أمن العملات المشفرة المُركّز على الإنسان: دروس من اختراق Bybit

المؤلف: بن تشاروينونج، أستاذ مشارك في التمويل، NSEAD المصدر: coindesk الترجمة: شان أوبا، Golden Finance

نظرة عامة على النقاط الرئيسية:

• تضمنت الثغرة الأمنية الأخيرة التي عانت منها Bybit (ثاني أكبر بورصة للعملات المشفرة في العالم) تنفيذ Web3 الذي تم بناؤه ذاتيًا لحل Gnosis Safe، مما أدى إلى ما يقرب من 350000 طلب سحب. • غالبًا ما تنبع نقاط الضعف الرئيسية في حوادث أمن العملات المشفرة من الخطأ البشري وليس العيوب الفنية في بروتوكول blockchain نفسه. تفشل العديد من المؤسسات في تأمين أنظمتها بشكل صحيح بسبب نقص المساءلة أو الاعتماد المفرط على الحلول المخصصة. • يجب أن يكون تصميم الأمان المستقبلي متمركزًا حول الأشخاص، باستخدام آليات مثل اكتشاف السلوك غير الطبيعي والمصادقة متعددة العوامل للحفاظ على الأمان حتى عندما يرتكب المستخدمون أخطاء. تعرضت شركة Bybit مؤخرًا لاختراق أمني كبير يتعلق بأموال تصل إلى 1.5 مليار دولار أمريكي، مما تسبب في ضجة في صناعة الأصول الرقمية. تعرضت البورصة، التي تدير 20 مليار دولار من أصول العملاء، لهجوم من قبل مهاجمين استغلوا ثغرة أمنية أثناء نقل روتيني من "محفظة باردة" غير متصلة بالإنترنت إلى "محفظة ساخنة" تستخدم للمعاملات اليومية. أظهرت التحقيقات الأولية أن الثغرة الأمنية تتعلق بحل Web3 الذي تم بناؤه ذاتيًا من قبل Gnosis Safe - تستخدم محفظة التوقيع المتعدد هذه تقنية التوسع خارج السلسلة ولديها بنية مركزية قابلة للترقية وواجهة توقيع المستخدم. استغل المهاجم البنية القابلة للترقية لحقن تعليمات برمجية خبيثة، مما أدى إلى تحويل عملية نقل تبدو طبيعية إلى عقد تم التلاعب به، مما أدى في النهاية إلى إثارة ما يقرب من 350 ألف طلب سحب، وسارع المستخدمون إلى تحويل الأموال لحماية أنفسهم. وعلى الرغم من أن حجم الأموال المتأثرة بهذه الحادثة ضخم، مقارنة بالقيمة السوقية الإجمالية لسوق العملات المشفرة العالمية (أقل من 0.01٪)، إلا أن تأثيرها لا يزال ضمن نطاق يمكن السيطرة عليه. وتعهدت شركة Bybit بسرعة بالتعويض الكامل عن الأموال غير المستردة من خلال أموال الاحتياطي أو قروض الشركاء، مما يدل على قدراتها التشغيلية الناضجة. ومع ذلك، منذ ولادة العملات المشفرة، كان الخطر الأمني ​​الأكبر يأتي دائمًا من الخطأ البشري وليس الثغرات الموجودة في بروتوكول blockchain نفسه. تشير الأبحاث إلى أنه على مدار العقد الماضي، كانت جميع حوادث أمن العملات المشفرة الرئيسية تقريبًا تُعزى إلى عوامل بشرية. في عام 2024 وحده، تمت سرقة ما يقرب من 2.2 مليار دولار في مثل هذه الحوادث. والأمر الأكثر أهمية هو أن الأسباب التي تؤدي إلى تكرار هذه الهجمات متشابهة بشكل مدهش: إذ تفشل العديد من المؤسسات في حماية أنظمتها بشكل فعال، وغالباً لأنها غير راغبة في تحمل مسؤوليات الأمن بشكل واضح، أو تعتمد بشكل أعمى على حلول أمنية مخصصة، معتقدة عن طريق الخطأ أن احتياجاتها "مختلفة تماماً" عن إطار الأمن الحالي. وتستمر هذه الممارسة المتمثلة في إعادة اختراع تدابير الأمن بدلاً من اعتماد حلول مثبتة في خلق نقاط ضعف جديدة.

على الرغم من أن تقنية blockchain والتشفير نفسها أثبتت أنها آمنة للغاية، إلا أن أكبر خطر أمني لا يزال يتمثل في البشر أنفسهم. من المستخدمين الأفراد في الأيام الأولى للعملات المشفرة إلى تطبيقات اليوم على مستوى المؤسسات، ظل هذا الاتجاه دون تغيير وهو مشابه إلى حد كبير لتحديات الأمن السيبراني في الصناعات التقليدية.

