(المصادر: https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook)

مقدمة

في البداية، أهنئك على العثور على هذا الكتيب! بغض النظر عمن أنت - إذا كنت من حاملي العملات المشفرة أو كنت ترغب في القفز إلى عالم العملات المشفرة في المستقبل، فإن هذا الكتيب سيساعدك كثيرًا. يجب عليك قراءة هذا الكتيب عن كثب وتطبيق تعاليمه في الحياة الحقيقية.

بالإضافة إلى ذلك، يتطلب فهم هذا الكتيب بشكل كامل بعض المعرفة الأساسية. ومع ذلك، من فضلك لا تقلق. أما بالنسبة للمبتدئين، فلا تخافوا من حواجز المعرفة التي يمكن التغلب عليها. إذا واجهت شيئًا لا تفهمه، وتحتاج إلى استكشاف المزيد، فنوصي بشدة باستخدام Google. ومن المهم أيضًا أن تضع في اعتبارك قاعدة أمنية واحدة: كن متشككًا! بغض النظر عن المعلومات التي تراها على الويب، يجب عليك دائمًا البحث عن مصدرين على الأقل للإحالة المرجعية.

مرة أخرى، كن دائمًا متشككًا 🙂 بما في ذلك المعرفة المذكورة في هذا الكتيب.

تعد تقنية Blockchain اختراعًا عظيمًا يُحدث تغييرًا في علاقات الإنتاج ويحل مشكلة الثقة إلى حد ما. على وجه التحديد، تخلق تقنية blockchain العديد من سيناريوهات "الثقة" دون الحاجة إلى المركزية وأطراف ثالثة، مثل الثبات، والتنفيذ على النحو المتفق عليه، ومنع التنصل. ومع ذلك، فإن الواقع قاس. هناك العديد من حالات سوء الفهم حول blockchain، وسيستخدم الأشرار سوء الفهم هذا لاستغلال الثغرة وسرقة الأموال من الناس، مما يتسبب في الكثير من الخسائر المالية. اليوم، أصبح عالم العملات المشفرة بالفعل غابة مظلمة.

يرجى تذكر قاعدتي الأمان التاليتين للبقاء على قيد الحياة في الغابة المظلمة لـ blockchain.

1. الثقة صفر: لتبسيط الأمر، ابقَ متشككًا، وابقَ كذلك دائمًا.
2. التحقق من الأمن المستمر: لكي تثق بشيء ما، عليك التحقق من صحة ما تشك فيه، وجعل التحقق من الصحة عادة.

ملاحظة: قاعدتا الأمان المذكورتان أعلاه هما المبادئ الأساسية لهذا الكتيب، وجميع مبادئ الأمان الأخرى المذكورة في هذا الكتيب مستمدة منهما.

حسنًا، هذا كل شيء من أجل مقدمتنا. لنبدأ برسم تخطيطي ونستكشف هذه الغابة المظلمة لنرى ما هي المخاطر التي سنواجهها وكيف يجب أن نتعامل معها.

رسم تخطيطي

يمكنك تصفح هذا المخطط قبل إلقاء نظرة فاحصة على بقية الكتيب. الأمر كله يتعلق بالأنشطة الرئيسية في هذا العالم (أيًا كان ما تريد تسميته: blockchain أو العملة المشفرة أو Web3)، والتي تتكون من ثلاث عمليات رئيسية: إنشاء محفظة، وعمل نسخة احتياطية للمحفظة، واستخدام المحفظة.

دعونا نتبع هذه العمليات الثلاث ونحلل كل منها.

إنشاء محفظة

جوهر المحفظة هو المفتاح الخاص (أو العبارة الأولية).

إليك كيف يبدو المفتاح الخاص:

0xa164d4767469de4faf09793ceea07d5a2f5d3cef7f6a9658916c581829ff5584

بالإضافة إلى ذلك، إليك كيف تبدو عبارة البذور:

نقطة ارتفاع قاسية في عطلة نهاية الأسبوع، استخدام كائن فضائي بالدوار الأبرياء، يثير تسليط الضوء على الخطأ

ملاحظة: نحن نستخدم Ethereum كمثال هنا. يرجى التحقق من مزيد من التفاصيل حول المفاتيح الخاصة/العبارة الأولية بنفسك.

