🚀 Trade Smarter with Beirman Capital!
Join one of the most trusted Forex & CFD brokers. Get tight spreads, fast execution, and expert support.
يشرح ميتشل أمادور، الرئيس التنفيذي لشركة Immunefi، ما تتسابق شركات الأمن لمنع الاستغلال التالي بقيمة مليار دولار في العملات المستقرة.
ملخص
- مع تزايد اعتماد العملات المستقرة، تواجه البنية التحتية الأمنية صعوبة في مواكبة هذا التزايد
- يقول الرئيس التنفيذي لشركة Immunefy إن أكثر من 90% من المشاريع التي خضعت للتدقيق كانت بها نقاط ضعف حرجة
- لا تستخدم الغالبية العظمى من المشاريع ميزات الأمان الرئيسية مثل جدران الحماية
مع تزايد اعتماد العملات المشفرة، أصبحت العملات المستقرة العمود الفقري المالي للاقتصاد القائم على السلسلة. ولكن مع استمرار تدفق رأس المال، لا تزال البنية التحتية الأمنية التي تدعم هذه الأنظمة متخلفة بشكل خطير.
يعتقد ميتشل أمادور، الرئيس التنفيذي لشركة Immunefi لأمن الويب 3، أننا في "سباق مع الزمن". في هذه المقابلة، يستعرض المخاطر الحقيقية الكامنة في أنظمة العملات المستقرة، وسبب عدم استعداد معظم المؤسسات للاستغلال التالي الذي قد يكلف مليارات الدولارات.
Crypto.news: ما الذي يمكنك أن تخبرني به عن الحالة الأمنية الحالية عندما يتعلق الأمر بالعملات المستقرة؟
ميتشل أمادور: نحن في عالم جديد وشجاع نوعًا ما. بدأنا للتو نكتشف مدى فعالية إجراءات الأمن التي استخدمناها خلال السنوات القليلة الماضية.
من ناحية أخرى، لم نشهد أي اختراق كبير للعملات المستقرة منذ فترة طويلة. يمكنك الرجوع إلى حوادث مثل اختراقات التمويل اللامركزي المبكرة، أو مشكلات مثل فك ارتباط عملة الدولار الأمريكي (USDC) خلال انهيار بنك وادي السيليكون – كانت تلك أحداثًا خطيرة، لكننا لم نشهد أي شيء بهذا الحجم منذ ذلك الحين.
يشعر الناس بثقة كبيرة تجاه أمان العملات المستقرة. لكن الحقيقة هي أننا لا نعرف حقًا مدى أمانها. للمقارنة، تخيل كم من الوقت استغرق الأمر حتى شعرت بالثقة في منصة مثل MakerDAO أو Aave أو Compound. لقد استغرق الأمر سنوات حتى يبني المستخدمون هذه الثقة. العملات المستقرة، وخاصةً اللامركزية منها، لا تزال أقل نضجًا من هذه البروتوكولات.
نحن على وشك إضافة تريليون دولار أخرى من سيولة العملات المستقرة إلى النظام خلال السنوات القليلة المقبلة. السؤال الحقيقي هو: هل نحن مستعدون لاستيعاب هذا القدر من القيمة دون فشل كارثي؟ لا أعتقد أننا نعرف الإجابة بعد، وقد نكتشفها بالطريقة الصعبة.
ماذا عن مخاطر القرصنة على وجه التحديد؟
م.أ: هذا هو الخطر الوحيد الذي يُقلقني بشدة. لقد شهدنا أحداثًا تُزعزع الاستقرار المالي – فك الارتباط بالدولار، وإلغاءات في الرفع المالي، وحتى عمليات إنقاذ – ونحن نعرف كيف نديرها. لكن مع عمليات الاختراق، هناك دائمًا عامل "البجعة السوداء".
قد يؤدي اختراق ضخم يستهدف العملات المستقرة إلى نزع الشرعية عن العملات المشفرة بأكملها. تخيّل ثغرة في العقود الذكية تؤثر على مئات المليارات من الدولارات، أو خللًا في أصل أساسي من العملات المستقرة يُشغّل بروتوكولات أخرى. هذا ليس خيالًا علميًا، بل ممكن.
من وجهة نظر Immunefi، يعاني أكثر من 90% من المشاريع التي نراجعها من ثغرات أمنية حرجة، بما في ذلك أنظمة العملات المستقرة. والخبر السار هو أننا أحرزنا تقدمًا كبيرًا. قبل بضع سنوات، كان كل مشروع عملنا عليه تقريبًا سيتعرض لاختراق خلال بضع سنوات. أما اليوم، فإن هذه النسبة أقل من النصف، وهي لا تزال مرتفعة، ولكنها تُعتبر تحسنًا.
مع ذلك، نراهن على النظام بأكمله على شيفرة قد لا تكون جاهزة. ولن نعرف ذلك إلا بعد اختبارها تحت الضغط. أشبه الأمر بساعة عد تنازلي. فمنذ لحظة نشر عملة مستقرة مثل USDC أو USDT، يبدأ خطر الاستغلال الحرج بالتناقص.