تتضمن الأخطاء البشرية الشائعة ما يلي:

• سوء إدارة المفتاح الخاص: يمكن أن يؤدي فقدان المفاتيح الخاصة أو إساءة استخدامها أو الكشف عنها إلى سرقة الأصول. • هجمات الهندسة الاجتماعية: يستخدم المتسللون التصيد الاحتيالي وانتحال الشخصية ووسائل أخرى لخداع الضحايا وإقناعهم بالكشف عن معلومات حساسة. إن هذا الحادث يحذر الصناعة مرة أخرى: إن أمن التشفير لا يمكن أن يعتمد على التكنولوجيا فقط، بل يجب بناء نظام أمني يركز على الإنسان للتعامل مع الأخطاء البشرية الحتمية.

حلول أمنية تركز على الإنسان

لا تستطيع الحلول التقنية البحتة حل المشاكل التي هي في الأساس مشاكل إنسانية. وفي حين استثمرت الصناعة مليارات الدولارات في التدابير الأمنية التقنية، إلا أنه لم يتم استثمار سوى القليل نسبيا في معالجة العوامل البشرية التي تتسبب في حدوث الخروقات بشكل متكرر.

إن أحد العوائق أمام تحقيق الأمن الفعال هو الإحجام عن الاعتراف بالملكية والمسؤولية عن الأنظمة المعرضة للخطر. عندما تفشل المؤسسات في تحديد ما تتحكم فيه بوضوح (أو تصر على أن بيئتها فريدة للغاية لتطبيق مبادئ الأمان الراسخة)، فإنها تخلق نقاطًا عمياء يمكن للمهاجمين استغلالها بسهولة.

يوضح هذا ما يسميه خبير الأمن بروس شناير قانون الأمن: فالأنظمة المصممة بشكل مستقل من قبل فرق تؤمن بتفردها تحتوي دائمًا تقريبًا على نقاط ضعف حرجة يمكن معالجتها من خلال ممارسات أمنية راسخة. لقد وقعت صناعة العملات المشفرة في هذا الفخ مرارًا وتكرارًا، وغالبًا ما كانت تعيد بناء أطر الأمان من الصفر بدلاً من تبني الأساليب المثبتة من التمويل التقليدي وأمن المعلومات.

من المهم للغاية التحول إلى نموذج تصميم أمني يركز على الإنسان. ومن عجيب المفارقات أنه في حين تطور التمويل التقليدي من عامل واحد (كلمة المرور) إلى مصادقة متعددة العوامل (MFA)، فإن العملات المشفرة المبكرة عملت على تبسيط الأمان إلى مصادقة عامل واحد عبر مفاتيح خاصة أو عبارات أولية، مما يوفر الأمان من خلال التشفير وحده. إن هذا التبسيط المفرط أمر خطير ويؤدي إلى دفع الصناعة إلى استغلال العديد من نقاط الضعف والثغرات بسرعة. وبعد خسائر بلغت مليارات الدولارات، اكتشفنا أن التمويل التقليدي قد اعتمد أساليب أمنية أكثر تطوراً.

