أحدث الاختراق الأمني الأخير لحوالي 1.5 مليار دولار أمريكي في منصة بايبت، ثاني أكبر بورصة عملات رقمية في العالم من حيث حجم التداول، موجةً من القلق في أوساط مجتمع الأصول الرقمية. مع وجود 20 مليار دولار أمريكي من أصول العملاء قيد الحفظ، واجهت بايبت تحديًا كبيرًا عندما استغلّ مهاجمٌ ضوابط الأمان أثناء عملية تحويل روتينية من محفظة "باردة" غير متصلة بالإنترنت إلى محفظة "دافئة" تُستخدم للتداول اليومي.
تشير التقارير الأولية إلى أن الثغرة الأمنية تتعلق بتطبيق ويب 3 مُطوّر محليًا باستخدام Gnosis Safe، وهي محفظة متعددة التواقيع تستخدم تقنيات التوسع خارج السلسلة، وتحتوي على بنية مركزية قابلة للترقية، وواجهة مستخدم للتوقيع. حوّلت شيفرة خبيثة نُشرت باستخدام هذه البنية، ما بدا وكأنه تحويل روتيني، إلى عقد مُعدّل. أثارت هذه الحادثة حوالي 350,000 طلب سحب، حيث سارع المستخدمون إلى تأمين أموالهم.
على الرغم من حجم هذا الاختراق الكبير، والذي يُقدر بأقل من 0.01% من إجمالي القيمة السوقية للعملات المشفرة، إلا أنه يُظهر كيف أن ما كان يُمثل أزمة وجودية تحول إلى حادث تشغيلي يُمكن السيطرة عليه. ويُمثل تأكيد بايبت السريع على أن جميع الأموال غير المُستردة ستُغطى من خلال احتياطياتها أو قروض شركائها مثالاً آخر على نضجها.
منذ ظهور العملات المشفرة، كان الخطأ البشري – وليس العيوب التقنية في بروتوكولات البلوك تشين – هو نقطة الضعف الرئيسية باستمرار. يُظهر بحثنا الذي حلل أكثر من عقد من الاختراقات الكبرى للعملات المشفرة أن العامل البشري كان دائمًا هو المسيطر. في عام ٢٠٢٤ وحده، سُرق ما يقارب ٢.٢ مليار دولار.
اللافت للنظر أن هذه الخروقات لا تزال تحدث لأسباب مماثلة: تفشل المؤسسات في تأمين أنظمتها لعدم إقرارها صراحةً بمسؤوليتها عنها، أو تعتمد على حلول مصممة خصيصًا تُبقي على وهم اختلاف متطلباتها عن أطر الأمن المعمول بها. هذا النمط من إعادة ابتكار مناهج الأمن بدلًا من تكييف المنهجيات المجربة يُديم نقاط الضعف.
في حين أثبتت تقنيات البلوك تشين والتشفير متانة تشفيرية عالية، إلا أن الحلقة الأضعف في الأمن ليست التكنولوجيا، بل العنصر البشري الذي يتفاعل معها. وقد ظل هذا النمط ثابتًا بشكل ملحوظ منذ بدايات العملات المشفرة وحتى البيئات المؤسسية المتطورة اليوم، وهو يعكس مخاوف الأمن السيبراني في مجالات أخرى – أكثر تقليدية .
تشمل هذه الأخطاء البشرية سوء إدارة المفاتيح الخاصة، حيث يُعرّض فقدانها أو إساءة استخدامها أو كشفها للخطر الأمان. ولا تزال هجمات الهندسة الاجتماعية تُشكّل تهديدًا كبيرًا، إذ يتلاعب المخترقون بالضحايا لإفشائهم بيانات حساسة من خلال التصيد الاحتيالي وانتحال الهوية والخداع.
