عمليات الاحتيال والتهديدات عبر Web3: اتجاهات أمان Web3 التي يجب الانتباه إليها

وفقًا لتقرير Global Web3 Security & AML 2022 ، سجلت صناعة Web3 167 هجومًا كبيرًا في عام 2022. وبلغ إجمالي الخسارة المتكبدة في هجمات Web3 ما يقرب من 3.6 مليار دولار، وهو أعلى بنسبة 47.4٪ عما كان عليه في عام 2021.

Web3 ليست خالية من المخاطر

Web3 هو مصطلح جذاب يحدد التكرار التالي للإنترنت. استنادًا إلى دفاتر الأستاذ اللامركزية وقواعد البيانات الموزعة على العقد، تم تصميم Web3 لمواجهة مخاطر المركزية والاحتكار والمشكلات الأمنية المرتبطة بـ Web2.

يقدم سوق Web3 العالمي تعريفات جديدة للأصول الرقمية والمعاملات باستخدام حلول blockchain وNFTs والعملات المشفرة وحلول DeFi. مع القيمة السوقية التي تبلغ حوالي 27.6 مليار دولار، يتوسع سوق Web3 بوتيرة جذرية.

إذا كان مفهوم Web3 يبدو وكأنه فكرة بعيدة المنال، فإننا نقترح قراءة هذا المقال: "ما هو Web3؟".

وباعتباره ابتكارًا مبنيًا على تقنيات جديدة، فإن Web3 يشمل فوائد ومخاطر جديدة. يهدف الإصدار الجديد للإنترنت إلى أن يكون شفافًا ولا مركزيًا ومقاومًا للرقابة والمركزية. إن الطبيعة غير الموثوقة لتقنية blockchain تعني أنه يجب على المستخدمين أن يثقوا فقط في الكود الأساسي والعقود الذكية ومحافظ التشفير.

ومع ذلك، فإن سلاسل الكتل الشفافة تأتي مع مقايضات معينة تتعلق بالأمان والخصوصية. في حين أن اللامركزية هي الميزة الأكثر أهمية في تقنية Web3 و blockchain، إلا أنها في الوقت نفسه تمثل سيفًا ذا حدين؛ ومع اللامركزية، هناك درجة أعلى من حماية البيانات، بالإضافة إلى مخاطر شخصية أكبر من جانب المستخدمين.

لقد أحدث Web3 ثورة في الإنترنت، لكنه ليس خاليًا من المخاطر. على الرغم من أنه أصلح بعض العيوب المرتبطة بـ Web2، إلا أنه لا يزال غير قادر على تجنب بعض المخاطر الأمنية ومواجهة بعض الأشكال الجديدة من الهجمات الإلكترونية أيضًا.

للحصول على مزيد من المعرفة حول Web3 قبل دراسة المخاطر الأمنية، راجع هذه المقالة: "ما هي أمثلة Web3؟" مستقبل الإنترنت”.

نقاط الضعف العامة المرتبطة بـ Web3

وبصرف النظر عن عدد من عمليات الاحتيال التي تهدد الأمن السيبراني للتكنولوجيا الجديدة، ينبغي لنا أن نضع شرحا موجزا للمخاطر المنهجية. تشير المخاطر المنهجية إلى المخاطر على مستوى النظام البيئي والتي تكون خارجة عن سيطرة المستخدم ولكنها قد تؤثر على الأمن العام، مثل الانكماش الاقتصادي والفشل الفني.

يعد الانكماش الاقتصادي واسع النطاق وتقلب سوق العملات المشفرة مشكلة شائعة يواجهها مجتمع العملات المشفرة. بالإضافة إلى ذلك، تمثل بعض التشريعات تهديدًا باعتبارها غير مواتية لـ Web3 أو سوق العملات المشفرة ككل.

يتم تضمين عملة الاقتصاد الجزئي والأصول المالية في العديد من تطبيقات وابتكارات Web3. وهذا يرقى إلى عوامل غير متوقعة قد تغير حساب المخاطر الشاملة. توفر البنية الاقتصادية المضمنة لـ Web3 مزيدًا من الحوافز لمجرمي الإنترنت، مقارنةً بتكنولوجيا المعلومات التقليدية ونشر السحابة.

