في أواخر الشهر الماضي ، كان المتسللون أكثر قيمة من أنظمة شبكة العملة المشفرة Ronin ، فيما يُعتقد أنه ثاني أكبر سرقة للعملات المشفرة مسجلة.
كان رونين هدفًا مثيرًا للقراصنة. يدعم مشروع blockchain لعبة الفيديو Axie Infinity ذات الشعبية الكبيرة ، والتي تم تقدير مقارناتها بألعاب التجميع المدفوعة بالحركة مثل Pokémon Go.
تعتبر Axie Infinity ساخنة وتنطوي على مبالغ كبيرة من المال. يشتري اللاعبون كائنات تسمى Axies في شكل أصول رقمية فريدة تُعرف باسم الرموز المميزة غير القابلة للاستبدال. يمكن لهذه المخلوقات أن تتكاثر وتقاتل وحتى يتم استبدالها بأموال باردة وصعبة.
تضخمت شعبية اللعبة حيث يرى اللاعبون إمكانية كسب أموال حقيقية. في عام 2020 ، ورد أن لاعبًا فلبينيًا يبلغ من العمر 22 عامًا في مانيلا مع أرباحه من اللعبة. في العام الماضي ، قال لاعب آخر إنه وألعاب أخرى عبر الإنترنت غير عمله بدوام كامل في Goldman Sachs.
لكن دعائم اللعبة تواجه تحديات أمنية كبيرة. للعب ، يجب على اللاعبين نقل أموالهم من Ethereum إلى Ronin على نظام “جسر” blockchain. Ronin هو “سلسلة جانبية” من Ethereum – وهو حل توسيع يسمح للمعاملات أن تحدث بشكل أسرع من Ethereum ، والتي تزدحم بمقدار النشاط الذي تستضيفه. تضمن استضافة اللعبة على هذا السلسلة الجانبية أنها يمكن أن تنمو دون فقدان الوظائف. يمكن أن تحتفظ الجسور بالكثير من الأموال في وقت واحد ، لذلك من خلال استهداف جسر رونين الذي ينقل أصول اللاعبين بين سلاسل الكتل ، استولى المتسللون على الأصول واستولوا بالمال.
تظهر الأصول داخل اللعبة المسماة “Axies” في هذه الصورة المنشورة غير المؤرخة من لعبة Axie Infinity المستندة إلى blockchain: Sky Mavis / Reuters
وتعتقد الحكومة الأمريكية هذا الأسبوع أن قراصنة كوريين شماليين وراء عملية السرقة. لكنها ليست سوى أحدث حلقة في سلسلة سرقات التشفير عالية المستوى. في عام 2018 ، تمت سرقة أكثر من 530 مليون دولار من بورصة العملات المشفرة Coincheck. في فبراير ، سرق المتسللون 320 مليون دولار من منصة التمويل اللامركزية Wormhole (على الرغم من أن تلك المسروقات كانت في النهاية). وفي الشهر نفسه ، ربما في أكثر عمليات السرقة الإلكترونية انتشارًا لهذا العام ، وجه المدعون اتهامات إلى الزوجين الغريبين إيليا “الهولندي” ليشتنشتاين وزوجته ، هيذر مورغان ، المعروفين أيضًا بموسيقى الراب المزعجة على TikTok تحت اسم Razzlekhan – بالتآمر على سرقت من بورصة العملات المشفرة Bitfinex في عام 2016.
إنه اتجاه. في عام 2021 ، سُرقت 3.2 مليار دولار من العملات المشفرة من الأفراد والخدمات ، وفقًا لتقرير جرائم التشفير الصادر عن شركة Chainalysis ، وهي شركة تقدم بيانات وتحليلات blockchain للبنوك والحكومات والشركات الأخرى. (يتتبع رونين أيضًا الأموال المسروقة في الاختراق ، وفقًا لرويترز). الرقم يقارب ستة أضعاف هذا المبلغ المسروق في عام 2020. حتى الآن هذا العام ، تمت بالفعل سرقة أكثر من مليار دولار ، وفقًا لخبراء في Chainalysis و شركات الأمن الأخرى.
