تنفق شركات العملات المشفرة بشكل كبير على عمليات التدقيق الأمني، لكن المتسللين ما زالوا يسرقون مليارات الدولارات. وفقًا لتقرير جديد صادر عن شركة Oak Security، فإن العديد من الهجمات الكبرى لم تعد تستهدف العيوب في كود العقد الذكي. وبدلاً من ذلك، يستغل المهاجمون بيانات الاعتماد المسروقة، وضعف الضوابط الداخلية، والأخطاء التشغيلية.
منذ عام 2022، سرق مجرمو الإنترنت، بما في ذلك مجموعة Lazarus Group في كوريا الشمالية، أكثر من 2.2 مليار دولار من منصات العملات المشفرة. خلال الفترة نفسها، زادت الصناعة بشكل حاد عدد عمليات تدقيق الكود. ومع ذلك، فقد نشأت العديد من الخروقات الأمنية الكبرى من مجالات لم يتم تصميم عمليات التدقيق التقليدية لتقييمها، بما في ذلك إدارة المفاتيح الخاصة، وآليات الحوكمة، وضوابط الأمن الداخلي.
ويشير التقرير إلى فجوة متنامية بين ما يمكن أن تحميه عمليات التدقيق وكيفية عمل المهاجمين الآن. ونتيجة لذلك، يقول خبراء الأمن إن شركات العملات المشفرة بحاجة إلى النظر إلى ما هو أبعد من التعليمات البرمجية وتعزيز الأنظمة والعمليات التي تحمي أموال العملاء.
يتحول المهاجمون إلى ما هو أبعد من العقود الذكية
أصبحت عمليات تدقيق التعليمات البرمجية أكثر تعقيدًا بكثير، مما يساعد المطورين على اكتشاف نقاط الضعف قبل بدء المشروعات وتقليل عدد العيوب الموجودة في العقود الذكية. ولكن مع تحسن التكنولوجيا، غيّر المتسللون نهجهم.
يحاول المهاجمون استغلال البشر والأنظمة داخل المؤسسة بدلاً من استغلال الأخطاء البرمجية. تشمل هذه الأنواع من الهجمات هجمات التصيد الاحتيالي وسرقة المفاتيح الخاصة واستغلال تحديثات النظام والتهديدات الداخلية. العديد من السرقات واسعة النطاق في الآونة الأخيرة كانت بسبب مثل هذه الهجمات، وليس بسبب عيوب في تشفير التطبيقات.
وقال الباحثون إن عمليات التدقيق لا تزال تعمل على النحو المنشود، وتحدد المشكلات الأمنية قبل النشر. المشكلة هي أن عمليات التدقيق يمكنها فقط تقييم الكود. ولا يمكنهم منع الموظف من تسليم بيانات الاعتماد، أو الموافقة على معاملة احتيالية، أو الوقوع ضحية لهجوم تصيد احتيالي. ونتيجة لذلك، لم تعد التعليمات البرمجية القوية كافية لحماية منصة العملات المشفرة بمفردها.
ذات صلة: Binance معرضة لخطر فقدان الوصول إلى الاتحاد الأوروبي حيث ترفض اليونان ترخيص MiCA
الثقة الزائفة تخلق مخاطر جديدة
غالبًا ما تشير مشاريع العملات المشفرة إلى عمليات التدقيق الأمني كدليل على أن منصاتها آمنة، وتسلط الضوء على المراجعات والتقارير المكتملة من شركات التدقيق. بالنسبة للعديد من المستخدمين، يمكن لعمليات التدقيق هذه أن تخلق انطباعًا بأن المشروع محمي من حالات الفشل الأمني الكبرى.
ويقول الباحثون إن هذا الافتراض يمكن أن يكون مضللاً. يقوم التدقيق بتقييم رمز المشروع فقط في وقت محدد. يمكن أن تظهر مخاطر جديدة عندما تقوم المنصات بتحديث البنية التحتية الخاصة بها، أو تغيير هياكل الإدارة، أو توسيع العمليات.
ويؤكد اختراق KelpDAO الأخير هذا التحدي. على الرغم من أن الهجوم لم يكن مرتبطًا بخلل في كود العقد الذكي المدقق، إلا أن المستخدمين ما زالوا يرون منصة عملات مشفرة أخرى تخسر الأموال. يقول خبراء الأمن إن معظم المستثمرين لا يميزون بين فشل التشفير والفشل التشغيلي عند خسارة الأموال.
ووفقا للتقرير، فإن الحد من هذه المخاطر سيتطلب أكثر من مجرد مراجعة التعليمات البرمجية. وقال الباحثون إن المشاريع يجب أن تعزز أمن المفاتيح الخاصة، وتحسن أنظمة المراقبة، وتوسع التدريب الأمني للموظفين، وتضيف ضمانات يمكنها اكتشاف الأنشطة المشبوهة قبل تصاعد الخسائر.
ذات صلة: يقول SBF إنه يمكنه إطلاق عملة جديدة بعد السجن حيث تصل الاستثمارات المفقودة إلى المليارات