عند الحديث عن سوق العملات المشفرة، يمكنك غالبًا سماع مصطلحات مثل السوق الهابطة أو السوق الصاعدة. لمعرفة المزيد حول هذه المصطلحات، اقرأ هذا المقال: "ماذا تعني مصطلحات سوق Bull & Bear؟".

في حين أن تقلبات سوق العملات المشفرة تعد مشكلة طويلة الأمد وشائعة داخل بيئة العملات المشفرة، فإن العديد من شبكات البلوكشين الواسعة تكافح أيضًا ضد الأعطال الفنية. يمكن تقسيم الأعطال الفنية إلى زيادة في حركة المرور ومشاكل فنية عامة لشبكات blockchain مثل مشغلي العقد غير الجديرين بالثقة.

نظرة عامة على المخاطر الأمنية لـ Web3

وعدت شبكة Web3 والشبكات اللامركزية القائمة على تقنية blockchain بمستقبل مثير فيما يتعلق بحماية البيانات وأمنها، ولكن لا توجد تكنولوجيا آمنة بنسبة 100٪. في الوقت الحالي، وبسبب مقايضة التصميم، هناك تهديدات جديدة في أفق العملات المشفرة.

توفر النظرة العامة التفصيلية لحالة أمان وتطوير Web3 وتقنيات blockchain المختلفة أسبابًا وجيهة للتعرف على التهديدات المحتملة. وبما أن Web3 لا يزال في مرحلته الأولى من التطوير، فمن الضروري تقييم المخاطر الناشئة التي تنقسم إلى أربع فئات رئيسية.

أ. توفر البيانات وموثوقيتها ومعالجتها

تعتمد تقنية Blockchain على تحكم أكبر في عقد المستخدم النهائي وعدم وجود إشراف مركزي. تظهر أسئلة تتعلق بتوفر البيانات مثل كيفية تأثير الاعتماد على العقد لتوافر البيانات على التطبيقات في حالة عدم توفر البيانات.

على الرغم من أن معاملات blockchain مشفرة وأن لامركزية البيانات تقلل من نقاط الهجوم أو الفشل الفردية، إلا أنها تعرض البيانات لعدد من المخاطر. يثير الإشراف الأقل مركزية مخاوف خاصة بشأن هجمات نقطة النهاية، واستغلال توفر الخدمة، وحظر حركة المرور.

هناك مشكلة أخرى مرتبطة بموثوقية البيانات. على الرغم من أن الطبيعة اللامركزية لشبكة Web3 تقلل من الرقابة، إلا أن هناك مشكلات مستمرة تتعلق بأصالة البيانات ودقتها. في الوقت الحالي، من غير الواضح كيف يمكن أن تؤثر الاضطرابات المحتملة في انعدام الثقة وحراسة البوابة على موثوقية البيانات، إلى جانب الذكاء الاصطناعي الذي يمتصها.

وأخيرًا وليس آخرًا، برز التلاعب بالبيانات كمشكلة خطيرة. تشمل المخاطر المتعلقة بالتلاعب بالبيانات، على سبيل المثال، الأنشطة التالية:

ب. التهديدات وأشكال الهجوم الجديدة

يشتمل Web3 عادةً على محافظ متعددة مُدارة شخصيًا ولا يمكن استعادتها. وهذا يخلق مستوى معينًا من الضعف أمام اختراقات الهندسة الاجتماعية. العديد من الهجمات المرتبطة بتقنية blockchain، على غرار الهجمات السيبرانية التقليدية، ركزت بشكل أقل على التكنولوجيا نفسها وأكثر على نقاط الضعف البشرية.

وبصرف النظر عن سرقة المفاتيح الخاصة ، فإن نقاط الدخول للجهات الخبيثة هي نقاط الضعف في نقاط النهاية، إلى جانب الهندسة الاجتماعية للموظفين أو غيرهم من الأفراد. على سبيل المثال، خسرت بورصة العملات المشفرة Bithumb ومقرها كوريا الجنوبية 31.5 مليون دولار بسبب اختراق المتسللين لجهاز كمبيوتر أحد الموظفين.