نقاط الضعف في العقود الذكية
أثارت عمليات الاختراق البارزة والمبالغ المالية الكبيرة المتورطة تساؤلات حول مدى ضعف blockchain – الذي لطالما اعتُبر مكانًا آمنًا لتخزين الأصول – أمام مثل هذه الانتهاكات.
يقول بعض الخبراء إن الزيادة في تقارير سرقة العملات المشفرة تأتي مع استخدام العملة المشفرة على نطاق واسع وفهمها بشكل أفضل من أي وقت مضى.
قال نيكولاس كريستين ، الأستاذ المساعد في جامعة كارنيجي ميلون الذي يبحث في الجريمة على الإنترنت وأمن الكمبيوتر والشبكات: “لديك الكثير من المال على الطاولة ، وعلى طاولة عامة جدًا”. مع وجود مبالغ كبيرة من المال تتجول علنًا على هذه الأنظمة الشفافة ، يمكن أن يغري المتسلل بالانقضاض.
لفهم كيف تكون هذه السرقات ممكنة ، من المهم التمييز بين blockchain والبرامج الأخرى التي تعمل فوقها ، كما يقول الخبراء. blockchain نفسها عبارة عن دفتر أستاذ عام لامركزي يسمح بمعاملات نظير إلى نظير. إنها الطبقة التأسيسية التي بنيت عليها عملة البيتكوين أو الإيثيريوم أو سولانا.
الطبقة الثانية – الطبقة التي يتم استغلالها بشكل متكرر – هي العقود الذكية التي تعمل فوق سلاسل الكتل. العقود الذكية هي اتفاقيات في التعليمات البرمجية يتم تنفيذها تلقائيًا عند استيفاء شروط العقد. التشبيه الشائع هو آلة البيع الرقمية – حدد منتجًا ، وادخل المبلغ الصحيح من المال ، وسيتم الاستغناء عن العنصر الخاص بك تلقائيًا. هذه العقود غير قابلة للنقض.
أوضح كريستين أن المتسللين يبتعدون عن المال من خلال أنظمة الطبقة الثانية هذه إما عن طريق الاستفادة من الأخطاء الموجودة في الكود ، أو الحصول على المفاتيح الخاصة التي تسمح لهم بالدخول إلى الأنظمة. حتى أن بعض المتسللين يفسدون العقود الذكية لإعادة توجيه الأموال إلى أيديهم.
في اختراق Axie Infinity ، الذي استهدف جسر Ronin ، حصل المتسلل على مفاتيح خاصة كافية للتحكم في الجسر واستنزاف الأموال. نظرًا لأن العديد من المستخدمين لديهم أصولهم في الجسر ، فقد كان العائد ضخمًا.
قال Ronghui Gu ، المؤسس والرئيس التنفيذي لشركة أمن blockchain Certik: “بروتوكول blockchain الأساسي آمن”. “لكن البرامج – العقود الذكية – التي تعمل فوقها لا تزال مثل البرامج العادية الأخرى ، والتي يمكن أن تحتوي على أخطاء برمجية ونقاط ضعف.”
من الشائع أن يحاول المتسللون استغلال رمز أحد أهدافهم. ويساعد ذلك في أن معظم التعليمات البرمجية لبرامج blockchain مفتوحة المصدر ، مما يجعل الوصول إليها سهلاً للمتسللين الذين يرغبون في الاطلاع على التعليمات البرمجية والعثور على الأخطاء المحتملة.
قال جو: “في هذا العالم يقول الناس” نحن نثق في الكود “، لكن الكود نفسه ليس جديرًا بالثقة حقًا”. أوضح Gu أنه عندما بدأ شركته الأمنية blockchain في عام 2018 ، استخدم عدد قليل فقط من الشركات خدمات أمان تابعة لجهات خارجية مثله لتدقيق وتقييم الكود الخاص بهم – وهو دعم أمني مهم – لكنه رأى الرقم يرتفع تدريجياً.
تعد عمليات تبادل العملات المشفرة أيضًا أهدافًا رئيسية للاختراق. التبادلات مثل البنوك ، فهي كيانات مركزية تمتلك مبالغ ضخمة من أموال المستخدمين والمعاملات لا رجوع فيها. مثل الجسور ، هم برنامج وسيط يميل إلى الاستهداف. قال كريستين: “هذه التبادلات الكبيرة لها هدف كبير على ظهورها”.