مع ازدياد تعقيد العقد وازدياد ميزاته، تزداد المخاطر. في الوقت نفسه، نسابق الزمن لتحسين البنية التحتية الأمنية – مكافآت الأخطاء البرمجية، وجدران الحماية، وماسحات الثغرات الأمنية القائمة على الذكاء الاصطناعي، وأدوات القائمة السوداء. هذه الأمور تُساعد على "زيادة الوقت" في هذا العد التنازلي.
السؤال الآن هو: هل يمكننا تأمين هذه الأنظمة بسرعة كافية قبل حدوث اختراق كارثي؟
نحن الآن في منتصف هذا السباق، وقد ننجح. هناك فرصة سانحة لنصبح آمنين بما يكفي لتجنب أي فشل ذريع. لكننا لسنا متأكدين بعد. ستكون السنتان القادمتان حاسمتين.
CN: ما هي أكبر مصادر نقاط الضعف في العقود الذكية في العملات المستقرة؟
MA: المخاطر مماثلة لمعظم تطبيقات التمويل اللامركزي (DeFi)، مع بعض الاختلافات. معظم العملات المستقرة ليست لامركزية، لذا لا تواجه عادةً مشاكل تتعلق بالحوكمة. ولكن هناك فئتان رئيسيتان من نقاط الضعف:
مخاطر البرمجة – قد تُكتب العقود الذكية بطرق تجعلها عرضة للتلاعب. لقد شهدنا أخطاءً حسابية، ومنطق استرداد معيبًا، وإساءة استخدام أوراكل – وكلها قد تؤدي إلى ثغرات أمنية كبيرة. هكذا حدثت بعض عمليات اختراق العملات المستقرة المبكرة.
التحكم في الوصول – العديد من العملات المستقرة مركزية، مما يعني وجود وظائف خاصة – مثل السك أو الاسترداد – يتحكم بها المُصدر. إذا اخترق أحدهم هذه الضوابط، فقد ينهار النظام بأكمله. ربما تتذكرون مشكلة باي بال، حيث قام أحدهم بسك 300 تريليون دولار أمريكي عن طريق الخطأ من عملة PYUSD. كان ذلك تصرفًا غير ضار، لكنه يُظهر ما هو ممكن.
المخاطر المالية حقيقية. رأيناها مع سيركل خلال أزمة بنك إس. في. بي – ليس بسبب ضعف الضمانات، بل بسبب ضغط السيولة. قد يؤدي تدفق عمليات الاسترداد إلى حالة "اندفاع لسحب الودائع من البنك"، حتى لو كانت الأصول متوفرة فعليًا.
تتزايد المخاطر القانونية أيضًا. تستطيع الحكومات التدخل، بل ستفعل. لكن هذه ليست مشكلات "أمنية" بالمعنى الحرفي للكلمة للعقود الذكية، بل هي مخاوف أمنية أوسع نطاقًا. تحتاج إلى مجموعة أدوات مختلفة تمامًا لإدارتها.
س: هل تعتقد أن المؤسسات والبنوك تدرك المخاطر التي تصفها؟
أمادور: ليس تمامًا. إنهم يدركون المخاطر المالية والقانونية – هذا هو عالمهم. ولكن عندما يتعلق الأمر بمخاطر البرمجة، فإنهم غالبًا ما يكونون خائفين فحسب.
يُدركون أنهم خارج نطاق خبرتهم. يحاولون التعلم، ويوظفون فرقًا متخصصة في العملات المشفرة، ويشترون شركات ناشئة في مجال البنية التحتية مثل Privy وBridge. لكن معظمهم لا يزالون يشعرون بعدم الأمان. يرون ثغرات العقود الذكية مشكلة خارجية غير مؤهلين لحلها – وهم مُحقون.
إنهم أكثر ارتياحًا لإدارة المفاتيح والتحكم في الوصول، وهو ما يتناسب مع عملياتهم القديمة. ولكن بمجرد التعمق في عالم التشفير، يصبح الأمر غريبًا عليهم.
س: ما الذي قد يقنعهم بالتحرك بشكل أسرع؟
ما: الخوف من تفويت الفرصة. هذا كل ما في الأمر. إنهم بحاجة إلى دراسة جدوى – فرصة عظيمة لا يريدون تفويتها. ثم سيستثمرون في فهم المخاطر. وهنا يأتي دورنا في إيمونيفاي: مساعدة هذه المؤسسات على إيجاد سبل لتأمين نفسها.
CN: ما الذي ينبغي لمشاريع التشفير أن تفعله اليوم لإدارة مخاطر العقود الذكية؟
MA: علينا أن نسعى لتحقيق "السلامة الافتراضية". هذا هو الهدف. لدينا الآن أدوات فعّالة – مثل التشويش، والتحقق الرسمي، والتحليل الثابت المدعوم بالذكاء الاصطناعي – وقد طوّرنا العديد منها في Immunefi. لكن معدل التبني لا يزال منخفضًا جدًا. لا تزال معظم الفرق تتعامل مع عمليات التدقيق ومكافآت الأخطاء كقوائم تحقق لمرة واحدة فقط. هذا لا يكفي.