إلى جانب هجمات الهندسة الاجتماعية التقليدية، مثل عمليات الاحتيال على وسائل التواصل الاجتماعي وهجمات التصيد الاحتيالي ، يقدم Web3 عدة طرق جديدة. نظرًا لعدم وجود رقابة مركزية، قد تكون هذه المخاطر شديدة بعض الشيء حيث يجب على المستخدمين تحمل مسؤولية أمن البيانات وإجراء أبحاثهم الخاصة. الوعي المحدود بمخاطر أمان Web3 يجعل المستخدمين أهدافًا عرضة لمجموعة من عمليات الاحتيال والانتهاكات الأمنية الشائعة.

1. التعدين الخفي

يحدث تعدين العملات المشفرة عندما تقوم جهات التهديد بتثبيت برامج تعدين العملات المشفرة بهدوء على أجهزة الكمبيوتر والشبكات الخاصة بالمستخدمين. في الأساس، يشير هذا المصطلح إلى نوع من الهجوم يقوم من خلاله الجناة باختطاف موارد الكمبيوتر لاستخراج العملات المشفرة. في الواقع، كانت العملة الأكثر شيوعًا التي تم تعدينها بهذه الطريقة هي Monero (XMR).

عمالقة التكنولوجيا مثل جوجل وأمازون هم أيضًا في حالة تأهب قصوى بسبب تهديدات التعدين الخفي لخوادمهم السحابية. تم استخدام المثيلات السحابية المخترقة للتعدين. تمت الإشارة إلى أن هذا النوع من الهجمات يكتسب شعبية وأن وعي المستخدم هو العنصر السري للدفاع السيبراني.

على عكس معظم مجرمي الإنترنت الآخرين، يزدهر مخترقو العملات المشفرة من خلال كونهم متخفين وغير قابلين للاكتشاف على مدى فترات طويلة من الزمن. قد يعتقد المستخدمون أن أجهزتهم أصبحت قديمة وبطيئة بينما يقوم متسللو العملات المشفرة بتنفيذ هجوم خفي طويل الأمد.

عادةً ما يتم تشغيل الهجمات بواسطة أطقم تتولى ما يكفي من الأجهزة لإنشاء شبكة أكبر للتعدين الخفي تكون فعالة في توليد الدخل. عادةً ما تتواجد البرامج الضارة في إصدارات مخترقة من البرامج الشرعية. لذلك، من غير المرجح أن تشير عمليات الفحص الأمني إلى هذا التهديد باعتباره تهديدًا.

2. هجمات القروض السريعة

في عام 2021، تعرض بروتوكول Binance Smart Chain (BSC) PancakeBunny لهجوم قرض سريع بقيمة 200 مليون دولار، وخسر أكثر من 700000 BUNNY و114000 رمز BNB. وكانت الخسارة دائمة. كشف مثل هذا الهجوم عن الجانب القبيح لـ DeFi. تصدرت هجمات القروض السريعة عناوين الأخبار منذ أن اكتسبت DeFi شعبية في عام 2020.

أصبحت هجمات القروض السريعة مشكلة خطيرة في مجال العملات المشفرة، وتحديدًا في مجال التمويل اللامركزي. إنه نوع من هجوم DeFi حيث يحصل ممثل خبيث على قرض سريع من بروتوكول الإقراض ويستخدمه لغرض التلاعب بالسوق.

إذا كنت جديدًا في عالم العملات المشفرة، فربما تتساءل ما هو القرض السريع. تشير القروض السريعة إلى نوع جديد من القروض غير المضمونة التي تفرضها العقود الذكية. معارضة لتأمين القروض التي تتطلب ضمانات، والقروض غير المضمونة منطقيا لا تفعل ذلك.

على سبيل المثال، تريد اقتراض 2000 دولار من أحد البنوك. ستقرضك بعض البنوك المال على أساس سجل جيد في الدفع. الآن تخيل أنك بحاجة إلى مبلغ كبير، دعنا نقول 50 ألف دولار. عندما يتعلق الأمر بمبالغ كبيرة، عادةً ما تطلب منك البنوك تقديم ضمانات مثل قطعة من العقارات أو السيارة أو أي شيء آخر لحماية نفسها.

دعنا نوضح الأمر أكثر باستخدام مثال Pancake Bunny. اقترض المتسلل أولاً كمية كبيرة من رموز BNB من خلال Pancake Swap واستخدمها أيضًا للتلاعب بسعر USDT/BNB وBUNNY/BNB في مجموعاته. ولذلك، تمكن المهاجم من سرقة كمية كبيرة من BUNNY، وإلقائها في السوق مما تسبب في انهيار السعر. وبعد ذلك، قام المتسلل بسداد الدين باستخدام PancakeSwap.