الضحايا تركوا مع عبء أمني كبير
بمجرد سرقة الأصول المشفرة ، قد يكون من الصعب على اللصوص صرف النقود ، خاصة إذا كانت السرقة في نطاق تسعة أرقام. وهذا يعني أن الأموال غالبًا ما تُترك في طي النسيان لسنوات ، أو حتى إلى أجل غير مسمى. خلال ذلك الوقت ، يمكن أن تتقلب قيمة الأموال المسروقة بسبب الطبيعة المتقلبة لسوق التشفير.
يقدر تقرير الجريمة المشفرة Chainalysis أن المجرمين يمتلكون حاليًا ما لا يقل عن 10 مليارات دولار من العملات المشفرة ، تم الحصول على الغالبية العظمى من خلال السرقة. بفضل الشفافية على blockchain ، من الممكن تتبع هذه المعاملات والمقتنيات ، ولكن من الصعب تحديد هوية الجاني حتى يتم صرف الأموال.
يمكن للمرء أن ينظر إلى دراسة حالة في محاولة غسل. لم تتحرك الأموال لفترة طويلة للغاية. ثم عندما حاولوا الشروع في عملية غسل الأموال ، كانت هذه فرصة لتدخل سلطات إنفاذ القانون مرة أخرى ، لأن الناس يتابعون هذه الاختراقات ، “قال كيم غراور ، مدير الأبحاث في Chainalysis.
بالنسبة لضحايا المخططات ، هناك طرق قليلة لاسترداد الأصول. قال إيثان هيلمان ، خبير الأمن السيبراني والمؤسس المشارك للخدمة السحابية BastionZero: “إذا فشل أمان أحد البنوك ، فلن يكون الأمر بهذا السوء بالنسبة للبنك”. “ولكن إذا كنت تقوم بتبادل العملات المشفرة وقام شخص ما بإفراغ كل عملاتك المشفرة فهذا أمر سيئ حقًا بالنسبة لك.” لدى البنوك تدابير معمول بها لحماية عملائها تفتقر إليها blockchain. في حالة سرقة بطاقة ائتمان الشخص ، تضمن سياسات التأمين أن الشخص سيستعيد هذه الأموال عادةً. ومع ذلك ، في blockchain ، لا يمكن التراجع عن المعاملات – لا يوجد زر للتراجع.
هذا يعني أن هناك عبئًا أمنيًا هائلاً على المستخدمين الأفراد للحفاظ على أمان أصولهم. قال كريستين: “قد لا يكون المستخدمون النهائيون بالضرورة مدركين للمخاطر الأمنية التي يتعرضون لها”. “بصراحة تامة ، حتى الأشخاص في هذا المجال ليس لديهم الوقت بالضرورة للذهاب ومراجعة بعض كود مصدر العقد الذكي.”
إذا عهد أحدهم بمفاتيحه إلى وسيط خاطئ من الطبقة الثانية ، فمن الممكن أن يكون ضحية لسرقة. بشكل جماعي ، معظمهم غير معتادين على هذه المسؤولية.
قال هيلمان إن شركات العملات المشفرة بدأت تصبح أكثر جدية بشأن الأمان ، لكن عالمًا خاليًا من الاختراقات ليس واقعيًا. قال: “لن تصبح آمنًا أبدًا ، أنت فقط تصبح أكثر أمانًا”. “لذا ، نظرًا لسهولة تسييل ثغرة مالية في أحد هذه الأنظمة ، أعتقد أنه من المحتمل أن نستمر في رؤية أشياء يتم اختراقها ، ولن يكون السؤال ،” هل هناك اختراق جديد هذا الشهر؟ ” سيكون: “ما مدى تكرار الاختراقات هذا الشهر؟”
قال غراور: “هناك أشياء مهمة تحتاج الصناعة إلى التغلب عليها من أجل النمو والتوسع حقًا ، لأنه لا يمكن أن يكون لديك صناعة متنامية صحية إذا كان الجميع يخافون من التعرض للاختراق.”