المليارات تُفقد مع تحول قراصنة العملات الرقمية إلى اختراقات تتجاوز ثغرات البرمجيات
تستثمر شركات العملات الرقمية مبالغ ضخمة في عمليات تدقيق الأمن، لكن المخترقين ما زالوا يسرقون مليارات الدولارات. وفقًا لتقرير جديد من شركة “أوك سكيوريتي”، فإن العديد من الهجمات الكبرى لم تعد تستهدف ثغرات في أكواد العقود الذكية. بدلاً من ذلك، يستغل المهاجمون بيانات الدخول المسروقة، وضعف الرقابة الداخلية، والأخطاء التشغيلية.
منذ عام 2022، سرق مجرمو الإنترنت، بما فيهم مجموعة “لازاروس” الكورية الشمالية، أكثر من 2.2 مليار دولار من منصات العملات الرقمية. خلال نفس الفترة، زادت الصناعة بشكل حاد من عدد عمليات تدقيق الأكواد. ومع ذلك، فإن العديد من الاختراقات الأمنية الكبرى نشأت من مجالات لا تستطيع عمليات التدقيق التقليدية تقييمها، بما في ذلك إدارة المفاتيح الخاصة، وآليات الحوكمة، وضوابط الأمان الداخلية.
يشير التقرير إلى فجوة متزايدة بين ما يمكن أن تحميه عمليات التدقيق وكيف يعمل المهاجمون الآن. ونتيجة لذلك، يقول خبراء الأمن إن شركات العملات الرقمية بحاجة إلى النظر إلى ما هو أبعد من الأكواد وتعزيز الأنظمة والعمليات التي تحمي أموال العملاء.
المهاجمون يتحولون إلى ما هو أبعد من العقود الذكية
أصبحت عمليات تدقيق الأكواد أكثر تطورًا، مما يساعد المطورين على اكتشاف الثغرات قبل إطلاق المشاريع وتقليل عدد الأخطاء الموجودة في العقود الذكية. ولكن مع تحسن التكنولوجيا، غيّر المخترقون أسلوبهم.
- يحاول المهاجمون استغلال البشر والأنظمة داخل المؤسسة بدلاً من استغلال الأخطاء البرمجية.
- تشمل أنواع هذه الهجمات: هجمات التصيد الاحتيالي، وسرقة المفاتيح الخاصة، واستغلال تحديثات النظام، والتهديدات الداخلية.
- العديد من عمليات السرقة الكبرى في الآونة الأخيرة كانت بسبب هذه الهجمات، وليس بسبب عيوب في أكواد التطبيقات.
قال الباحثون إن عمليات التدقيق لا تزال تعمل كما هو مقصود، حيث تحدد المشكلات الأمنية قبل النشر. المشكلة هي أن عمليات التدقيق يمكنها فقط تقييم الأكواد. لا يمكنها منع الموظف من تسليم بيانات الدخول، أو الموافقة على معاملة احتيالية، أو الوقوع ضحية لهجوم تصيد. ونتيجة لذلك، لم يعد الكود القوي وحده كافيًا لحماية منصة العملات الرقمية.
الثقة الخاطئة تخلق مخاطر جديدة
غالبًا ما تشير مشاريع العملات الرقمية إلى عمليات التدقيق الأمني كدليل على أن منصاتها آمنة، مسلطة الضوء على المراجعات والتقارير المكتملة من شركات التدقيق. بالنسبة للعديد من المستخدمين، يمكن أن تخلق عمليات التد這些 تلك انطباعًا بأن المشروع محمي من الإخفاقات الأمنية الكبرى.
يقول الباحثون إن هذا الافتراض يمكن أن يكون مضللاً. التدقيق يقيم فقط كود المشروع في وقت محدد. يمكن أن تظهر مخاطر جديدة مع قيام المنصات بتحديث بنيتها التحتية، أو تغيير هياكل الحوكمة، أو توسيع العمليات.
يؤكد اختراق “كيلب دي إيه أو” الأخير على هذا التحدي. بينما لم يكن الهجوم مرتبطًا بثغرة في كود العقد الذكي المُدقق، إلا أن المستخدمين ما زالوا يرون منصة عملات رقمية أخرى تفقد أموالها. يقول خبراء الأمن إن معظم المستثمرين لا يميزون بين فشل برمجي وفشل تشغيلي عندما تُفقد الأموال.
وفقًا للتقرير، فإن تقليل هذه المخاطر سيتطلب أكثر من مجرد مراجعة الأكواد. قال الباحثون إن المشاريع يجب أن تعزز أمن المفاتيح الخاصة، وتحسن أنظمة المراقبة، وتوسع تدريب الموظفين على الأمن، وتضيف ضمانات يمكنها اكتشاف النشاط المشبوه قبل أن تتصاعد الخسائر.
الأسئلة الشائعة
س: لماذا يستمر المخترقون في سرقة المليارات رغم زيادة تدقيق الأكواد؟
ج: لأن المهاجمين تحولوا من استغلال ثغرات الأكواد إلى استهداف البشر والأنظمة الداخلية، مثل سرقة المفاتيح الخاصة وهجمات التصيد الاحتيالي، وهو ما لا تستطيع عمليات تدقيق الأكواد التقليدية منعه.
س: ما الفرق بين فشل الكود والفشل التشغيلي في أمن العملات الرقمية؟
ج: فشل الكود يعني وجود ثغرات في برمجة التطبيق نفسه. أما الفشل التشغيلي فيعني أخطاء بشرية أو إجرائية، مثل تسريب بيانات الدخول أو الموافقة على معاملات خاطئة، وكلا النوعين يؤدي إلى فقدان الأموال.
س: كيف يمكن لشركات العملات الرقمية حماية نفسها بشكل أفضل؟
ج: يجب عليها تعزيز أمن المفاتيح الخاصة، وتحسين أنظمة المراقبة والكشف عن الأنشطة المشبوهة، وتدريب الموظفين باستمرار على الأمن، وإضافة طبقات حماية إضافية تتجاوز مجرد تدقيق الأكواد.
