المؤلف: أونكار سينغ، كوين تيليغراف؛ الترجمة: ووتشو، جولدن فاينانس
تعتبر المحافظ الباردة متعددة التوقيعات (multisig) بشكل عام واحدة من أكثر الطرق أمانًا لتخزين الأصول الرقمية، حيث توفر حماية إضافية ضد السرقة. ومع ذلك، حتى هذه التدابير الأمنية المتقدمة ليست خالية من الأخطاء، كما أثبتت عملية اختراق Bybit في فبراير/شباط 2025.
قبل أن نتعمق في أمانها، دعونا أولاً نحلل ما هي المحفظة الباردة متعددة التوقيعات.
المحفظة الباردة هي طريقة لتخزين العملات المشفرة والتي يتم الاحتفاظ بها دون اتصال بالإنترنت. يجعل هذا الإعداد من الصعب للغاية على المتسللين الوصول إلى الأموال عن بعد. تشمل الأمثلة:
المحافظ المادية (مثل Ledger وTrezor)
المحافظ الورقية
أجهزة الكمبيوتر المعزولة (الأجهزة التي لا تتصل بالإنترنت مطلقًا).
تقلل المحافظ الباردة من خطر التعرض للهجمات الإلكترونية (مثل التصيد الاحتيالي أو البرامج الضارة) من خلال تخزين المفاتيح الخاصة دون اتصال بالإنترنت. ولكن ما هو التوقيع المتعدد؟
دعونا نكتشف ذلك.
تتطلب تقنية التوقيع المتعدد مفاتيح خاصة متعددة للموافقة على المعاملات، بينما تتطلب محافظ التوقيع الفردي مفتاحًا واحدًا فقط. يمكنك أن تفكر في الأمر مثل حساب مصرفي مشترك، حيث يتطلب أي سحب موافقة شخصين أو أكثر.
تتضمن إعدادات التوقيع المتعدد الشائعة ما يلي:
التوقيع المتعدد 2 من 3: يجب أن يوافق أي مفتاحين من المفاتيح الثلاثة على المعاملة.
توقيع متعدد 3 من 5: يتطلب أي 3 مفاتيح من أصل 5.
5 من 7 توقيعات متعددة: يجب أن يتم التوقيع على أي 5 من المفاتيح السبعة.
تعني هذه الطبقة الإضافية من الأمان أنه حتى في حالة اختراق المفتاح، لا يمكن للمهاجم تحويل الأموال من جانب واحد.
بورصات العملات المشفرة: منع الاحتيال الداخلي والسحوبات غير المصرح بها.
المستثمرون المؤسسيون: صناديق التحوط والمكاتب العائلية التي تحمي كميات كبيرة من العملات المشفرة.
المنظمة المستقلة اللامركزية (DAO): مجموعة تدير صندوقًا مشتركًا من خلال حوكمة متعددة التوقيعات.
لفهم كيفية عمل المحفظة الباردة متعددة التوقيعات، تخيل خزنة بنكية تتطلب مفتاحين أو أكثر لفتحها. لا يمكن لأي شخص بمفرده الوصول إلى المحتوى - يجب أن يكون هناك عدة أطراف موثوق بها.
تطبق المحافظ الباردة متعددة التوقيعات هذا المفهوم على الأصول الرقمية، مما يضيف أمانًا إضافيًا من خلال طلب مفاتيح خاصة متعددة للموافقة على المعاملات.
إليك كيفية عملها في عالم التشفير:
توزيع المفاتيح:يقوم مالك المحفظة بإنشاء مفاتيح خاصة متعددة وتوزيعها على الأطراف أو الأجهزة الموثوقة. على سبيل المثال، في إعداد محفظة باردة متعددة التوقيعات 3 من 5، يمكن توزيع المفاتيح على أدوار مختلفة لتعزيز الأمان والمساءلة. على سبيل المثال، يمكن إسناد المفتاح 1 إلى الرئيس التنفيذي باعتباره صانع القرار الأساسي، بينما يتم إسناد المفتاح 2 إلى المدير المالي للإشراف المالي. ويحتفظ كبير مسؤولي الشؤون القانونية بالمفتاح 3 لضمان الامتثال التنظيمي، بينما يتم تخزين المفتاح 4 كنسخة احتياطية خارج الموقع في مكان آمن ومعزول. أخيرًا، يمكن تخصيص المفتاح 5 إلى مسؤول الأمن الرئيسي، المسؤول عن بروتوكولات أمان الشبكة.
طلبات المعاملات:عندما يريد شخص ما سحب أموال من محفظة، يجب عليه أولاً إنشاء اقتراح معاملة - تمامًا مثل كتابة شيك يتطلب توقيعات متعددة لمعالجته.