3. هجمات التصيد الاحتيالي

التصيد الاحتيالي هو مصطلح يشير إلى قيام المهاجمين بإقناع المستخدمين بالتوقيع على معاملة تفوض الموافقة على الرموز المميزة للمستخدمين إلى جهات ضارة. على عكس هجمات التصيد الاحتيالي التقليدية التي تحاول الوصول إلى معلومات حساسة مثل كلمات المرور أو المفاتيح الخاصة عبر مواقع التصيد الاحتيالي، فإن التصيد الاحتيالي على الجليد عبارة عن عملية احتيال موجودة فقط في بيئة Web3.

نظرًا لمتطلبات المستثمرين للتوقيع على العديد من الأذونات لبروتوكولات DeFi، ظهر التصيد الاحتيالي على الجليد باعتباره تهديدًا كبيرًا. يحتاج مرتكب الجريمة إلى جعل المستخدم يعتقد أن العنوان الضار الذي يمنح الموافقة عليه شرعي تمامًا. بمجرد موافقة المستخدم على الأذونات، تكون أموال المستخدم معرضة بشكل كبير لخطر الضياع.

من الأمثلة الواقعية على عملية التصيد الاحتيالي على الجليد قضية BadgerDAO لعام 2021. تمكن الجناة من اختراق الواجهة الأمامية لـ BadgerDAO للوصول إلى مفتاح Cloudflare API والنصوص البرمجية الضارة المحقونة. طُلب من العملاء الذين لديهم أرصدة حسابات عالية التوقيع على موافقات معاملات مزيفة.

4. اختراق منطق العقود الذكية

العقود الذكية هي اتفاقيات مكتوبة بواسطة تعليمات برمجية غير قابلة للتغيير وتأتي مع وعد بعدم التلاعب. يعد اختراق منطق العقد الذكي تهديدًا جديدًا يستهدف نقاط الضعف في العقود الذكية.

وقد تم استخدام مثل هذه الاختراقات لاستغلال عدد من الوظائف والخدمات، على سبيل المثال، قابلية التشغيل البيني، وإدارة المشروع، ووظائف محفظة العملات المشفرة، وخدمات المعاملات المالية.

دعونا نضع مثالا واقعيا. قامت Parity بإنشاء محافظ برمجية متعددة التوقيع لإدارة العملة المشفرة Ether. كانت المحافظ متعددة التوقيع عبارة عن عقود ذكية مبنية على أساس مفتوح المصدر وتتطلب أكثر من مفتاح خاص قبل الموافقة على نقل العملة المشفرة.

ومع ذلك، تمكن جاني مجهول من سرقة 150 ألف إيثر بقيمة 30 مليون دولار تقريبًا في ذلك الوقت من خلال استغلال الوظيفة الاحتياطية واستدعاء المفوض في مكتبة العقود الذكية.

ج. قضايا الهوية

ميزات Web3 مثل تقليل البيانات وإمكانية نقل المعرفات والمحافظ التي يتحكم فيها المستخدم (بعض الجوانب المظلمة لـ Web2 مثل مخاطر الخصوصية والسرية، وزودت المستخدمين بتحكم أكبر في بياناتهم وأصولهم). ومن ناحية أخرى، فإن إخفاء الهوية، والأسماء المستعارة، وهوية السيادة الذاتية (SSI) لها جانب مظلم أيضًا.

إن الطبيعة الشفافة والقابلة للتدقيق لسلاسل الكتل العامة تأتي مع العديد من مقايضات الخصوصية والأمن أيضًا. وبصرف النظر عن حقيقة أن هذه التقنيات تتطلب عمليات تأهيل وتعليم معقدة، فإن التكرار الجديد للإنترنت أدى إلى العديد من الأسئلة المتعلقة بالخصوصية.

على سبيل المثال، ما هي المعلومات التي يتم تخزينها على السلسلة، وأيها يتم تخزينها خارج السلسلة؟

إن جزء الاسم المستعار يؤدي إلى فجوات في البيانات فيما يتعلق بالامتثال ويُزعم أنه يفتح الأبواب لغسل الأموال. من ناحية أخرى، تجعل الهويات اللامركزية من الصعب التحقق من معلومات التعريف الشخصية مما يمثل مشكلة للوائح حماية البيانات المعاصرة مثل اللائحة العامة لحماية البيانات.