وهذا ما يجب على كل مشروع جاد أن يفعله:
اكتشاف نقاط ضعف الذكاء الاصطناعي (مراجعات العلاقات العامة): المسح الآلي والبشري لكل سطر من التعليمات البرمجية الجديدة قبل دمجها.
التدقيق: كل من التدقيق التقليدي ومسابقات التدقيق مع عشرات أو مئات من المتسللين الذين يقومون بمراجعة الكود.
مكافآت الأخطاء: مع مكافآت ذات معنى مرتبطة بمقدار الأموال المعرضة للخطر.
حلول المراقبة: اكتشاف التهديدات في الوقت الفعلي بعد النشر.
جدران الحماية: "أجهزة مراقبة" على مستوى العقد تعمل على منع المعاملات الضارة قبل تنفيذها.
إذا استخدمتَ هذه المجموعة الكاملة من الحلول، فستمنح نفسك خمس فرص مميزة لاكتشاف الثغرات الأمنية قبل أن تُسبب ضررًا. ومع ذلك، فإن أقل من 1% من المشاريع تستخدم جدران الحماية، وأقل من 10% منها تستخدم أدوات كشف الثغرات الأمنية بالذكاء الاصطناعي. هذه فجوة هائلة، وقابلة للحل.
CN: هل هناك عوامل أخرى – مثل تصميم اللغة أو بنيتها – تجعل العقود أكثر أمانًا؟
م.أ: نعم، لكن الأمر يعتمد على التطبيق. العقود الأبسط دائمًا أكثر أمانًا. لهذا السبب، نادرًا ما تُخترق عقود ERC-20 – فهي صغيرة ومُحكمة ومُختبرة جيدًا. كلما زاد تعقيد منطقك، زادت المخاطر التي تُواجهها.
إمكانية الترقية عامل مهم آخر. فهي تُضيف مرونةً لتجربة المستخدم، لكنها تُدخل ثغراتٍ أمنية. في الوضع الأمثل، أنت وحدك من يستخدمها، ولكننا شهدنا حالاتٍ عديدة أُسيء فيها استخدامها. مع ذلك، تُفضّل معظم المشاريع اليوم إمكانية الترقية لأنَّها تستحقّ التضحية بها من أجل اعتمادها.
CN: الأفكار النهائية – ما هي القضية المهمة التي لا يتحدث عنها أحد بما فيه الكفاية؟
MA: بالتأكيد. من أكبر نقاط الضعف مسألة مسؤولية البروتوكول. مع تدفق المزيد من الأموال إلى أنظمة السلسلة، سيتغير المشهد القانوني بسرعة. في مرحلة ما، سيسأل أحدهم: من المسؤول عند حدوث خلل؟ ليس لدينا إجابة واضحة على هذا السؤال بعد، ولكنه قادم، وسيُغير كيفية بناء البروتوكولات وإدارتها.
أمرٌ آخر أفكر فيه هو مدى تغيّر ثقافة العملات المشفرة. إنها تُصبح قطاعًا ماليًا. يُمكنك الشعور بذلك. كان البُناة الأوائل مُنظّرين – مؤمنين إيمانًا راسخًا باللامركزية والأنظمة المفتوحة. والآن، نشهد موجةً من خبراء التمويل الذين يتعاملون مع هذا المجال بطريقة مختلفة تمامًا. هذا ليس سيئًا بالضرورة، ولكنه يُغيّر الأخلاقيات، ولا نعرف بعد ما هي العواقب طويلة المدى لهذا التحول.
ثم هناك مسألة قابلية عكس المعاملات. فمع انتقال المؤسسات إلى سلسلة التوريد، ستبدأ في المطالبة بميزات غير موجودة حاليًا في معظم السلاسل العامة. ومن هذه الميزات إمكانية عكس المعاملات.
أعتقد أننا سنرى المزيد من السلاسل، وربما حتى السلاسل الكبرى، تبدأ بتقديم هذه الإمكانية، خاصةً في البيئات المرخصة أو شبه المرخصة. هذا يُنشئ فئة جديدة من البنى التحتية لتقنية البلوك تشين تُشبه إلى حد كبير الخدمات المالية التقليدية – حدائق مُحاطة بأسوار وجسور تُوصل إلى العالم المفتوح.
يرتبط كل هذا بأمر أعتقد أن الناس يغفلون عنه: أمن العملات المشفرة على وشك أن يشهد زخمًا كبيرًا. لا يزال هذا القطاع غير مقدر حق قدره حتى اليوم، ولكن بات من الواضح أن جميع الجهات الفاعلة الرئيسية – من صناديق الاستثمار إلى المنظمات اللامركزية المستقلة إلى البنوك – ستعتمد في نهاية المطاف على أنظمة الربط الشبكي.
وهذا يعني أنهم جميعًا سيحتاجون إلى حماية جدية. أعتقد أننا في بداية طفرة كبيرة في البنية التحتية الأمنية، ولا أحد مستعدٌّ تمامًا لما سيبدو عليه ذلك.
Beirman Capital – Your Gateway to Global Markets
Trade Forex, Commodities & Indices with confidence. Join traders worldwide who trust Beirman Capital.
