تعتبر أجهزة محافظ العملات حل تخزين العملات المشفرة الأكثر موثوقية على الإطلاق. يبدو الجهاز الخاص الذي يقوم بالتصديق على جميع عمليات البلوكشين الخاصة بمالكه في وضع عدم الاتصال بالإنترنت أكثر موثوقية من التخزين عبر الإنترنت أو تطبيقات الكمبيوتر. بالرغم من كل ذلك؛ فلطالما سمعنا أخبارًا عن الاختراقات وحالات الإفلاس لمنصات تبادل العملات المشفرة عبر الإنترنت كل شهر تقريبًا بينما تكون التطبيقات معرضة بشكل واضح لتهديدات الكمبيوتر العادية مثل البرامج الضارة.
وبينما تبدو هذه الاعتبارات معقولة، فإنه لا يمكن حماية الاستثمارات بشكل كامل بمجرد امتلاك أجهزة المحافظ المشفرة، وذلك لكون أصحابها عرضة لعدد من الهجمات كذلك. وبناء على ذلك؛ فإنّ تلك المحافظ تحتاج للحماية ضد المخاطر التالية…
محافظ الكريبتو: بين الأجهزة والبرامج
وقبل الشروع في تحليل المخاطر، فدعونا نلخص بإيجاز الفرق بين أنواع المحافظ المختلفة. بالنسبة للمبتدئين، فلا توجد محفظة تخزن أصول العملات المشفرة بنفسها. يتم تسجيل المعلومات حول الأصول في البلوكشين، في حين أن محفظة التشفير هي مجرد تخزين آمن للمفتاح الخاص (السري) المعني. يحتاج المالك إلى المفتاح لتسجيل معاملة جديدة إلى البلوكشين- أي لإجراء تحويل للعملات المشفرة. وبصرف النظر عن المفتاح السري، فعادةً ما تخزن محافظ العملات الرقمية مفتاحًا عامًا غير سري يُستخدم لتلقي التحويلات.
ثمة طرق متعددة لتخزين مفتاح خاص:
- أن يكون مشفرًا على الخادم. يحدث ذلك في حالات المحافظ عبر الإنترنت أو محافظ الحماية من قبل طرف ثالث، والتي تقدمها البورصات الشهيرة، بما في ذلك Binance وCoinbase.
- في تطبيق هاتف محمول، على جهاز كمبيوتر أو هاتف ذكي.
- على جهاز منفصل غير متصل بالإنترنت.
- كتسلسل أبجدي رقمي مكتوب يدويًا على ورقة.
في الحالتين الأولى والثانية، يحدث تخزين المفاتيح دائمًا عبر الإنترنت؛ بحيث يغدو من الممكن استخدام المفتاح لإتمام معاملة في البلوكشين في أي وقت. هذه هي محافظ “التخزين عبر الإنترنت”.
لإرسال الأموال باستخدام الخيارين الثالث أو الرابع، فإنه يلزم اتخاذ بعض الإجراءات الإضافية: توصيل جهازك بجهاز كمبيوتر أو هاتف، أو إدخال معلومات مكتوبة على الورق. هذه هي محافظ “عدم التخزين عبر الإنترنت”.
يسمى جهاز تخزين المفاتيح المستقل المخصص محفظة الأجهزة. التطبيقات المصممة لتخزين المفاتيح على أجهزة الكمبيوتر العادية والهواتف الذكية هي محافظ البرامج.
ويجعل الدمج بين الحالتين الثانية والثالثة خيارًا جديدًا قابلًا للتطبيق – وإن كان يبدو غريبًا إلى حد ما: تخزين المفتاح في هاتف ذكي منفصل يتم الاحتفاظ به طوال الوقت في وضع عدم الاتصال بالإنترنت. سينتج ذلك الدمج محفظة برامج، وإن كانت لا تستخدم التخزين عبر الإنترنت.
نبذة قصيرة عن المحافظ الورقية: المحفظة الورقية هي نسخة مطبوعة من المفاتيح و/ أو عبارة التحقق من الهوية (سيأتي المزيد عنها لاحقًا)، وتقتصر استخداماتها على تلقي الأموال أو العمل كنسخة احتياطية.
لإنفاق أموالك، يجب عليك إرسال مفتاحك الخاص إلى حل برمجي عبر الإنترنت. وحينها تتحول محفظتك من التخزين خارج الإنترنت إلى التخزين عبره.