المفتاح الخاص هو هويتك. إذا فقدت/سرقت المفتاح الخاص، فهذا يعني أنك فقدت هويتك. هناك العديد من تطبيقات المحفظة المعروفة، ولن يغطيها هذا الكتيب جميعها.

ومع ذلك، سأذكر بعض المحافظ المحددة. يرجى ملاحظة أن المحافظ المذكورة هنا يمكن الوثوق بها إلى حد ما. لكن لا يمكنني ضمان عدم تعرضهم لأي مشكلات أو مخاطر أمنية، سواء كانت متوقعة أم لا، أثناء الاستخدام (لن أكرر المزيد. يرجى أن تضع في اعتبارك دائمًا قاعدتي الأمان الرئيسيتين المذكورتين في المقدمة)

مصنفة حسب التطبيق، هناك محافظ الكمبيوتر الشخصي، ومحافظ امتداد المتصفح، ومحافظ الهاتف المحمول، ومحافظ الأجهزة، ومحافظ الويب. فيما يتعلق بالاتصال بالإنترنت، يمكن تقسيمها بشكل أساسي إلى محافظ باردة ومحافظ ساخنة. قبل أن نقفز إلى عالم العملات المشفرة، يجب علينا أولاً أن نفكر في الغرض من المحفظة. لا يحدد الغرض المحفظة التي يجب أن نستخدمها فحسب، بل يحدد أيضًا كيفية استخدامنا للمحفظة.

بغض النظر عن نوع المحفظة التي تختارها، هناك شيء واحد مؤكد: بعد أن يكون لديك ما يكفي من الخبرة في هذا العالم، فإن محفظة واحدة ليست كافية.

هنا يجب أن نأخذ في الاعتبار مبدأ أمني آخر: العزلة، أي لا تضع كل بيضك في سلة واحدة. كلما زاد استخدام المحفظة، زادت خطورتها. تذكر دائمًا: عند تجربة أي شيء جديد، قم أولاً بإعداد محفظة منفصلة وجربها لفترة من الوقت بمبلغ صغير من المال. حتى بالنسبة للمخضرمين في مجال العملات المشفرة مثلي، إذا لعبت بالنار، فمن السهل أن تصاب بالحرق.

تحميل

يبدو هذا بسيطًا، لكنه في الحقيقة ليس سهلاً. الأسباب هي كما يلي:

1. لا يستطيع العديد من الأشخاص العثور على الموقع الرسمي الحقيقي، أو سوق التطبيقات المناسب، وفي النهاية يقومون بتثبيت محفظة مزيفة.
2. كثير من الناس لا يعرفون كيفية تحديد ما إذا كان التطبيق الذي تم تنزيله قد تم العبث به أم لا.

وبالتالي، بالنسبة للعديد من الأشخاص، قبل دخولهم إلى عالم blockchain، تكون محفظتهم فارغة بالفعل.

لحل المشكلة الأولى أعلاه، هناك بعض التقنيات للعثور على الموقع الرسمي الصحيح، مثل

• باستخدام جوجل
• باستخدام المواقع الرسمية المعروفة، مثل CoinMarketCap
• سؤال الأشخاص والأصدقاء الموثوقين

يمكنك إجراء إحالة مرجعية للمعلومات التي تم الحصول عليها من هذه المصادر المختلفة، وفي النهاية هناك حقيقة واحدة فقط:) تهانينا، لقد وجدت الموقع الرسمي الصحيح.

بعد ذلك، يجب عليك تنزيل التطبيق وتثبيته. إذا كانت محفظة للكمبيوتر الشخصي، بعد التنزيل من الموقع الرسمي، تحتاج إلى تثبيته بنفسك. يوصى بشدة بالتحقق مما إذا كان قد تم العبث بالارتباط قبل التثبيت. على الرغم من أن هذا التحقق قد لا يمنع الحالات التي تم فيها تغيير كود المصدر بالكامل (بسبب الاحتيال الداخلي، أو القرصنة الداخلية، أو احتمال اختراق الموقع الرسمي، وما إلى ذلك). إلا أنه يمكن أن يمنع حالات مثل التلاعب الجزئي في كود المصدر، هجوم الرجل في الوسط ، إلخ.

