شهد قطاع العملات الرقمية مشاكل أمنية لسنوات. تمكن المخترقون، وخاصة مجموعة “لازاروس” الكورية الشمالية، من سرقة أكثر من 2.2 مليار دولار منذ عام 2022. وهذا دفع الشركات إلى زيادة عدد عمليات تدقيق الأكواد البرمجية ثلاثة أضعاف خلال نفس الفترة.
لكن زيادة التدقيق لم تؤدِ إلى تقليل الخسائر. فلا عدد الحوادث ولا حجم الأموال المسروقة انخفض بشكل ملحوظ. أبحاثنا في شركة “أوك سيكيوريتي” توضح السبب: معظم الهجمات الناجحة تستهدف العنصر البشري. في الواقع، عندما ننظر إلى الأسباب الرئيسية للاختراقات، نجد أن معظمها يتجاوز تمامًا أسطح الهجوم التي تحميها عمليات التدقيق.
بمعنى آخر، هناك فجوة حقيقية بين الثغرات التي تفحصها عمليات التدقيق التقليدية، والثغرات التي يستغلها المهاجمون. من المرجح أن يستمر قطاع العملات الرقمية في تكبد خسائر فادحة حتى يزيل هذه الفجوة من خلال توسيع نطاق الإجراءات الأمنية لتشمل العوامل البشرية والتشغيلية، ومعالجة النقاط التالية لتحديث بنية التدقيق الحالية.
سوق التدقيق نضج لكنه لا يُحدث فرقًا
لا شك أن تدقيق الأكواد أصبح أكثر تطورًا خلال السنوات الماضية. تستخدم شركات الأمن الآن أدوات وطرقًا متقدمة لاكتشاف الثغرات في العقود الذكية قبل إطلاقها. تحسنت جودة الأكواد في القطاع بشكل حقيقي. عمليات التدقيق تحقق ما صُممت من أجله بالضبط – وهو اكتشاف الأخطاء في الكود البرمجي. وهي تعمل. فعدد الهجمات التي تستغل الأكواد المعيبة لسرقة أموال المنصات أصبح أقل من ذي قبل.
لكن المشكلة تكمن في أننا نرى فجوة متزايدة بين ما تفحصه عمليات التدقيق وما يستغله المهاجمون بالفعل. اليوم، أكبر خسائر القطاع لا تأتي من ثغرات العقود الذكية التقليدية. بل تأتي من تسريب المفاتيح الخاصة، التلاعب في أنظمة الحوكمة، اختراق من الداخل، تحديثات ضارة للبرامج المساعدة، والإخفاقات التشغيلية. مهما كانت عمليات التدقيق بارعة في تحديد ثغرات الأكواد، فإنها لا تستطيع منع مطور من الوقوع ضحية لرسالة احتيال. فحتى أفضل كود في العالم يمكن أن يعمل على بنية تشغيلية ضعيفة.
في الواقع، تظهر أبحاثنا أنه عند قياس الضرر المالي، فإن هذه الاختراقات التشغيلية غالبًا ما تكون أكثر تدميرًا من ثغرات الأكواد نفسها. استثمر القطاع موارد هائلة لتقليل مخاطر العقود الذكية، لكن أكثر المتجهات الهجومية تكلفة تبقى غير محمية نسبيًا. الأمر يشبه أن القطاع لا يزال يركز على الدفاع ضد الجيل السابق من الهجمات، بينما انتقل المخترقون إلى استراتيجيات مختلفة.
التدقيق وحده يخلق وهمًا خطيرًا بالأمان
غالبًا ما تعلن المنصات عن عدد عمليات التدقيق التي أجرتها، أو سمعة الشركات التي تعاقدت معها، أو حجم الثغرات التي تم اكتشافها أثناء المراجعة. أصبحت هذه مؤشرات مختصرة لمدى أمان المشروع. لكن الحقيقة أنها تخلق وهمًا زائفًا بالأمان. عندما يرى المستخدمون أن مشروعًا ما قد خضع لعدة تدقيقات، يفترضون أنه آمن تمامًا. لكن إذا كانت هذه التدقيقات لا تغطي نواقل الهجوم الفعلية، فهي لا توفر سوى شعور زائف بالأمان.
يحتاج القطاع إلى التوقف عن الاعتماد فقط على تدقيق الأكواد. نحن بحاجة إلى منهج أوسع يشمل تدريب الفرق على الأمن السيبراني، تحسين إدارة المفاتيح الخاصة، ومراجعة العمليات التشغيلية بانتظام. إلى أن يحدث ذلك، ستستمر الخسائر الكبيرة.
الأسئلة الشائعة
- س: لماذا تزداد عمليات تدقيق الأكواد لكن الخسائر لا تقل؟
ج: لأن معظم الاختراقات لا تستهدف ثغرات الأكواد التي تفحصها التدقيقات، بل تستخدم أساليب أخرى مثل اختراق المفاتيح الخاصة أو التلاعب البشري. التدقيق يحسن جودة الكود لكنه لا يحمي من الهجمات التشغيلية أو البشرية. - س: ما هي أخطر نواقل الهجوم في قطاع العملات الرقمية حاليًا؟
ج: وفقًا للأبحاث، أكثرها تكلفة هي: تسريب المفاتيح الخاصة، التلاعب بأنظمة الحوكمة، الاختراق من الداخل، التحديثات الضارة للبرامج، والإخفاقات التشغيلية. هذه تتجاوز ما تفحصه التدقيقات التقليدية. - س: كيف يمكن تحسين الأمن في القطاع إلى جانب تدقيق الأكواد؟
ج: يجب توسيع نطاق الأمن ليشمل تدريب الفرق على اكتشاف الاحتيال، تحسين حماية المفاتيح الخاصة، مراجعة العمليات التشغيلية بانتظام، وعدم الاعتماد فقط على عدد التدقيقات كمؤشر للأمان.