عملية الموافقة:يتم بعد ذلك إرسال الاقتراح إلى الموقعين المعتمدين. في إعداد 3 من 5، يجب أن يوافق ثلاثة على الأقل من حاملي المفاتيح الخمسة على الطلب، تمامًا مثل ثلاثة موظفي بنك مختلفين يحتاجون إلى العمل معًا لفتح الخزنة. تمنع هذه العملية أي فرد من إجراء عمليات نقل غير مصرح بها، حتى لو تم اختراق أحد حاملي المفاتيح أو تصرف بشكل خبيث.
بث المعاملة: بمجرد جمع العدد المطلوب من التوقيعات، يتم بث المعاملة إلى شبكة blockchain. وبعد ذلك فقط يتم الانتهاء من عملية الدفع وتسجيلها في السجل العام. إذا لم يتم استيفاء الحد الأدنى لعدد الموافقات، تظل المعاملة غير مكتملة - تمامًا مثل البنك الذي يرفض معالجة شيك دون التوقيع المطلوب. 3. كيف تكون المحافظ الباردة متعددة التوقيعات عرضة لهجمات القراصنة؟ على الرغم من أن المحافظ متعددة التوقيعات تتمتع بمزايا أمنية، إلا أنها ليست محصنة ضد الهجمات. غالبًا ما يستغل المتسللون نقاط الضعف في التنفيذات، أو السلوك البشري، أو خدمات الطرف الثالث.
دعونا نفهم الأمر بشكل أكبر من خلال بعض الأمثلة:
في فبراير 2025، اخترق المتسللون عملية التوقيع المتعدد، مما تسبب في خسارة بورصة Bybit ما قيمته 1.5 مليار دولار من عملة Ethereum.
تتم عملية الهجوم على النحو التالي:
تستخدم Bybit محفظة باردة متعددة التوقيعات 3 من 5، مما يعني أن أي ثلاثة توقيعات معتمدة مطلوبة لتحويل الأموال.
قام المهاجم باختراق البنية التحتية لمزود محفظة الطرف الثالث (SafeWallet).
لقد قاموا باختراق أجهزة المطورين الخاصة بـ SafeWallet، وحقنوا تعليمات برمجية خبيثة، وقاموا بتغيير عملية التوقيع المتعدد. وافق فريق الأمن التابع لشركة Bybit على المعاملات التي بدت مشروعة، ولكن في الواقع، تم إعادة توجيه الأموال إلى عناوين يسيطر عليها المتسللون.
يسلط الهجوم الضوء على مخاطر الاعتماد على مقدمي خدمات تابعين لجهات خارجية فيما يتعلق بأمان المحفظة. حتى لو كانت مفاتيحك الخاصة آمنة، فإن الخدمة المخترقة قد لا تزال تعرض أموالك للخطر. 2. هجمات الهندسة الاجتماعية
تتطلب المحافظ متعددة التوقيعات الموافقة اليدوية، ويمكن للمتسللين التلاعب بالأشخاص.
على سبيل المثال، في عام 2022، استهدف المتسللون كبار الموظفين في صندوق تشفير باستخدام رسائل البريد الإلكتروني الاحتيالية. بمجرد أن تمكن المهاجمون من الوصول إلى أجهزة العمل الخاصة بهم، استخدموا البرامج الضارة لتسجيل مدخلات المفتاح الخاص. نظرًا لأن التوقيع المتعدد يتطلب موافقة 2 من 3 فقط، فإن المهاجم يتجاوز الأمان. 3. المتسللون الداخليون والتواطؤ
لا يكون النظام متعدد التوقيعات جيدًا إلا بقدر جودة المشاركين فيه. إذا كان الموظفون الضارون جزءًا من نظام 2 من 3 أو 3 من 5، فقد يتواطؤون مع المتسللين لتوقيع معاملات احتيالية. على سبيل المثال، في عام 2019، تآمر أحد المسؤولين التنفيذيين في البورصة مع المهاجمين للموافقة على عمليات سحب غير مصرح بها بقيمة 200 مليون دولار. أدى هذا الحادث إلى التحرك نحو طريقة توقيع أكثر لامركزية. 4. ثغرات العقود الذكية: تدمج بعض محافظ التوقيع المتعدد العقود الذكية لأتمتة المعاملات؛ ومع ذلك، إذا كان العقد الذكي يحتوي على خطأ في الترميز، يمكن للمهاجم استغلاله.
على سبيل المثال، في عام 2017، تسبب خطأ في محفظة Parity Multisig في تجميد المتسللين لأكثر من 150 مليون دولار من ETH، مما جعل الأموال غير متاحة. 4. كيفية جعل المحافظ الباردة متعددة التوقيعات أكثر أمانًا
كما ذكر أعلاه، لا تزال المحافظ الباردة متعددة التوقيعات واحدة من أفضل حلول الأمان، ولكن يجب عليك اتخاذ احتياطات إضافية لتقليل المخاطر، بما في ذلك:
استخدم حدًا أعلى (على سبيل المثال، 4 من 7 بدلاً من 2 من 3): مطلوب المزيد من التوقيعات = يصعب على المهاجم اختراق مفاتيح كافية.