حلول أمنية تركز على الإنسان
الحلول التقنية البحتة لا تستطيع حل مشكلة بشرية بالأساس. فبينما استثمرت الصناعة مليارات الدولارات في تدابير الأمن التكنولوجي، لم يُستثمر سوى القليل نسبيًا في معالجة العوامل البشرية التي تُسهم باستمرار في حدوث الاختراقات.
من العوائق أمام فعالية الأمن هو التردد في الاعتراف بملكية الأنظمة الضعيفة ومسؤوليتها عنها. فالمؤسسات التي تفشل في تحديد ما تتحكم به بوضوح – أو تُصرّ على أن بيئتها فريدة جدًا بحيث لا يمكن تطبيق مبادئ الأمن الراسخة عليها – تُنشئ نقاط ضعف يستغلها المهاجمون بسهولة.
يعكس هذا ما أسماه خبير الأمن بروس شناير "قانون الأمن": فالأنظمة المصممة بمعزل عن غيرها من الفرق، المقتنعة بتميزها، تحتوي في أغلب الأحيان على ثغرات أمنية حرجة كان من الممكن أن تعالجها ممارسات الأمن المعمول بها . وقد وقع قطاع العملات المشفرة في هذا الفخ مرارًا وتكرارًا، إذ غالبًا ما كان يعيد بناء أطره الأمنية من الصفر بدلًا من تكييف مناهج مجربة من التمويل التقليدي وأمن المعلومات.
من الضروري إحداث نقلة نوعية نحو تصميم أمني يركز على الإنسان. ومن المفارقات، أنه في حين تطورت الخدمات المالية التقليدية من المصادقة أحادية العامل (كلمة المرور) إلى المصادقة متعددة العوامل (MFA)، فإن العملات المشفرة المبكرة بسّطت الأمن وأعادته إلى المصادقة أحادية العامل من خلال المفاتيح الخاصة أو العبارات الأولية، مستغلةً بذلك التشفير وحده. كان هذا التبسيط المفرط خطيرًا، إذ أدى إلى استغلال القطاع لثغرات أمنية واستغلالات متعددة. وبعد خسائر بمليارات الدولارات، وصلنا إلى أساليب أمنية أكثر تطورًا استقر عليها التمويل التقليدي.
ينبغي للحلول الحديثة والتقنيات التنظيمية أن تُدرك أن الخطأ البشري أمرٌ لا مفر منه، وأن تُصمّم أنظمةً تظل آمنةً رغم هذه الأخطاء، بدلاً من افتراض الامتثال البشري التام لبروتوكولات الأمن. والأهم من ذلك، أن هذه التقنية لا تُغيّر الحوافز الأساسية. فتطبيقها ينطوي على تكاليف مباشرة، وتجنبها يُعرّض السمعة للخطر.
يجب أن تتطور آليات الأمن لتتجاوز مجرد حماية الأنظمة التقنية، لتشمل توقع الأخطاء البشرية والتصدي للمخاطر الشائعة. بيانات الاعتماد الثابتة، مثل كلمات المرور ورموز المصادقة، غير كافية ضد المهاجمين الذين يستغلون السلوك البشري المتوقع. ينبغي أن تُدمج أنظمة الأمن خاصية كشف الشذوذ السلوكي للإبلاغ عن الأنشطة المشبوهة.
تُشكّل المفاتيح الخاصة المُخزّنة في مكان واحد يسهل الوصول إليه خطرًا أمنيًا كبيرًا. يُقلّل تقسيم تخزين المفاتيح بين بيئات متصلة وغير متصلة بالإنترنت من خطر اختراق المفاتيح بالكامل. على سبيل المثال، يُحسّن تخزين جزء من المفتاح على وحدة أمان الأجهزة مع إبقاء جزء آخر غير متصل بالإنترنت الأمان من خلال اشتراط عمليات تحقق متعددة للوصول الكامل، مما يُعيد تطبيق مبادئ المصادقة متعددة العوامل على أمان العملات المشفرة.