ينبغي للحلول الحديثة وتقنيات الإشراف أن تعترف بأن الخطأ البشري أمر لا مفر منه وأن تصمم أنظمة تظل آمنة حتى عندما تحدث هذه الأخطاء، بدلاً من افتراض أن البشر يلتزمون بالكامل ببروتوكولات السلامة. ومن المهم أن نلاحظ أن هذه التكنولوجيا لا تغير الحوافز الأساسية. إن تطبيق هذه السياسة ينطوي على تكاليف مباشرة، في حين أن تجنبها ينطوي على مخاطر الإضرار بالسمعة. يجب أن تتطور آليات الأمان ليس فقط لحماية الأنظمة التقنية، بل أيضًا لتوقع الأخطاء البشرية والحماية من الأخطاء الشائعة. إن بيانات الاعتماد الثابتة، مثل كلمات المرور ورموز المصادقة، غير كافية للحماية من المهاجمين الذين يستغلون السلوك البشري المتوقع. ينبغي لأنظمة الأمن أن تدمج خاصية الكشف عن الشذوذ السلوكي للإشارة إلى الأنشطة المشبوهة. إن تخزين المفاتيح الخاصة في مكان واحد يسهل الوصول إليه يشكل خطرًا أمنيًا كبيرًا. يؤدي تخزين المفاتيح بين البيئات غير المتصلة بالإنترنت والمتصلة بالإنترنت إلى التخفيف من خطر تعرض المفتاح للخطر بشكل كامل. على سبيل المثال، يمكن أن يؤدي تخزين جزء من مفتاح على وحدة أمان الأجهزة مع إبقاء الجزء الآخر غير متصل بالإنترنت إلى تعزيز الأمان من خلال طلب عمليات تحقق متعددة للحصول على حق الوصول الكامل - وإعادة تقديم مبدأ المصادقة متعددة العوامل إلى أمان العملات المشفرة. خطوات عملية من أجل نهج أمني يركز على الإنسان يجب أن يتناول إطار العمل الأمني ​​الشامل الذي يركز على الإنسان نقاط الضعف على مستويات متعددة من العملات المشفرة ويتبنى نهجًا منسقًا عبر النظام البيئي بأكمله بدلاً من الحلول المعزولة. بالنسبة للمستخدمين الفرديين، تظل حلول المحفظة المادية هي المعيار الأفضل. ومع ذلك، يفضل العديد من المستخدمين الراحة على مسؤولية الأمن، لذا فإن الخيار الأفضل التالي هو أن تنفذ البورصات ممارسات التمويل التقليدية: فترات انتظار افتراضية (ولكن قابلة للتعديل) للتحويلات الكبيرة، ونظام حساب متعدد المستويات بمستويات تفويض مختلفة، وتثقيف أمني سياقي يتم تنشيطه في نقاط القرار الرئيسية.

يتعين على البورصات والمؤسسات أن تنتقل من افتراض الامتثال الكامل للمستخدمين إلى تصميم أنظمة تتوقع الأخطاء البشرية. ويبدأ هذا بالاعتراف الواضح بالمكونات والعمليات التي يتحكمون فيها وبالتالي يكونون مسؤولين عن ضمان الأمان. إن إنكار أو طمس خطوط المسؤولية يؤدي بشكل مباشر إلى تقويض جهود السلامة. بمجرد إرساء المساءلة، ينبغي للمنظمات تنفيذ التحليلات السلوكية للكشف عن الأنماط الشاذة، والمطالبة بموافقة متعددة الأطراف للتحويلات ذات القيمة العالية، ونشر "قواطع الدائرة" الآلية للحد من الأضرار المحتملة في حالة حدوث اختراق. بالإضافة إلى ذلك، فإن تعقيد أدوات Web3 يجلب أيضًا سطح هجوم ضخم. إن تبسيط وتبني نموذج أمني راسخ يمكن أن يقلل من نقاط الضعف دون التضحية بالوظائف. على مستوى الصناعة، يمكن للهيئات التنظيمية والقادة وضع متطلبات موحدة للعوامل البشرية في شهادات السلامة، ولكن هناك مقايضة بين الابتكار والسلامة. يُظهر حادث Bybit كيف تطور نظام العملات المشفرة من أيامه الأولى الهشة إلى بنية تحتية مالية أكثر مرونة. وفي حين تستمر الخروقات الأمنية - ومن المرجح أن تستمر دائمًا - فقد تحولت طبيعتها من تهديدات وجودية يمكن أن تدمر الثقة في مفهوم العملات المشفرة إلى تحديات تشغيلية تتطلب حلولاً هندسية مستمرة. إن مستقبل أمان كلمة المرور لا يكمن في متابعة الهدف المستحيل المتمثل في القضاء على جميع الأخطاء البشرية، بل في تصميم أنظمة تظل آمنة على الرغم من الخطأ البشري الحتمي. ويتطلب هذا أولاً تحديد جوانب النظام التي تقع على عاتق المنظمة، بدلاً من الحفاظ على الغموض الذي يؤدي إلى ثغرات أمنية. من خلال الاعتراف بالقيود البشرية وبناء الأنظمة التي تستوعبها، يمكن لنظام العملات المشفرة أن يستمر في التطور من الفضول المضاربي إلى البنية التحتية المالية القوية، بدلاً من افتراض الامتثال التام لبروتوكولات الأمان. في هذه السوق الناضجة، لا يكمن مفتاح الأمان التشفيري الفعال في الحلول التقنية الأكثر تعقيدًا، بل في التصميم الأكثر تفكيرًا وتركيزًا على الإنسان. ومن خلال إعطاء الأولوية للهندسة المعمارية الأمنية التي تأخذ في الاعتبار الحقائق السلوكية والقيود البشرية، يمكننا بناء نظام مالي رقمي أكثر مرونة يستمر في العمل بشكل آمن عندما تحدث أخطاء بشرية (وليس إذا حدثت).