لقد وُجدت العملات المعماة منذ أكثر من عقد الآن. خلال هذه الفترة، لاحظنا أكثر من مائة اختراق رئيسي لبورصات العملات المعماة وغيرها من الخدمات المرتبطة بالعملات المعماة.
في كثير من الأحيان، تظل تفاصيل الاختراق غير واضحة. فمن السهل معرفة منفذ الاختراق، ووقت تنفيذه، والمبلغ المسروق، لكن تظل “الكيفية” بعيدة المنال. حيث يهتم الصحفيون أكثر بالمبالغ المسروقة، كما لا تسارع المنظمات الضحية بالكشف عن تفاصيل العار الذي لحقها.
دعنا نملأ الفراغات ونتحدث قليلاً عن طريقة عمل هذه الاختراقات -ليس للوعظ بل لمنع تكرارها.
الخداع والبرامج الضارة: اختراق بورصة العملات المعماة القياسي
تخزن بورصات العملات المعماة تلك العملات المشفرة والأموال العادية للمستخدمين في حسابات مصرفية تقليدية. بالنسبة لمجرمي الإنترنت، ينطوي التورط في أموال عادية على مخاطر؛ فللهروب بالمبلغ المسروق، سيكون عليهم تحويله إلى نقد سريعًا قبل أن تتاح للبنك فرصة تجميد الحسابات. لذلك؛ يختار المخترقون عادة العملة المعماة.
من الخارج، الحقائق الأولى وربما الوحيدة المعروفة عن اختراق بورصة عملات معماة معتاد هي (1) أن ذلك حدث، و(2) أخذ أموال العملاء. ولكن ماذا حدث بالفعل؟ على الأرجح، ما يلي: أولاً، حصل المهاجمون على قائمة بالموظفين، ودرسوا اهتماماتهم (بما في ذلك على شبكات التواصل الاجتماعي)، وأرسلوا رسائل بريد إلكتروني مخادعة مستهدفة تحتوي على حمولات إلى من اعتبروهم من المحتمل أن يكونوا الأكثر سذاجة. وبهذه الطريقة، توغل المجرمون عبر الإنترنت إلى داخل شبكة البورصة.
ثم عرفوا طريقهم إلى الشركة: كم مرة يتواصل المحاسب مع المدير، وما الذي يرسلانه لبعضهما، وبنية الشبكة الداخلية، أين يتم تخزين محافظ العملات المعماة، وكيفية حمايتها. يمكن أن تستغرق هذه المرحلة وقتًا كبيرًا، لكنها في النهاية تقود المجرمين عبر الإنترنت إلى جهاز موظف لديه إمكانية الوصول إلى الأنظمة بالغة الأهمية.
وإذا تم إعداد النظام التلقائي للبورصة لإرسال عملة معماة، فيعني امتلاك حقوق المشغل إمكانية إرسال المهاجمين عملة معماة لأنفسهم. ويُعتقد أن هجومًا وقع مؤخرًا على بورصة Binance قد كُشف وفقًا لسيناريو مشابه.
الحادثة: اختراق بورصة Binance
التاريخ: 7 مايو 2019
المبلغ المسروق: 40,000,000 دولار (7,000 بيتكوين)
الهجمات المستهدفة: كيف تحافظ على حمايتك
إذا كان عملك في بورصة عملات معماة، فمهمتك التأكد من أن تكلفة الهجوم تتجاوز المكسب المحتمل مضروبًا في احتمال النجاح. لذلك تحتاج إلى:
• تدريب الموظفين على محو الأمية الإلكترونية )مثل عدم فتح سيرة ذاتية بتنسيق (DOC؛
• استخدام Kaspersky Endpoint Security For Business حل أمان للحماية من الهجمات المستهدفة – ويُفضل أن يكون حلاً لا يحمي من التهديدات على كل عقدة وحسب، بل ويبحث أيضًا عن أي عدم انتظام عبر المؤسسة؛
• طلب اختبار اختراق (يحاول أثناء خبراء أمان الاختراق والتنقل حول النظام لديك، ثم يخبرونك بنقاط الضعف فيه).