طريقة التحقق مما إذا كان الملف قد تم العبث به هي التحقق من تناسق الملف. عادة هناك طريقتان:

• الشيكات التجزئة: مثل MD5 وSHA256 وما إلى ذلك. يعمل MD5 في معظم الحالات، ولكن لا يزال هناك خطر ضئيل لحدوث تصادم التجزئة، لذلك نختار عمومًا SHA256، وهو آمن بدرجة كافية.
• التحقق من توقيع GPG: هذه الطريقة تحظى أيضًا بشعبية كبيرة. يوصى بشدة بإتقان أدوات وأوامر وأساليب GPG. على الرغم من أن هذه الطريقة صعبة بعض الشيء بالنسبة للقادمين الجدد، إلا أنك ستجدها مفيدة جدًا بمجرد التعرف عليها.

ومع ذلك، لا يوجد العديد من المشاريع في عالم العملات المشفرة التي توفر التحقق. لذلك، من حسن الحظ العثور على واحدة. على سبيل المثال، إليك محفظة بيتكوين تسمى Sparrow Wallet. تقول صفحة التنزيل الخاصة بها "التحقق من الإصدار"، وهو أمر مثير للإعجاب حقًا، وهناك إرشادات واضحة لكلا الطريقتين المذكورتين أعلاه، لذا يمكنك استخدامها كمرجع:

https://sparrowwallet.com/download/

ذكرت صفحة التنزيل أداتين من أدوات GPG:

• جناح GPG لنظام التشغيل MacOS.
• Gpg4win لنظام التشغيل Windows.

إذا انتبهت، فستجد أن صفحات التنزيل لكلا أداتي GPG تقدم بعض الإرشادات حول كيفية التحقق من تناسق كلتا الطريقتين. ومع ذلك، لا يوجد دليل خطوة بخطوة، وهذا يعني أنك بحاجة إلى التعلم والممارسة بنفسك :)

إذا كانت محفظة ملحقة للمتصفح، مثل MetaMask، الشيء الوحيد الذي يجب عليك الانتباه إليه هو رقم التنزيل والتقييم في سوق Chrome الإلكتروني. على سبيل المثال، حصل برنامج MetaMask على أكثر من 10 ملايين عملية تنزيل وأكثر من 2000 تقييم (على الرغم من أن التقييم الإجمالي ليس مرتفعًا). قد يعتقد بعض الأشخاص أن عدد التنزيلات والتقييمات قد يكون مبالغًا فيه. والحقيقة هي أنه من الصعب جدًا تزييف هذا العدد الكبير.

المحفظة المتنقلة يشبه محفظة ملحق المتصفح. ومع ذلك، تجدر الإشارة إلى أن متجر التطبيقات لديه إصدارات مختلفة لكل منطقة. العملة المشفرة محظورة في البر الرئيسي للصين، لذلك إذا قمت بتنزيل المحفظة باستخدام حساب متجر التطبيقات الصيني الخاص بك، فهناك اقتراح واحد فقط: لا تستخدمها، وقم بتغييرها إلى حساب آخر في منطقة مختلفة مثل الولايات المتحدة ثم أعد التنزيل هو - هي. بالإضافة إلى ذلك، سيقودك الموقع الرسمي الصحيح أيضًا إلى طريقة التنزيل الصحيحة (مثل imToken وTrust Wallet وما إلى ذلك. من المهم للمواقع الرسمية أن تحافظ على أمان عالٍ للموقع. إذا تم اختراق الموقع الرسمي، فستكون هناك مشاكل كبيرة). ).

إذا كانت محفظة الأجهزة، يُنصح بشدة بشرائه من الموقع الرسمي. لا تشتريها من المتاجر عبر الإنترنت. بمجرد استلام المحفظة، يجب عليك أيضًا الانتباه إلى ما إذا كانت المحفظة غير صالحة. بالطبع، هناك بعض الخدع الموجودة على العبوة والتي يصعب اكتشافها. على أية حال، عند استخدام محفظة الأجهزة، يجب عليك إنشاء العبارة الأولية وعنوان المحفظة ثلاث مرات على الأقل من البداية. والتأكد من عدم تكرارها.