تنفيذ مصادقة متعددة الطبقات: دمج كلمات المرور والبيانات الحيوية ووحدات أمان الأجهزة (HSM) للوصول إلى المفاتيح.
مشاركة أسرار شامير: تقسيم المفتاح الخاص إلى قطع متعددة تحتاج إلى إعادة بنائها لاستخدام المفتاح الأصلي.
جهاز توقيع معزول: استخدم أجهزة غير متصلة بالإنترنت لتوقيع المعاملات لمنع هجمات الاختراق عن بعد.
توزيع المفاتيح جغرافيًا: قم بتخزين المفاتيح في مواقع مختلفة أو مع أمناء منفصلين لتجنب نقاط الفشل الفردية.
استراتيجية تدوير المفاتيح: قم بتغيير حاملي المفاتيح بشكل منتظم وتجديد المفاتيح لتقليل خطر سرقة الوصول.
عمليات تدقيق أمنية منتظمة: قم بتعيين خبراء من جهات خارجية لمراجعة إعدادات محفظتك واكتشاف نقاط الضعف.
ضامن مستقل: قم بإشراك شركة أمنية خارجية أو طرف ثالث موثوق به كأحد الموقّعين لمنع التواطؤ الداخلي.
سجلات الوصول والتنبيهات: استخدم نظام التسجيل لمراقبة استخدام المفتاح وتلقي التنبيهات بشأن الأنشطة المشبوهة.
الحوسبة متعددة الأطراف (MPC): بروتوكول تشفير يستخدم مفاتيح خاصة لا يتم تجميعها بالكامل أبدًا، مما يضيف طبقة إضافية من الأمان. 5. هل لا تزال المحافظ الباردة متعددة التوقيعات تستحق العناء؟ بالنسبة لأولئك الذين يتطلعون إلى حماية أصول العملات المشفرة الخاصة بهم من السرقة والاحتيال، تظل المحافظ الباردة متعددة التوقيع واحدة من أفضل الخيارات. ومع ذلك، لا ينبغي تجاهل تعقيداتها ونقاط ضعفها المحتملة، وخاصة في حالة هجمات سلسلة التوريد.
نعم، لا تزال المحافظ الباردة متعددة التوقيعات واحدة من أفضل الخيارات وأكثرها أمانًا لتخزين كميات كبيرة من العملات المشفرة. ومع ذلك، فإنهم ليسوا معصومين من الخطأ. كان اختراق Bybit في فبراير 2025 بمثابة جرس إنذار: حتى المحافظ الباردة متعددة التوقيعات المعقدة يمكن اختراقها من خلال هجمات سلسلة التوريد، حيث يستغل المهاجمون نقاط الضعف في الأنظمة أو الأجهزة المستخدمة لإنشاء أو تخزين المفاتيح الخاصة.
يسلط هذا الهجوم الضوء على أهمية الاعتماد ليس فقط على الإعداد الفني لمحفظة متعددة التوقيعات، بل أيضًا على أهمية مراعاة نظام الأمان الأوسع، بما في ذلك الأمان المادي للجهاز وسلامة عملية إدارة المفاتيح.
لذا، في حين توفر المحافظ الباردة متعددة التوقيعات حماية قوية، إلا أنها تأتي أيضًا مع مجموعة خاصة بها من التحديات. تعتبر أنظمة التوقيع المتعدد معقدة في إعدادها وإدارتها، كما أن خطر فقدان المفتاح والتعرض المحتمل للتهديدات المادية يمكن أن يشكل صعوبات، خاصة للمستخدمين عديمي الخبرة. بالإضافة إلى ذلك، فإن عملية الموافقة على المعاملات البطيئة يمكن أن تكون أيضًا غير مريحة عندما يكون الوقت هو جوهر المسألة. في النهاية، فإن اتخاذ القرار بشأن ما إذا كانت المحفظة الباردة متعددة التوقيعات هي الخيار الصحيح لأمن أصولك الرقمية يعتمد على موازنة مزاياها مقابل قيودها. إذا كنت تدير كمية كبيرة من أصول العملات المشفرة ويمكنك التعامل مع التعقيد، فإن محافظ التوقيع المتعدد توفر مستوى عالٍ من الأمان يصعب مطابقته مع المحافظ التقليدية. من ناحية أخرى، إذا لم تكن مستعدًا للاستثمار في البنية التحتية اللازمة أو لم تتمكن من إدارة مفاتيح متعددة بشكل آمن، فقد يكون حل المحفظة الأبسط أكثر ملاءمة. ومن المهم أيضًا أن نتذكر أنه لا يوجد إجراء أمني خالٍ تمامًا من المخاطر. كما رأينا مع عمليات الاختراق الأخيرة، تلعب بيئة الأمان الأوسع دورًا مهمًا في حماية أصولك. لكي تكون المحافظ الباردة متعددة التوقيعات فعالة حقًا، يجب على حاملي المفاتيح أن يظلوا يقظين، وأن يحافظوا على ممارسات قوية للأمن السيبراني، وأن يقيموا المخاطر المحتملة بانتظام.