ازدواج الإنفاق: سرقة ATM للبيتكوين باستخدام هاتف
ظهر طريق آخر لسرقة عملات البيتكوين في شكل أجهزة ATM. يستخدم الناس عادة أجهزة ATM فقط لسحب المال من حساباتهم البنكية الحالية (أو إيداعه بها)، لكن جهاز ATM للبيتكوين يضيف المزيد وهو: القدرة على شراء عملة معماة وبيعها.
لإجراء عملية احتيال بيتكوين عبر جهاز ATM، يمكن للناس استخدام الأجهزة لبيع عملات البيتكوين، وتلقي دفعات نقدية، ثم إلغاء المعاملات. يبدو أن هذا يعمل بسهولة للغاية، ولكن على سبيل المثال، في غضون فترة زمنية قصيرة، من 45 جهاز ATM يدعم العملات المعماة تظهر في كندا، تمكن اللصوص من الحصول على 200,000 دولار منها.
كيف يمكن حدوث ذلك؟ كما تعلمون، المعلومات الموجودة في سلسلة الكتل يتم تخزينها في كتل، ومن هنا جاء الاسم. لا تُكتب معاملة مثل “إرسال بيتكوين واحدة إلى شادي” على الفور إلى الكتلة؛ وإنما توضع أولاً في قائمة انتظار، ويتم إنشاء كتلة جديدة مرة واحدة تقريبًا كل 10 دقائق. ثم يُزيل منشئ الكتلة أي معاملة لم يتم تأكيدها من قائمة الانتظار. جدير بالذكر أنه لا توجد مساحة كافية في الكتلة لجميع المعاملات؛ لذلك يتم إعطاء الأولوية لمن لديه رسوم أعلى (ويحتفظ بها منشئ الكتلة).
من الصعب تصديق ذلك، لكن مطوري المنطق وراء أجهزة ATM لم يعلموها الانتظار حتى تتم كتابة المعاملات إلى سلسلة الكتل قبل صرف النقود. راحة المستخدم ضحت بالأمان.
تفصيلة دقيقة أخرى: في البداية، لم تكن بيتكوين تسمح بإلغاء المعاملات المدرجة في قائمة الانتظار؛ ما أدى في كثير من الأحيان إلى أن تعلق المعاملات ذات الرسوم الصغيرة المرفقة في النظام لعدة أيام قبل إزالتها. لحل هذه المشكلة، أضافت بيتكوين آلية استبدال برسوم، تتيح انتظار المعاملة في صف لاستبدالها بأخرى — عادة لرفع العمولة وإتاحة تمرير التحويل. إلا أن هذه الآلية أيضًا تتيح تغيير المستلم، وإرسال عملات بيتكوين مرة أخرى إلى المرسل.
وأن نطلق على هذه الآلية ثغرة أمنية فهو تلطف في التعبير. لقد كان محض تهور. وإليكم ما ترتب عليه:
الحادثة: اختراق ATM للبيتكوين
التاريخ: سبتمبر 2018
المبلغ المسروق: 200,000 دولار
اختراق ازدواج الإنفاق: كيف تحافظ على حمايتك
بعد أن سُرقت الأموال، غيرت الشركة خلف أجهزة ATM أجهزتها لتضمين وقت انتظار. فالآن، يحتاج المستخدمون إلى العودة إلى جهاز ATM لقبض النقد بعد تسليم عملات البيتكوين. وهذا اتجاه أصعب على المستخدم قليلاً، لكنه الطريقة الوحيدة للقيام بذلك بشكل صحيح مع وضع آليات سلسلة الكتل في الاعتبار.
بعد فوات الأوان، اتضح أنه لمنع مثل هذه الخسارة الحمقاء للمال، كان على المطورين أن يطلبوا مراجعة أمان التطبيق. ويتضمن ذلك فحص خبراء خارجيين بنية خدمتك، وعرض الكود، والبحث عن نقاط الضعف.
هجمة 51%: إجادة سلاسل الكتل
ربما سمعت بديهية عدم إمكانية التغيير: “لا يمكن تغيير البيانات الموجودة في سلسلة الكتل.” لكن هذه ليست الحقيقة الكاملة في بعض الحالات. لفهم طريقة عمل سلسلة الكتل والتعدين بمزيد من التفاصيل، راجع “ما تقنية سلسلة الكُتل وكيف تعمل” و”الشارح: تعدين بيتكوين.”