إذا كانت محفظة ويب، نوصي بشدة بعدم استخدامه. ما لم يكن لديك أي خيار، تأكد من أنه أصلي ثم استخدمه باعتدال ولا تعتمد عليه أبدًا.

عبارة ذاكري

بعد إنشاء المحفظة، الشيء الرئيسي الذي نتعامل معه مباشرة هو العبارة التذكيرية/العبارة الأولية، وليس المفتاح الخاص، الذي يسهل تذكره. هناك اصطلاحات قياسية للعبارات ذاكري (على سبيل المثال، BIP39)؛ هناك 12 كلمة إنجليزية بشكل عام؛ يمكن أن تكون أرقامًا أخرى (مضاعفات 3)، ولكن ليس أكثر من 24 كلمة. وإلا فإنه معقد للغاية وليس من السهل تذكره. إذا كان عدد الكلمات أقل من 12، فإن الأمان غير موثوق. من الشائع رؤية 12/15/18/21/24 كلمة. في عالم البلوكشين، تعتبر الكلمات المكونة من 12 كلمة شائعة وآمنة بدرجة كافية. ومع ذلك، لا تزال هناك محافظ أجهزة قوية مثل Ledger التي تبدأ بـ 24 كلمة. بالإضافة إلى الكلمات الإنجليزية، تتوفر أيضًا بعض اللغات الأخرى، مثل الصينية واليابانية والكورية وما إلى ذلك. فيما يلي قائمة مكونة من 2048 كلمة للرجوع إليها:

https://github.com/bitcoin/bips/blob/master/bip-0039/bip-0039-wordlists.md

عند إنشاء محفظة، تكون العبارة الأولية الخاصة بك عرضة للخطر. يرجى العلم أنك لست محاطًا بأشخاص أو كاميرات ويب أو أي شيء آخر يمكنه سرقة العبارة الأولية الخاصة بك.

يرجى أيضًا الانتباه إلى ما إذا تم إنشاء العبارة الأولية بشكل عشوائي. يمكن للمحافظ المعروفة عادةً أن تولد عددًا كافيًا من العبارات الأولية العشوائية. ومع ذلك، يجب عليك دائما أن تكون حذرا. من الصعب معرفة ما إذا كان هناك خطأ ما في المحفظة. كن صبورًا لأنه قد يكون من المفيد جدًا تطوير هذه العادات من أجل أمانك. وأخيرًا، في بعض الأحيان يمكنك حتى التفكير في قطع الاتصال بالإنترنت لإنشاء محفظة، خاصة إذا كنت ستستخدم المحفظة كمحفظة باردة. قطع الاتصال بالإنترنت يعمل دائمًا.

بدون مفتاح

بدون مفتاح يعني عدم وجود مفتاح خاص. نحن هنا نقسم Keyless إلى سيناريوهين رئيسيين (لسهولة الشرح. مثل هذا التقسيم ليس معيارًا صناعيًا)

• الاحتجاز. ومن الأمثلة على ذلك البورصة والمحفظة المركزية، حيث يحتاج المستخدمون فقط إلى تسجيل الحسابات ولا يمتلكون المفتاح الخاص. يعتمد أمنهم بشكل كامل على هذه المنصات المركزية.
• غير الاحتجازية. يمتلك المستخدم قوة تحكم تشبه المفتاح الخاص، وهو ليس مفتاحًا خاصًا فعليًا (أو عبارة أولية). ويعتمد على منصات سحابية معروفة للاستضافة والمصادقة/الترخيص. ومن ثم يصبح أمان النظام الأساسي السحابي هو الجزء الأكثر عرضة للخطر. ويستخدم آخرون الحوسبة الآمنة متعددة الأطراف (MPC) للتخلص من نقطة واحدة من المخاطر، كما يقومون أيضًا بالشراكة مع الأنظمة الأساسية السحابية الشهيرة لتحقيق أقصى قدر من تجربة المستخدم.

