التحديات الأمنية للعملات الرقمية: رؤى من مدير التكنولوجيا في Ledger
تواصلت CryptoSlate مع مدير التكنولوجيا في Ledger، تشارلز غيليمت، خلال فعالية BTC Prague لبحث مجموعة من المواضيع، بدءًا من ما حدث حقًا أثناء خرق Ledger ConnectKit وصولاً إلى التحديات المعقدة في تأمين نسبة كبيرة من الأصول الرقمية في العالم. يمتد خلفية غيليمت إلى علم التشفير وأمن الأجهزة، مما يوفر له أرضية قوية لدوره في Ledger. بدأ مسيرته المهنية في تصميم الدوائر المتكاملة الآمنة، وهو ما ترجمه لاحقًا إلى نهجه في إنشاء عناصر أمان لأجهزة Ledger.
تحديات الأمان في تقنية Blockchain والبيتكوين
خلال المقابلة، تطرق تشارلز غيليمت إلى التحديات الأمنية المميزة التي تفرضها تقنية blockchain والبيتكوين. تشكلت رؤاه من خلفيته الواسعة في الدوائر المتكاملة الآمنة والتشفير.
أوضح غيليمت أنه في بطاقات البنوك التقليدية وجوازات السفر، تُدار مفاتيح الأمان من قبل البنك أو الدولة. لكن في تقنية blockchain، يُدير الأفراد مفاتيحهم بأنفسهم. هذا التغيير الجوهري يُدخل تحديات أمنية كبيرة، حيث يجب على المستخدمين ضمان حماية قيمتهم من الوصول غير المصرح به والفقدان. أبرز:
- بما أن المستخدمين يملكون قيمتهم، يصبح من الضروري تأمينها، وضمان عدم فقدانها أو وصول الأطراف غير المصرح بها إليها. يتطلب هذا إجراءات قوية لمنع البرامج الخبيثة من الوصول وللحماية من الهجمات الفيزيائية.
كما أشار المدير التقني إلى أن عدم تغيير بيانات blockchain يزيد من أهمية التحدي الأمني. تؤمن تقنية Ledger أكثر من 20 في المئة من القيمة السوقية، ما يعادل نحو 500 مليار دولار. يتم إدارة هذه المسؤولية الكبيرة بالاعتماد على أفضل التقنيات المتاحة لضمان الأمان. وأكد غيليمت بثقة أنه حتى الآن، كان نهجهم ناجحًا، مما يسمح له بالنوم جيدًا رغم المخاطر العالية المشاركة.
استجابة Ledger للخرقات الأمنية وأمان سلسلة الإمداد
تحدث تشارلز غيليمت عن نهج Ledger في التعامل مع الخروقات الأمنية، وخاصة الحادث الذي شمل Ledger ConnectKit. وصف التحدي الذي تشكله الهجمات على سلسلة الإمداد للبرمجيات، مشددًا على صعوبة منعها بالكامل.
أثناء مناقشة الخرق، ذكر غيليمت كيف تم اختراق حساب مطور من خلال رابط تصيد احتيالي، مما أدى إلى حصول المهاجم على مفتاح API. سمح هذا للمهاجم بحقن شيفرة خبيثة في مستودع NPM المستخدم من قِبل المواقع التي تدمج أجهزة Ledger. وأبرز الاستجابة السريعة من Ledger للتخفيف من التأثير:
- بالرغم من الخرق، كان الضرر محدودًا بفضل الاستجابة السريعة من Ledger والميزات الأمنية الأساسية لأجهزتهم، حيث يتطلب من المستخدمين التوقيع يدويًا على المعاملات، مما يضمن التحقق من تفاصيل المعاملة.
ناقش غيليمت أيضا قضية أمان سلسلة الإمداد على نطاق أوسع، مشددًا على تعقيد إدارة الثغرات البرمجية. وأوضح أنه رغم اتخاذ التدابير اللازمة وأفضل الممارسات، لا يزال من الصعب منع هجمات سلسلة الإمداد تمامًا. قدم مثالاً على هجوم سلسلة إمداد معقد:
- أوضح هذا المثال الطبيعة المتفشية لهجمات سلسلة الإمداد وصعوبة اكتشافها وتخفيفها. ربما كان من غير المفاجئ أنه دافع عن استخدام المحافظ المادية للأمان الرقمي. وأوضح ببراعة لماذا، موضحًا أنها توفر سطح هجوم محدود ويمكن تدقيقها بشكل كامل.
التهديدات البشرية والتقنية للأمان
قدم تشارلز غيليمت نظرة شاملة على الطبيعة المتعددة الأوجه للتهديدات الأمنية في مجال blockchain، مشملًا العناصر البشرية والتقنية. أكد أن المهاجمين يركزون بشكل كبير على النتائج، ويطورون استراتيجياتهم باستمرار بناءً على التكلفة والمكافأة المحتملة لهجماتهم. في البداية، كانت هجمات التصيد البسيطة التي تخدع المستخدمين لإدخال عبارات الاسترداد المكونة من 24 كلمة شائعة. لكن مع زيادة وعي المستخدمين، تحولت تكتيكات المهاجمين إلى أساليب أكثر تعقيداً.
أضاف غيليمت:
- لاحظ ازدياد عمليات تصريف العملات الرقمية المنظمة، حيث تتعاون الأطراف المختلفة لإنشاء واستغلال طاردات العملات الرقمية، وتقاسم العائدات على مستوى العقود الذكية. وتوقع أن تركز الهجمات في المستقبل على محافظ البرمجيات على الهواتف، مستغلة ثغرات اليوم صفر التي يمكن أن توفر الوصول الكامل للجهاز دون تفاعل المستخدم.
مع الأخذ في الاعتبار الثغرات الأساسية للأجهزة المحمولة والمكتبية، شدد غيليمت على أهمية الاعتراف بأن هذه الأجهزة ليست آمنة بشكل افتراضي. وأوصى:
- نصح المستخدمين بتجنب تخزين المعلومات الحساسة مثل البذور أو ملفات المحفظة على أجهزة الكمبيوتر الخاصة بهم، لأنها أهداف رئيسية للمهاجمين.
يمثل التوازن بين الأمان والاستخدامية تحديًا كبيرًا في صناعة المحافظ الرقمية. أولويت Ledger هي الأمان كهدف رئيسي مع السعي المستمر لتحسين تجربة المستخدم. اعترف غيليمت أن ميزات مثل Ledger Recover، التي تهدف إلى تبسيط تجربة المستخدم، أثارت نقاشًا. وأوضح أن هذه الميزات، رغم أنها مصممة لمساعدة الوافدين الجدد على إدارة عبارات الاسترداد المكونة من 24 كلمة بشكل أسهل، فهي اختيارية تمامًا:
- الهدف هو تلبية مجموعة واسعة من المستخدمين، بدءًا من أولئك الذين يفضلون السيطرة الكاملة على أمانهم إلى الذين يحتاجون إلى حلول أكثر سهولة في الاستخدام. أدرك غيليمت أن الانتشار الواسع للأصول الرقمية يتطلب معالجة مسائل الاستخدامية دون التنازل عن الأمان. تهدف Ledger إلى تحقيق هذا التوازن من خلال تقديم خيارات مرنة مع الحفاظ على أعلى معايير الأمان.