اقترحت لجنة في الكونجرس الأمريكي مشروعًا على غرار مشروع مانهاتن لتطوير الذكاء الاصطناعي العام، وحثت وزير الدفاع على إعطاء الأولوية لمشاريع الذكاء الاصطناعي الرئيسية وسط تصاعد المنافسة مع الصين.
Kikyoمن المقرر أن تحظر روسيا تعدين العملات المشفرة في المناطق التي تعاني من نقص الطاقة، بما في ذلك الأراضي الأوكرانية المحتلة، بدءًا من ديسمبر 2024، بسبب نقص الطاقة. كما تعمل الحكومة أيضًا على مراجعة اللوائح الخاصة بالعملات المشفرة، من خلال قوانين ضريبية جديدة وخطط لتبادل العملات المشفرة على المستوى الوطني.
Weatherlyأطلق مجتمع r/cryptocurrency التابع لموقع Reddit نطاق .MOON، مما يسمح للمستخدمين بإنشاء هويات رقمية والتفاعل مع نظام blockchain البيئي. وتمتد هذه الخطوة إلى ما هو أبعد من Reddit، مما يتيح للمستخدمين التفاعل مع أكثر من 865 تطبيق blockchain والتعامل بأمان مع الأصول المشفرة و NFTs.
Anaisأثار تحقيق أجرته هيئة الإذاعة البريطانية (بي بي سي) بين لوغان بول ومعاملات غير معلنة في محفظة عملات رقمية، جدلاً واسع النطاق. وفشلت محاولات إجراء مقابلة معه بسبب شبيه له واحتجاج مدبر، مما أثار تساؤلات حول ما إذا كان متلاعبًا محسوبًا أم مشاركًا غير متعمد.
Catherineفي أكتوبر/تشرين الأول، سرق رونالد سبكتور 6.5 مليون دولار من خلال عملية احتيال بالتصيد الاحتيالي متنكراً في هيئة دعم Coinbase. يكشف تحقيق ZachXBT عن أموال غير متعقبة وشركاء محتملين، مما يمنح الأمل في الحصول على أدلة جديدة من الضحايا أو المطلعين. لكن الأدلة اختفت حاليًا.
Kikyoحصل سام ألتمان، الرئيس التنفيذي لشركة OpenAI، على راتب متواضع قدره 76001 دولار في عام 2023، وهو ما يتماشى مع اعتقاده بفصل الثروة الشخصية عن نجاح الشركة. ومع ذلك، تفكر OpenAI الآن في منحه حصة أسهم بنسبة 7% كجزء من انتقال محتمل إلى نموذج هادف للربح، وسط تغييرات في القيادة والاستثمار المتزايد في الذكاء الاصطناعي.
Joyأطلقت شركة OpenAI دورة تدريبية مع Common Sense Media لمساعدة المعلمين في رياض الأطفال والمدارس الابتدائية والثانوية على دمج الذكاء الاصطناعي بشكل مسؤول، مما دفع إلى المطالبة بوضع سياسات واضحة لضمان حماية البيانات وسلامة الطلاب مع نمو الذكاء الاصطناعي في التعليم.
Catherineأطلق مطور عملات رقمية مراهق عملة رقمية تسمى QUANT، وحقق أرباحًا سريعة، ثم باع حيازاته، مما تسبب في انهيار السعر. وعلى الرغم من ردود الفعل العنيفة، انتعش المستثمرون، مما دفع قيمة العملة إلى 85 مليون دولار، بينما واصل المطور إطلاق رموز أخرى لتحقيق مكاسب سريعة.
Weatherlyتهدف خطة D.O.G.E التي وضعها إيلون ماسك وفيفيك راماسوامي إلى تبسيط القوى العاملة الفيدرالية من خلال خفض اللوائح، بما يتماشى مع جهود دونالد ترامب لتحقيق الكفاءة والحد من البيروقراطية.
Kikyoأنشأت شركة Schindlers Digital Assets في جنوب إفريقيا عملية قانونية تسمح لحاملي العملات المشفرة بشراء العقارات، مما يسهل استخدام الأصول الرقمية في معاملات العقارات. سيكون الحدث الأول عبارة عن مزاد عقاري في 21 نوفمبر 2024، مما يمثل خطوة رئيسية في دمج العملات المشفرة مع سوق العقارات.
Anais