أنا شخصياً استخدمت أنواعًا مختلفة من الأدوات بدون مفتاح. توفر التبادلات المركزية ذات الموارد المالية الكبيرة والسمعة الطيبة أفضل تجربة. طالما أنك لست مسؤولاً شخصيًا عن فقدان الرمز المميز (على سبيل المثال، إذا تم اختراق معلومات حسابك)، فستقوم البورصات المركزية عادةً بتعويض خسارتك. يبدو برنامج Keyless المستند إلى MPC واعدًا جدًا ويجب الترويج له. لدي خبرة جيدة في استخدام ZenGo وFireblocks وSafeheron. المزايا واضحة:

• أصبحت هندسة خوارزمية MPC أكثر نضجًا في سلاسل الكتل المعروفة، ولا يلزم إجراؤها إلا للمفاتيح الخاصة.
• يمكن لمجموعة واحدة من الأفكار أن تحل مشكلة سلاسل الكتل المختلفة التي تحتوي على مخططات متعددة التوقيعات مختلفة إلى حد كبير، مما يخلق تجربة مستخدم متسقة، وهو ما نسميه غالبًا: التوقيع المتعدد العالمي.
• يمكنه التأكد من عدم ظهور المفتاح الخاص الحقيقي أبدًا وحل نقطة الخطر الفردية من خلال حساب التوقيع المتعدد.
• إن دمجها مع السحابة (أو تقنية Web2.0) لا يجعل MPC آمنًا فحسب، بل يخلق أيضًا تجربة جيدة.

ومع ذلك، لا تزال هناك بعض العيوب:

• لا يمكن لجميع المشاريع مفتوحة المصدر تلبية المعايير المقبولة في الصناعة. المزيد من العمل ينبغي أنهائه.
• يستخدم العديد من الأشخاص بشكل أساسي Ethereum فقط (أو blockchain القائم على EVM). على هذا النحو، فإن الحل متعدد التوقيع المبني على نهج العقد الذكي مثل Gnosis Safe يكفي.

بشكل عام، بغض النظر عن الأداة التي تستخدمها، طالما أنك تشعر بالأمان وإمكانية التحكم ولديك تجربة جيدة، فهي أداة جيدة.

لقد قمنا حتى الآن بتغطية ما نحتاج إلى معرفته فيما يتعلق بإنشاء المحافظ. سيتم تغطية قضايا الأمان العامة الأخرى في الأقسام اللاحقة.

قم بعمل نسخة احتياطية من محفظتك

هذا هو المكان الذي ستقع فيه العديد من الأيدي الجيدة في الفخاخ، بما في ذلك أنا. لم أقم بالنسخ الاحتياطي بشكل صحيح وكنت أعلم أن ذلك سيحدث عاجلاً أم آجلاً. لحسن الحظ، لم تكن محفظة تحتوي على قدر كبير من الأصول وساعدني الأصدقاء في SlowMist في استعادتها. ومع ذلك، فقد كانت تجربة مخيفة لا أعتقد أن أي شخص يرغب في خوضها على الإطلاق. لذا اربط حزام الأمان ودعنا نتعلم كيفية عمل نسخة احتياطية لمحفظتك بأمان.

عبارة ذاكري / مفتاح خاص

عندما نتحدث عن عمل نسخة احتياطية للمحفظة، فإننا نتحدث بشكل أساسي عن عمل نسخة احتياطية من العبارة التذكيرية (أو المفتاح الخاص. وللتيسير، سنستخدم العبارة التذكيرية فيما يلي). يمكن تصنيف معظم العبارات التذكيرية على النحو التالي:

• نص عادي
• مع كلمة المرور
• متعدد التوقيع
• مشاركة شامير السرية، أو SSS للاختصار

وسأشرح باختصار كل نوع.

نص عادي، النص العادي سهل الفهم. بمجرد حصولك على تلك الكلمات الإنجليزية الـ 12، فإنك تمتلك الأصول الموجودة في المحفظة. يمكنك التفكير في إجراء بعض الخلط الخاص، أو حتى استبدال إحدى الكلمات بشيء آخر. كلاهما من شأنه أن يزيد من صعوبة اختراق المتسللين لمحفظتك، ومع ذلك، سيكون لديك صداع كبير إذا نسيت القواعد. ذاكرتك ليست مضادة للرصاص. صدقني، سوف تتشابك ذاكرتك بعد عدة سنوات. قبل بضع سنوات، عندما استخدمت محفظة أجهزة Ledger، قمت بتغيير ترتيب العبارة المكونة من 24 كلمة. وبعد بضع سنوات، نسيت الأمر ولم أكن متأكدًا مما إذا كنت قد استبدلت أي كلمة. كما ذكرنا سابقًا، تم حل مشكلتي باستخدام برنامج خاص لفك الشفرات يستخدم القوة الغاشمة لتخمين التسلسل والكلمات الصحيحة.