يعد إخفاء الهوية أمرًا رائعًا حتى تتسبب الروبوتات في حدوث ارتباك وانهيار الأعراف الاجتماعية. هذا هو الدرس الذي علمنا إياه Web2. سيكون من السذاجة بعض الشيء الاعتقاد بأن إزالة الوسطاء وإعادة السلطة إلى أيدي المستخدمين لن يقدم نوعًا من المقايضة. على المدى الطويل، يثير عدم الكشف عن الهوية تساؤلات حول المسؤولية وحماية المستهلك.

كيف تبقى آمنًا في Web3؟

يمكن ترجمة العديد من ممارسات الأمان من Web2 إلى Web3 مثل المصادقة الثنائية وكلمات المرور القوية والحذر والتعليم عندما يتعلق الأمر برسائل التصيد الاحتيالي والتهديدات الأخرى. قدم Web3 عددًا من المخاطر الجديدة، ولكن هناك خطوات يمكنك اتخاذها لحماية نفسك وأصولك القيمة.

أ. حافظ على أمان مفاتيحك الخاصة

على عكس التبادلات المركزية، يعد تخزين الأصول الرقمية في محفظة ذاتية الحفظ أكثر أمانًا، مما يوفر تحكمًا كاملاً في مفاتيحك الخاصة. عادةً، يتم دعم المفاتيح الخاصة بعبارة أولية ، وهي مجموعة فريدة من 12 أو 24 كلمة بترتيب معين يمنح الوصول إلى عنوان محفظة التشفير. بكلمات بسيطة، إنها نسخة قابلة للقراءة من المفتاح الخاص.

لضمان طبقة إضافية من الأمان، يمكنك تخزين عبارة الاسترداد في مكان ما في العالم المادي أو حتى تخزين نسخ متعددة من العبارة في أماكن مختلفة. ضع في اعتبارك أنه يجب تخزين كل نسخة بأمان.

ب. كن يقظًا ضد تهديدات التصيد الاحتيالي

سواء أكان الأمر يتعلق بالتصيد الاحتيالي الجليدي أو التصيد الاحتيالي التقليدي، فإن القاعدة الأساسية هي تجنب رسائل البريد الإلكتروني أو الرسائل المشبوهة. العديد من هذه المحاولات تبدو مشروعة. سيكون من الحكمة التحقق مرة أخرى عندما يطلب منك شخص ما مفتاحك الخاص، أو العبارة الأولية، أو أي نوع من الإذن. يمكنك دائما الاتصال بالشركة مباشرة.

هناك خيار آخر وهو الحصول على محفظة أجهزة ذاتية الحفظ تُعرف أيضًا باسم التخزين البارد. على الرغم من أن محافظ الأجهزة آمنة للغاية، إلا أنه يجب عليك الحفاظ عليها آمنة وحماية نفسك من محاولات الهندسة الاجتماعية. تذكر أن المتسللين يزدهرون على نقاط الضعف البشرية.

ج. تعرف على المزيد حول العقود الذكية وروابطها الضعيفة

العقود الذكية هي نوع جديد نسبيًا من التكنولوجيا ويمكن أن تحتوي على أخطاء في الكود الخاص بها. يركز مجرمو الإنترنت على اكتشاف الأخطاء في رموز العقود الذكية لسرقة الأموال. نظرًا لأن العقود الذكية ذاتية التنفيذ، فقد يؤثر الفشل في التعليمات البرمجية على المستخدمين النهائيين سلبًا.

معظم العقود الذكية هي مشاريع مفتوحة المصدر ويتم فحصها من خلال عمليات تدقيق أمنية منتظمة. ومع ذلك، فإن جزءًا كبيرًا من المستخدمين ليس لديهم الدرجة المطلوبة من المعرفة التقنية لتقييم التعليمات البرمجية.

ومع ذلك، فإن DYOR (قم بأبحاثك الخاصة) هي القاعدة الذهبية في عالم العملات المشفرة. يمكنك البدء بالتحقق مرة أخرى من عناوين URL للخدمات اللامركزية التي تستخدمها والالتزام بالتطبيقات المعروفة التي تحتوي على سجل جيد للأمن السيبراني.