يضمن مبدآن أن سلسلة الكتل هي نفسها لجميع المستخدمين. الأول، على جميع المشاركين الاتفاق على من سيكون منشئ الكتلة التالية. يعتمد احتمال كونك صاحب الحظ على الموارد المستثمرة – فكلما زادت طاقة التعدين، كانت فرصك أفضل.
والثاني هو “قاعدة أطول سلسلة”، والتي تنص على أنه في حالة وجود تعارض، تكون النسخة الصحيحة من سلسلة الكتل هي الأطول. فإذا قام شخص ما بتزوير نسخته من سلسلة الكتل وحاول بثها، فسوف يرفضها جميع الآخرين لأن موارد أقل قد تم إنفاقها عليها وبالتالي فهي أقصر.
لكن الموقف يتغير إذا كان المزور يستخدم أكثر من 50% من إجمالي طاقة التعدين. وفي الوقت الذي يستغرقه جميع القائمين بالتعدين الآخرين لإنشاء تسع كتل مثلاً، قد ينشئ مستخدم ضار 10. وحينئذٍ، تصبح النسخة المزورة من سلسلة الكتل هي الأطول، وبالتالي يقبلها الجميع، ويتم تغيير السجل المالي على نحو فعال. وسيجد المستخدم الذي أنفق البيتكوين بالإصدار القديم من سلسلة الكتل العامة عملات بيتكوين هذه في حسابه بسلسلة الكتل المزورة.
وهذا بالضبط ما حدث لبورصة العملات المعماة Gate.io أوائل عام 2019. فقد أرسل منفذ هجوم عملته المعماة إلى البورصة (وكتب هذه الحقيقة إلى سلسلة الكتل العامة)، وفي الوقت نفسه بدأ في إنشاء سلسلة كتل خاصة به. وعندما تلقت البورصة التحويل وقيدت المبلغ في رصيد منفذ الهجوم، قام الأخير ببث سلسلة الكتل السرية الخاصة به (والتي لم تتضمن المعاملة أعلاه، ما يتيح إعادة تخزين العملة المعماة)، وطلب سحب رصيده من البورصة. نتيجة لذلك، خسرت البورصة المال.
والآن دعونا نرَ لماذا لا يمكن تكرار هذا يوميًا، وما طاقة الحوسبة التي كان على منفذ الهجوم إنفاقها.
سنستخدم البيتكوين كمثال. ينشئ القائمون بالتعدين ست كتل في الساعة. لكل كتلة، يتم إصدار جائزة بمبلغ 12.5 بيتكوين. (في 6 أكتوبر 2019، كانت 75 بيتكوين تساوي 600,000 دولار.) وهذه تقريبًا تكلفة استئجار كل طاقة تعدين البيتكوين لمدة ساعة. يعرض موقع Crypto51 هذه العمليات الحسابية:
التكلفة المقدرة لساعة واحدة من هجوم 51% على العملات المعماة الرئيسية
يحدد العمود الأخير مقدار السعة المتاحة للإيجار الآن. وكما ترون، فإن شراء سلسلة كتل إيثريوم كلاسيك كما فعل منفذ الهجوم المذكور أعلاه، سيكلف حوالي 10,000 دولار في الساعة. لقد استغرق منهم الحصول على 200,000 دولار أربع ساعات.
جدير بالذكر أن هذا ليس الهجوم الأول من هذا النوع. وإنما صمدت عدة عُملات معماة أخرى لهجمات 51% ناجحة.
الحادثة: هجوم 51% على Gate.io لعملة إيثريوم كلاسيك
التاريخ: 7 يناير 2019
المبلغ المسروق: 200,000 دولار (40,000 إيثريوم كلاسيك)
h3>هجمات 51%: كيف تحافظ على حمايتك
بشكل عام، تعد القدرة على إعادة كتابة سلسلة كتل وتحويلها لنقد على هجوم 51% ميزة فطرية للتكنولوجيا. ولجعل أي هجوم باهظ الثمن قدر الإمكان، تحاول بورصات العملات المعماة الانتظار لأطول فترة ممكنة قبل تحديث رصيد المستخدم بعد معاملة ما. ذلك لأنه كلما زاد عدد الكتل التي تم إنشاؤها منذ أن دخلت المعاملة في سلسلة الكتل، قل احتمال إعادة تنظيم سلسلة الكتل وتعميمها. لكن التأخير يسبب إزعاجًا كبيرًا للتحويلات التي يستغرق إجراؤها ساعات.