أنواع أجهزة محافظ العملات الرقمية
تبدو أجهزة محافظ العملات عادة مثل شرائح ذاكرة USB أو مفاتيح السيارة الضخمة. وتحتوي عادة على شاشة للتحقق من المعاملات. لإتمام معاملة، يمكنك توصيل المحفظة بجهاز كمبيوتر أو هاتف ذكي، وبدء التحويل من الكمبيوتر أو الهاتف الذكي، والتحقق من المعلومات الموجودة على شاشة المحفظة، وتأكيد الإجراء عن طريق إدخال رمز التعريف الشخصي PIN أو ببساطة الضغط على زر ما. الميزة الرئيسية لأجهزة محافظ العملات الرقمية هي أنها تقوم بإتمام العمليات دون إرسال مفتاحك الخاص إلى الكمبيوتر – مما يؤدي إلى حماية البيانات من آليات السرقة البسيطة.
بالإضافة إلى ذلك، تحتوي العديد من المحافظ على وظائف إضافية ويمكن استخدامها كمفاتيح أجهزة للمصادقة الثنائية.
هناك أيضًا محافظ تشبه البطاقة المصرفية، ومحافظ مركبة بطريقة تشبه فكرة “الهاتف غير المتصل بالإنترنت”، ولكنها أقل شيوعًا. ويحتوي النوع الأخير على شاشة تعمل بكامل طاقتها ويسمح بإتمام المعاملات باستخدام خاصية مسح رمز الاستجابة السريعة. لا تحتوي العديد من هذه المنتجات على منافذ على الإطلاق بخلاف منفذ الشاحن، لذلك لا شيء يربطها بالعالم الخارجي سوى الكاميرا والشاشة.
الخطر الأول: الخسارة أو التدمير
يأتي الخطر الأكثر وضوحًا لمالك محفظة الأجهزة من إمكانية فقدان تلك المحفظة. لحماية المحفظة من الاستخدام غير المصرح به – على سبيل المثال، في حالة فقدها – فاستخدم رمز التعريف الشخصي PIN أو القياسات الحيوية: يجب تفعيلها في محفظتك. على عكس الهواتف المحمولة والبطاقات المصرفية، يمكن استخدام رموز التعريف الشخصية الطويلة – بما يصل إلى 50 رقمًا لبعض المنتجات؛ فقط تذكر: كلما كان الرمز أطول كلما كان ذلك أفضل.
يؤدي التدمير المادي للمحفظة أيضًا إلى تدمير البيانات المخزنة عليها، لذلك من المهم أن يكون لديك نسخة احتياطية من مفاتيحك الخاصة. يتم إنشاء نسخة احتياطية عند إنشاء المحفظة المشفرة نفسها: سترى ما يسمى بعبارة التحقق من الهوية ممثلة بسلسلة من 12 أو 24 كلمة إنجليزية. من خلال إدخالها بالترتيب الصحيح، يمكنك إعادة إنشاء مفاتيحك العامة والخاصة. تم توحيد عملية إنشاء عبارات التحقق من الهوية في معظم حلول بلوكشين (خوارزمية BIP39)، لذلك حتى إذا فقدت محفظة Ledger، على سبيل المثال، فيمكنك استرداد بياناتك إلى محفظة أجهزة من بائع آخر، مثل Trezor، أو أي من محافظ برامج”التخزين عبر الإنترنت”.
من الضروري عدم الاحتفاظ بعبارة التحقق من الهوية في أي شكل رقمي متاح الوصول إليه بسهولة، مثل صورة على هاتفك أو ملف نصي أو ما شابه. وللقيام بذلك على أكمل وجه، فيجب تدوينها على الورق وتخزينها في مكان آمن للغاية مثل صندوق ودائع آمن أو خزانة آمنة. من المهم ألا تكشف عن العبارة الأولية لأي شخص مطلقًا، لأن وظيفتها الوحيدة هي استعادة المحفظة المشفرة المفقودة.
الخطر الثاني: التصيد الاحتيالي ومحاولات الخداع
لا توفر محفظة الأجهزة أي حماية على الإطلاق ضد الهندسة الاجتماعية. إذا اختارت الضحية طواعية إجراء تحويل أو الكشف عن عبارة التحقق من الهوية “لأخصائي دعم فني مزيف للمحافظ المشفرة”، فستختفي الأموال بغض النظر عن مستويات حماية الأجهزة المعمول بها. الناس بارعون عندما يتعلق الأمر بمحاولات الخداع: إذ يستمرون في تغيير الأفخاخ طوال الوقت. تتضمن بعض الأمثلة الواضحة رسائل البريد الإلكتروني لخرق البيانات المرسلة إلى مالكي المحفظة المشفرة للأجهزة، ومواقع الويب المزيفة المصممة كنسخ طبق الأصل من بورصات العملات المشفرة المعروفة أو مزودي المحفظة المشفرة.
