى لعدد الرموز في العقدtracوليس فقط على المبلغ المراد استخدامه. يتم ذلك لدفع ثمن الوقود في معاملة واحدة. إذا أودع المستخدم رموزًا في العقدtracفسيحتاج إلى دفع ثمن الوقود أيضًا. ولكن إذا تصرف العقدtracخبيث، فيمكنه في هذه الحالة سحب أي مبلغ من الرموز من المحفظة.
لذا، فإن أفضل ممارسة لتحقيق أقصى قدر من الأمان هي التحقق دائمًا من مبلغ الموافقة والموافقة فقط على المبلغ المطلوب لعمليةtrac.
س: هل أصبح المتسللون أكثر ذكاءً أم أصبح مستخدمو العملات المشفرة أقل حذراً فيما يتعلق بإجراءات الأمن السيبراني الخاصة بهم؟
كلا القولين صحيح. لقد أحرز المخترقون تقدمًا ملحوظًا في استغلال منصات القروض السريعة بالتزامن مع بروتوكولات مختلفة لإنشاء ثغرات أمنية واستغلالها. هذه المنصات الأخرى آمنة في معظم الأحيان، لكن القروض السريعة تُنشئ تعقيدًا هيكليًا أكبر، مما يزيد من تكرار الثغرات الأمنية.
هذه الهجمات معقدة للغاية، حتى تحليلها يستغرق وقتًا طويلًا. كما أن هناك العديد من عمليات اختراق المشاريع التي تحتوي على برمجيات ضعيفة تحتوي على أخطاء بسيطة، والتي من المرجح التخلص منها إذا أُجريت اختبارات أو خضعت لمراجعة دقيقة.
يقع جزء من اللوم أيضًا على المستخدمين، لأن الكثير منهم على دراية بالممارسات الآمنة التي تقلل من المخاطر، مثل التخزين البارد. لكنهم غالبًا ما يتجاهلونها، ويفقدون صوابهم أمام فرصة قد تحقق لهم عائدًا استثماريًا مضاعفًا. في بعض الأحيان، ينتهي بهم الأمر إلى خسارة أموالهم ببساطة.
س: كيف يمكن للمستخدمين حماية أصولهم بشكل أفضل على Metamask والتطبيقات اللامركزية المرتبطة بها مثل OpenSea و DeFi؟
أفضل حماية هي عدم تخزين جميع الأصول في محافظ ساخنة، بل إرسالها إلى محافظ باردة: هذه الأخيرة لا تتصل بالإنترنت. من الأفضل تخزين كمية صغيرة فقط من الأصول اللازمة للعمليات في محافظ ساخنة، والاحتفاظ بالباقي في محافظ باردة.
علاوة على ذلك، ينبغي على المستخدمين اتباع قواعد الأمان القياسية: استخدام برامج مكافحة الفيروسات، وتجنب فتح الروابط المشبوهة في رسائل البريد الإلكتروني، واستخدام المصادقة الثنائية قدر الإمكان.
س: هل تعتقد أن عمليات الاختراق والاستغلال ستصبح أكثر شيوعًا مع نمو الصناعة؟
مع نمو القطاع وإطلاق المزيد من المشاريع، سيواجه المزيد منها خطر الاختراق. لا يمكن القضاء على جميع الأخطاء البرمجية في جميع المشاريع، لكن شركات أمن البلوك تشين تعمل باستمرار على تقليلها. لا يقتصر ذلك على تدقيق الشيفرة المصدرية للمشاريع، بل يشمل أيضًا تطوير أدوات تحليلية تساعد على منع ظهور الأخطاء البرمجية نهائيًا، أو على الأقل اكتشافها في المراحل الأولى من التطوير.