خطوات عملية لنهج أمني يركز على الإنسان
يجب أن يتناول إطار العمل الأمني الشامل الذي يركز على الإنسان نقاط الضعف في العملات المشفرة على مستويات متعددة، مع اتباع نهج منسق عبر النظام البيئي بدلاً من الحلول المعزولة.
بالنسبة للمستخدمين الأفراد، تظل حلول محافظ الأجهزة الخيار الأمثل. ومع ذلك، يُفضّل العديد من المستخدمين الراحة على مسؤولية الأمان ، لذا فإن الخيار الثاني الأمثل هو أن تُطبّق البورصات ممارسات من التمويل التقليدي: فترات انتظار افتراضية (وقابلة للتعديل) للتحويلات الكبيرة، وأنظمة حسابات متعددة المستويات بمستويات تفويض مختلفة، وتدريب أمني مُراعي للسياق يُفعّل في نقاط القرار الحرجة.
يجب على البورصات والمؤسسات التحول من افتراض الامتثال الكامل للمستخدم إلى تصميم أنظمة تتوقع الخطأ البشري. ويبدأ هذا بالاعتراف الصريح بالمكونات والعمليات التي تتحكم بها، وبالتالي تكون مسؤولة عن تأمينها.
إن إنكار حدود المسؤولية أو الغموض بشأنها يُقوّض جهود الأمن بشكل مباشر. بمجرد ترسيخ هذه المساءلة، ينبغي على المؤسسات تطبيق تحليلات سلوكية للكشف عن الأنماط الشاذة، واشتراط تفويض متعدد الأطراف لعمليات نقل البيانات عالية القيمة، ونشر "قواطع دوائر" آلية للحد من الأضرار المحتملة في حال الاختراق.
علاوةً على ذلك، يُنشئ تعقيد أدوات Web3 ثغراتٍ هجوميةً واسعة. ومن شأن تبسيط أنماط الأمان المُعتمدة واعتمادها أن يُقلل من نقاط الضعف دون المساس بالوظائف.
على مستوى الصناعة، يمكن للجهات التنظيمية والقادة وضع متطلبات موحدة للعوامل البشرية في شهادات الأمان، ولكن هناك تناقضات بين الابتكار والسلامة. تُجسّد حادثة بايبت كيف تطورت منظومة العملات المشفرة من بداياتها الهشة إلى بنية تحتية مالية أكثر مرونة. وبينما تستمر الخروقات الأمنية – ومن المرجح أن تستمر – فقد تغيرت طبيعتها من تهديدات وجودية قد تُقوّض الثقة في العملات المشفرة كمفهوم إلى تحديات تشغيلية تتطلب حلولاً هندسية مستمرة.
لا يكمن مستقبل أمن التشفير في السعي لتحقيق الهدف المستحيل المتمثل في القضاء على جميع الأخطاء البشرية، بل في تصميم أنظمة تظل آمنة رغم الأخطاء البشرية الحتمية. ويتطلب هذا أولًا تحديد جوانب النظام التي تقع ضمن مسؤولية المؤسسة، بدلًا من الغموض الذي يؤدي إلى ثغرات أمنية.
من خلال الاعتراف بالقيود البشرية وبناء الأنظمة التي تستوعبها، يمكن لنظام العملات المشفرة أن يستمر في التطور من الفضول المضاربي إلى البنية التحتية المالية القوية بدلاً من افتراض الامتثال التام لبروتوكولات الأمان.
إن مفتاح الأمن الرقمي الفعال في هذه السوق المتطورة لا يكمن في حلول تقنية أكثر تعقيدًا، بل في تصميم أكثر شموليةً يركز على الإنسان. ومن خلال إعطاء الأولوية لهياكل أمنية تراعي الواقع السلوكي والقيود البشرية، يمكننا بناء نظام مالي رقمي أكثر مرونة، يستمر في العمل بأمان حتى في حال حدوث أخطاء بشرية، وليس في حال حدوثها.