يتطلب الأمر اليقظة – وحتى عدم امتلاك الثقة المبالغ بها في النفس (بالمعنى الإيجابي) تجاه كل شيء غير متوقع – لمنع حدوث الأسوأ. مصدر آخر رائع للمساعدة هو نظام الأمن السيبراني المتكامل لأجهزة الكمبيوتر والهواتف الذكية مما يجعل خطر زيارة موقع التصيد الاحتيالي معدومًا تقريبًا.
الخطر الثالث: البرمجيات الخبيثة
يعد الكمبيوتر أو الهاتف الذكي المصاب بالفيروسات سببًا شائعًا لخسارة استثمارات العملة المشفرة. إذا كانت الضحية تستخدم محفظة (التخزين عبر الإنترنت)فيمكن للمجرمين سرقة المفتاح الخاص وإجراء أي معاملات يحتاجون إليها لإفراغ المحفظة بأنفسهم. لن تعمل الحيلة مع محفظة الأجهزة، ولكن يمكن استخدام ناقلات هجوم أخرى في هذه الحالة. على سبيل المثال، وفي اللحظة التي تقوم فيها الضحية بإجراء تحويل قانوني، فإنه يمكن للبرامج الضارة استبدال عنوان وجهة المحفظة لإعادة توجيه الأموال إلى المجرمين. وللتمكن من هذه الأموال، تراقب البرامج الضارة الحافظة، وبمجرد نسخ عنوان المحفظة المشفرة هناك، فإنها تستبدلها بعنوان محفظة المحتالين.
يمكن التخفيف من خطر التهديد إلى حد ما عن طريق مطابقة العناوين المعروضة بعناية في محفظة التخزين عبر الإنترنت أو على شاشة محفظة عدم التخزين عبر الإنترنت، ولكن اعتمادًا على نوع الجهاز المستخدم؛ فقد تظهر بعض المشكلات الأخرى: تحتوي العديد من أجهزة محافظ العملات الرقمية على شاشة صغيرة للغاية بحيث لا يمكن قراءة عناوين البلوكشين الطويلة بشكل كامل. ومع العلم بأن دمج محفظة الأجهزة مع تطبيق الكمبيوتر يمكن أن يُمثل بدوره عرضة للهجمات، فحتى العنوان المعروض على شاشة الكمبيوتر يمكن تزويره.
أفضل إستراتيجية هي زيادة حماية الكمبيوتر أو الهاتف الذكي لإبقاء البرامج الضارة بعيدًا.
الخطر الرابع: المحافظ الوهمية والمعدلة
يعد شراء محفظة الأجهزة أمرًا آخرًا يجب التعامل معه بعناية: حتى عندما تغادر الأجهزة المصنع، فإن هذه الأجهزة تكون بالفعل تحت مراقبة المجرمين. هناك تقارير عن بعض مشتري محفظة العملات المشفرة الذين بيعت لهم شرائح ذاكرة USB المحملة بفيروسات حصان طروادة، أووحدات مزيفة مع برامج ثابتة معدلة، أو “بديل مجاني لجهاز مصاب بالفيروسات تحت الضمان“.
لتجنب مثل هذه التهديدات، لا تشتر البتة أجهزة محافظ العملات الرقمية المشفرة المستعملة، ولا تشتريها من الإعلانات المبوبة عبر الإنترنت، أو في المزادات عبر الإنترنت. حاول أن تطلبها على الدوام من المتاجر الرسمية للبائعين عبر الإنترنت. عند وصول العبوة إليك، فافحص الجهاز بحثًا عن التلف (خطوط الغراء والخدوش وعلامات العبث بالمنتج) وقم بمطابقته مع الوصف المقدم على الموقع الرسمي، حيث يسردون عادة الخواص الرئيسية لضمان الأصالة ويقدمون توصيات حول كيفية التعرف على المنتج المزيف.
الخطر الخامس: القرصنة الواقعية مع تحليل الذاكرة
هذا هو التهديد الأكثر غرابة – ولكن ليس الأكثر احتمالًا. تعتمدالعديد من الهجمات على نماذج المحفظة الشائعة (واحد،اثنان،ثلاثة، أربعة) على حقيقة أنه من خلال تفكيك الوحدة بشكل فعلي وتوصيل دوائرها بمعدات خاصة، فإنه يغدو بإمكان المرء التلاعب بالبرامج الثابتة أو القراءة من الذاكرة أو التدخل في نقل البيانات بين مكونات الوحدة. نتيجة لذلك، يستغرق الأمر دقائق لاستخراج المفتاح الخاص أو نسخته المشفرة.
للحماية ضد هذا الخطر وجهان أولاً: انتبه بشكل خاص للأمان المادي لمحفظتك، وحمايتها من السرقة، ولا تتركها أبدًا دون مراقبة.
ثانياً: يجب ألا تتجاهل تدابير الحماية الإضافية، مثل عبارة المرور في محافظ Trezor.