س: ما هو الدور الذي يلعبه HashEx في توسيع صناعة العملات المشفرة؟
نُنير الطريق للناس بشأن شفافية وأمان استخدام التطبيقات اللامركزية. منطق عملهم مُعقّد وغامض للغاية بحيث يصعب على المستخدم العادي فهمه. كما أنه لا يُمكن لأي شخص عاقل أن يُسلم أمواله إلى جهة لا يفهمها، مثل بينوكيو في ميدان المعجزات. نشرح المفاهيم المُعقّدة بعبارات واضحة، ونُسلّط الضوء على المخاطر التي ينبغي على الناس إدراكها ومحاولة تجنبها، كما نساعد المستثمرين المُحتملين على اتخاذ قرار مُستنير بشأن أموالهم.
لكننا في المقام الأول شركة تدقيق تُركّز على DeFi والعملات المشفرة. هذا يعني أننا نُجري العديد من عمليات التدقيق علىtracالذكية، وبالتالي نساعد مشاريع العملات المشفرة على كسب ثقة المستثمرين، إذ يثقون أكثر بالمشاريع المحمية جيدًا من الأخطاء المكلفة التي قد تُلحق الضرر المالي بمستثمريها.
س: ما هي أفكارك حول كل من مجموعة السبعdent الأمريكي جو بايدن بشأن تحركاته لإنهاء برامج الفدية والأمن السيبراني والاختراقات المتكررة للعملات المشفرة؟
يُعدّ التحسين المستمر لمعايير الأمان جزءًا لا يتجزأ من روتيننا وأيديولوجيتنا المؤسسية. نسعى إلى تعزيز الثقة في مجال DeFi الذي لا يعتمد على الثقة. وهذه القضية بالغة الأهمية في أي مجال من مجالات تكنولوجيا المعلومات، وليس فقط في DeFi. مع الظهور السريع لمنتجات البرمجيات الجديدة، لا يحظى جانب الأمن السيبراني، للأسف، بالاهتمام الكافي، مما يُتيح فرصًا سانحة للقراصنة لاستغلالها. هناك سببان رئيسيان لذلك: البرمجة السريعة، وضعف كفاءة القوى العاملة التي تُعرض عليها أجور باهظة دون مبرر.
هذا جانب سلبي لشركات تكنولوجيا المعلومات سريعة النمو. في هذه البيئة المتنافسة، تسعى الشركات إلى استباق بعضها البعض، مقدمةً منتجات جديدة، وفي كثير من الأحيان تغض الطرف عن مشاكل الأمن رغم أهميتها. ونتيجةً لذلك، قد نحصل أحيانًا على أنظمة ضخمة يستخدمها عدد كبير من العملاء، لكنها لا تزال تعاني من ثغرات أمنية قد تؤدي إلى خسارة أموال المستخدمين. وفي بعض الأحيان، قد تمتد عواقب هذه الثغرات إلى جميع أنحاء القارة.
من هذا المنطلق، يُعدّ التدخل الحكومي مبررًا تمامًا. فلولا تدخل حكومات الولايات في هذه القضايا، فمن كان سيُضيّق الخناق على رجال الأعمال الجشعين ويُقنعهم بتكريس جهودهم للتدابير الأمنية وتطوير البرمجيات بطريقة رشيدة؟
إذا بدأ الناس بالإبلاغ عن عمليات الاختراق للجهات الحكومية، فسيكون لذلك أثر إيجابي. فالمعلومات الفورية تُسهم في الحد من عواقب أي عطل محتمل، من خلال السماح باستخدام قنوات الاحتياطي (ويمكن اعتبار وضع إمدادات النفط إلى الساحل الشرقي للولايات المتحدة مثالاً جيداً على هذه الممارسة).
من المفيد أيضًا توحيد معايير الأمان في جميع أنحاء القطاع، إذا طُوِّرت من قِبَل خبراء، لا من قِبَل جهات خارجية. حتى في المرحلة المبكرة الحالية من تطوير التطبيقات اللامركزية، نشهد تطبيق هذه المعايير من قِبَل كبار المدققين. سيفيد دمج هذه البروتوكولات الجميع: إذ سيُسهِّل البرمجة، ويزيد من أمان الأكواد، ويحمي أموال المستخدمين.
