العملات المشفّرة غير محصّنة تمامًا.. هكذا يمكن اختراقها
خلال السنوات الأخيرة، شهد سوق العملات المشفّرة قفزة كبيرة في عدد المستثمرين من حكومات وشركات وأفراد.
وعلى خلاف العملات الورقية التي تستخدم البنوك في التحقق من المعاملات، تعتمد العملات المشفّرة على تكنولوجيا البلوكتشين (سلسلة الكتل) التي تستخدم نظام نقل البيانات من طرف إلى طرف (Peer to peer)، خلال نقل الأموال مباشرة من المرسل إلى المتلقّي.
فعلى الرغم من كونها مشفّرة، ولا يوجد مكان مركزي مُخصّص لتخزين البيانات، إلا أن العملات الرقمية ليست محصّنة تمامًا ضد الاختراق، لأن الأموال تُخزَّن في محافظ رقمية تعَد هدفًا أسهل بكثير من تكنولوجيا البلوكتشين.
ويتزايد الاهتمام بالعملات المشفّرة باستمرار بسبب إمكانية مضاعفة الاستثمارات بسرعة، لكن فرصة كسب المال السهل تأتي دائمًا مع المخاطر والتحديات التي يحتاج المرء إلى إدراكها.
وعدّد موقع "آبنوكس" المتخصّص في تطبيقات الأمن السيبراني، خمس طرق يمكن من خلالها اختراق العملة المشفّرة:
- التصيّد الاحتيالي (Phishing)
- المساومة على التحقُّق من الرسائل القصيرة
- البرامج الضارّة
- تطبيقات الهاتف المحمول
- سرقة المفاتيح السرية
العملات المشفرة والتصيّد الاحتيالي (Phishing):
تتمثّل الطريقة الأكثر انتشارًا وفعالية لسرقة العملة المشفّرة في أن تجعل الناس يُفصحون عن بيانات الدخول الخاصة بهم بأنفسهم، من خلال تزييف مواقع إلكترونية شرعية، وجعلها تبدو لأشخاص حقيقيين أصليين يريدون تبادل العملات المشفَّرة فقط.
وفي بعض الأحيان، ومن أجل زيادة هذا التأثير، تستقبل الأهداف المحتملة رسائل "تأكيد التصيّد الاحتيالي" أو رسائل "اختراق مُحتملة" عبر البريد الإلكتروني، وتحتوي هذه الرسائل على روابط لمواقع إلكترونية مزيفة تحتاج إلى أن تُدخِل فيها تفاصيل المصادقة التي ستُسرق منك.
ونصح الموقع بالتحقّق من تهجئة عنوان الرابط (مثل http://binnance.net/، بدلًا من https://binance.com)، وشهادة SSL (أي القفل الصغير في شريط العنوان) قبل إدخال أي تفاصيل حسّاسة.
المساومة على التحقُّق من الرسائل القصيرة
عادةً ما يستهدف هذا النوع من الهجوم الأشخاص الذين يشاركون في عمليات تُستخدَم فيها العملة المشفَّرة.
وفي كثير من الأحيان، تُفعَّل المصادقة الثنائية (أي خطوتي الأمان في الحماية الشخصية) عبر الهواتف المحمولة، ويتمثَّل الهدف الرئيسي من هذه العملية في اعتراض رسائل التحقّق التي تُرسل عبر خاصية الرسائل النصية القصيرة.
ويمكن سرقة هذه العملات من خلال طرق مختلفة مثل التنصّت على المكالمات الهاتفية، أو استنساخ شريحة هاتف مماثلة (SIM)، أو التصيّد الصوتي، إما لتأكيد معاملات ضارّة أو من أجل "استعادة" الوصول إلى محفظة التشفير.
البرامج الضارّة
لا تزال البرامج الضارة القديمة، إحدى أهم طرق القرصنة عندما يتعلّق الأمر باختراق التشفير.
ويُستهدف الجهاز عبر برامج ترصد لوحة المفاتيح، وتسرق كلمات المرور وأرقام التعريف الشخصية التي تُدخِلَها؛ ومن خلال برامج تُعرف باسم "حقن النصوص البرمحية" في صفحات الويب، بحيث أنه عندما يتصفّح مستخدم شرعي هذه البرامج، يُعاد توجيهه إلى مواقع إلكترونية ضارّة لا يمكن ملاحظتها في المتصفّح أحيانًا، من أجل سرقة التفاصيل الحسّاسة، أو تحميل البرامج الضارّة، وبرامج الفدية (Ransomware) على أجهزة المستخدمين.
تطبيقات الهاتف المحمول
لا تعتبر كل تطبيقات الهاتف المحمول المخصّصة للتداول بالعملات المشفّرة، آمنة بسبب ضُعف هيكلها وفجواتها الأمنية؛ وبالتالي، فهي عُرضة لمعظم الهجمات الإلكترونية، مثل هجوم الوسيط أو تسرّب البيانات، مثل مفاتيح واجهة برمجة التطبيقات (API)، حيث تُخزَّن معلومات العميل الحسّاسة في قواعد بيانات غير مشفَّرة.
وقد تكون هناك أهداف مختلفة لاختراق تطبيقات الأجهزة المحمولة، بدءًا من هجمات القوة الغاشمة، التي تُعرف أيضًا بهجوم القوة العمياء (brute force attack)، وصولًا إلى تخمين أرقام التعريف الشخصية، أو تنفيذ إجراءات غير مُصرّح بها نيابةً عن المستخدم بهدف التلاعب بوضع السوق، أي المراكز المسؤولة عن قرار التسوق عبر العملة المشفرة، من خلال إنشاء طلب أو إسقاط مراكز بعض العملات المشفَّرة.
سرقة المفاتيح السرية
أوضح الموقع أنه لاجراء أية عمليات مالية باستخدام العملة المشفَّرة، يحتاج المستخدم إلى مفتاحين: عام وخاص. ولا يتوفّر المفتاح الخاصّ إلا لحامله، ويُستخدَم باعتباره توقيعًا رقميًا لتفويض المستخدم بإجراء جميع المعاملات، فيما يُستخدم المفتاح العام لتأكيد نظيره الخاص.
ويُخزَّن المفتاح الخاص في محفظة التشفير، وإذا فقد المستخدم المفتاح الخاص فلن يتمكَّن من استخدام أصوله. وإذا حصل شخص ما على المفتاح الخاص، فيمكنه تحويل جميع الأموال إلى محافظه بسهولة. وبما أنه يكاد يكون من المستحيل تتبّع معاملات التشفير، فستضيع الأموال إلى الأبد.
ولهذا، يستخدم القراصنة جميع الطرق الممكنة لسرقة هذه المفاتيح بدءًا من إضافات المتصفّح، والتطبيقات التي تحتوي على المدقِّق الإملائي والثغرات الشائعة في النظام. ويتمثَّل المجال المثمر لهؤلاء القراصنة في المحافِظ المتَّصلة بالإنترنت (Hot wallets)، والتي عادةً ما تنشط على نظام مركزي.
ومن ناحية أخرى، هناك محافِظ غير متّصلة بالإنترنت (Cold wallets)، وعادةً ما يتم الاحتفاظ بها باعتبارها أجهزة منفصلة. وتُعتبر هذه المحافِظ خيارًا أكثر أمانًا، ولكن إذا فقدتها، فلن تتمكَّن أيضًا من التصرّف في جميع أصولك الرقمية.