في أي حالة، سترى بلا شك هذا النوع من الهجوم مرة أخرى.
سرقة المفتاح السري: التدقيق الإملائي لعبارة المرور
لإنفاق عملة معماة، تحتاج إلى المفتاح السري. المفتاح هو ما يتم حفظه في محافظ العملات المعماة؛ حيث يتم تخزين رصيد المستخدم في سلسلة الكتل.
إذا قمت بتبديل محافظ العملات المعماة، فعليك نسخ المفتاح من المحفظة القديمة إلى الجديدة. للتسهيل، يتكون المفتاح من عبارة بذور تتكون بدورها من 12 كلمة بسيطة – مثل،
witch collapse practice feed shame open despair creek road again ice least.
في إحدى المرات، أرسل مطورو محفظة عملات معماة بغير قصد هذه العبارة عبر الإنترنت لتدقيقها إملائيًا، وهو خطأ اكتشفه مستثمر عملات معماة بعد تعرضه لسرقة بلغت 70,000 دولار. يساورنا شك في أن هذا هو سبب السرقة، لكن على أية حال يمكن الاستفادة من القصة.
حدث ذلك لأنه في الوقت الحاضر، لا تُكتب التطبيقات عادةً من البداية، وإنما يتم تجميعها من مكونات، بما في ذلك مكونات من مطورين تابعين لأطراف خارجية. وهذه هي الطريقة التي بدأ بها مطورو محفظة عملة Coinomi. لعرض نموذج إدخال عبارة المرور، استخدموا مكون jxBrowser. ودون علم المطورين، يقوم هذا المكون افتراضيًا بالتدقيق الإملائي لكل النص الذي يتم إدخاله في النموذج. وحتى لا يُحمَّل بقواميس لجميع اللغات المعروفة في العالم، فإنه يقوم بإجراء تدقيق يستند إلى السحابة باستخدام googleapis.com.
ولنماذج الإدخال العادية، يمكن أن يكون هذا مفيدًا، لكن بالنسبة لحقول الإدخال التي تقبل كلمات مرور وعبارات فائقة السرية، فإنه ينطوي على خطر هائل.
في دفاعهم، ذكر المطورون أن عبارات البذور قد ذهبت إلى Google فقط، ونُقلت بصيغة مشفرة. وGoogle أرجع خطأ. ورغم ذلك، لدى الضحية يقين بأن هذه الثغرة الأمنية كانت سبب السرقة.
الحادثة: ثغرة أمنية في مصادقة محفظة Coinomi
التاريخ: 22 فبراير 2019
المبلغ المسروق: 70,000 دولار
سرقة المفتاح السري: كيف تحافظ على حمايتك
فمن ناحية، اللامبالاة الاعتيادية كانت سبب المشكلة. لقد تم توثيق ميزة التدقيق الإملائي للمكون، ووصفت التعليمات كيفية تعطيله. ربما لم يكن الاختبار التقليدي ليتعرف على المشكلة، لكن مراجعة لأمان التطبيق كانت لتفعل ذلك بالتأكيد.
ومن ناحية أخرى، حدثت المشكلة بشكل أعمق من ذلك. يعرِّض استخدام مكتبات الأطراف الخارجية للمشكلات المحتملة، سواء الآن أو في المستقبل (إذا كانت تحديثاتها تجعلها عرضة للمخاطر)، فضلاً عن خطر حدوث هجوم سلسلة توريد. في هجوم سلسلة التوريد، لا يحتاج مجرمو الإنترنت إلى اختراق المطور الأصلي للأداة؛ وإنما يحتاجون فقط لاختراق أحد مقاوليها. وعادة، لا يتمتع المقاولون بحماية جيدة، بل ربما لا يكونون على دراية بالمشاريع المهمة التي سيتم استخدام تعليمتهم البرمجية فيها.
فأحيانًا يجعلك تهور هؤلاء المسؤولين تضرب أخماسًا في أسداس، وتتعاطف في أحيان أخرى مع مدى عجزهم.