س: هذه الاختراقات تتحدث عن تأثيرها على صناعة العملات المشفرة
ردود الفعل تجاه صناعة العملات المشفرة هي محاولة للسيطرة على الأموال المسروقة. أعتقد أنها خطوة جيدة. حاليًا، لا يمكنك الحصول على جميع مزايا العالم الحقيقي من خلال العملات المشفرة. هذا الوضع يتغير يومًا بعد يوم، ولكنه بعيد كل البعد عن الكمال. لذلك، لا يزال المتسللون بحاجة إلى جسر بين العملات المشفرة والأموال التقليدية لسحب الأموال المكتسبة بشكل غير قانوني.
هذه هي المرحلة التي يُمكن فيهاdentهوية المجرمين. كلما زاد عددهم، قلّ عدد الراغبين في تكرار ذلك. يُذكرنا هذا بكيفية قطع أعضاء الجسم للسرقة في الثقافات الشرقية. تُؤثّر هذه التدخلات من قِبَل جهات إنفاذ القانون إيجابًا على صناعة العملات المشفرة وسمعتها. هذه الإجراءات تُشعر الناس بالأمان.
س: الجهات الفاعلة السيئة التي تقف وراء العديد من عمليات اختراق العملات المشفرة هذه، ما هي العقوبات التي توصي بها لهم لردع الآخرين؟
كما ذكرتُ سابقًا، أنا أؤيد تمامًا معاقبة هؤلاء الأفراد. أعتبر هذه العمليات احتيالًا ماليًا بدرجات متفاوتة من الخطورة، وسأتخذ الإجراءات القانونية المناسبة بحقهم. لن أحاول وضع قوانين جديدة في الوقت الحالي.
س: من المستحيل تقريبًا إنشاء عالم تشفير بدون اختراقات، فكيف يمكن لأصحاب المصلحة في مجال التشفير وصناع السياسات وجميع الأشخاص تقليل الهجمات إلى الحد الأدنى؟
لا يُمكن تصور أي مجال تكنولوجيا معلومات دون تهديدات سيبرانية. ولكن عندما نتحدث عن الشركات العادية، فإننا لا نرى سوى غيض من فيض، وليس الصورة الكاملة. هناك العديد من عمليات الاختراق التي تحدث بشكل واضح، لأن الشركات قد تُقوّض سمعتها إذا أصبحت هذه المعلومات علنية. مع العملات المشفرة، كل شيء شفاف ومعلوم للجميع، لذا تتناول وسائل الإعلام هذه الأمور بشكل أكثر تواترًا.
الأمن السيبراني ممارسة متعددة الأبعاد، تشمل الأطر التنظيمية عند نقاط دخول وخروج العملات المشفرة إلى العملات الورقية، وتثقيف المستخدمين، وفرق الأمن السيبراني التي تتحقق من الشيفرة البرمجية، وغيرها. لا يزال هذا القطاع ناشئًا، مما يوفر فرصة ممتازة لتوجيهه نحو مسارات التطوير الصحيحة. بهذه الطريقة، يمكننا الاستفادة من ممارسات أكثر أمانًا منذ البداية، بدلًا من محاولة سد الثغرات في مرحلة لاحقة.
لا تكتفِ بقراءة أخبار العملات الرقمية، بل افهمها. اشترك في نشرتنا الإخبارية، إنها مجانية.
محيمن أولوبوروكو
يُحب محيمن الكتابة عن أخبار العملات الرقمية، فضلاً عن كونه من المتحمسين لها. لديه موهبة في تحليل القضايا وإطلاع الناس على آخر المستجدات العالمية. وهو يؤمن بأن تقنية البلوك تشين والعملات الرقمية هما أنجع أنظمة الثقة المتبادلة على الإطلاق.
- أي العملات المشفرة يمكن أن تدر عليك المال
- كيفية تعزيز أمانك باستخدام المحفظة الإلكترونية (وأي منها يستحق الاستخدام فعلاً)
- استراتيجيات استثمارية غير معروفة يستخدمها المحترفون
- كيفية البدء في الاستثمار في العملات المشفرة (أي منصات التداول التي يجب استخدامها، وأفضل العملات المشفرة للشراء، إلخ)