مع كلمة المرور، وفقًا للمعايير، يمكن أن تحتوي العبارات التذكيرية على كلمة مرور. لا تزال نفس العبارة ولكن باستخدام كلمة المرور، سيتم الحصول على عبارة أولية مختلفة. يتم استخدام العبارة الأولية لاشتقاق سلسلة من المفاتيح الخاصة والمفاتيح العامة والعناوين المقابلة. لذلك لا ينبغي عليك فقط عمل نسخة احتياطية من العبارات التذكيرية، ولكن أيضًا كلمة المرور. بالمناسبة، يمكن أن تحتوي المفاتيح الخاصة أيضًا على كلمة مرور ولها معاييرها الخاصة، مثل BIP 38 للبيتكوين وKeystore للإيثيريوم.

التوقيع المتعددكما يوحي الاسم، يتطلب الأمر توقيعات من عدة أشخاص للوصول إلى المحافظ. إنها مرنة للغاية حيث يمكنك وضع القواعد الخاصة بك. على سبيل المثال، إذا كان هناك 3 أشخاص لديهم المفتاح (كلمات تذكيرية أو مفاتيح خاصة)، فيمكنك مطالبة شخصين على الأقل بالتوقيع للوصول إلى المحافظ. كل blockchain لديه حل خاص به متعدد التوقيع. تدعم معظم محافظ Bitcoin المعروفة التوقيع المتعدد. ومع ذلك، في إيثريوم، يتم دعم التوقيع المتعدد بشكل أساسي من خلال العقود الذكية، مثل Gnosis Safe. علاوة على ذلك، أصبحت MPC، أو الحوسبة الآمنة متعددة الأطراف أكثر شيوعًا. فهي توفر تجربة مشابهة للتوقيع المتعدد التقليدي، ولكن بتكنولوجيا مختلفة. على عكس التوقيع المتعدد، فإن MPC لا تعتمد على blockchain ويمكنها العمل مع جميع البروتوكولات.

نظام الضمان الاجتماعي، مشاركة شامير السرية، يقوم SSS بتقسيم البذرة إلى مشاركات متعددة (عادة، تحتوي كل مشاركة على 20 كلمة). لاستعادة المحفظة، يجب جمع واستخدام عدد محدد من المشاركات. للحصول على التفاصيل، راجع أفضل ممارسات الصناعة أدناه:

https://support.keyst.one/advanced-features/recovery-phrase/import-or-create-shamir-backup
https://wiki.trezor.io/Shamir_backup

إن استخدام حلول مثل التوقيع المتعدد ونظام SSS سيمنحك راحة البال ويتجنب مخاطر النقطة الواحدة، ولكنه قد يجعل الإدارة معقدة نسبيًا وفي بعض الأحيان قد تشارك أطراف متعددة. هناك دائمًا حل وسط بين الراحة والأمان. الأمر متروك للفرد ليقرر ولكن لا يتكاسل أبدًا في المبادئ.

التشفير

التشفير هو مفهوم واسع جدًا. لا يهم إذا كان التشفير متماثلًا أو غير متماثل أو يستخدم تقنيات متقدمة أخرى؛ طالما أن الرسالة المشفرة يمكن فك تشفيرها بسهولة بواسطتك أو بواسطة فريق التعامل مع الطوارئ الخاص بك بسهولة ولكن لا يمكن لأي شخص آخر بعد عقود، فهذا تشفير جيد.

واستنادًا إلى مبدأ الأمان المتمثل في "الثقة المعدومة"، عندما نقوم بعمل نسخة احتياطية للمحافظ، علينا أن نفترض إمكانية اختراق أي خطوة، بما في ذلك البيئات المادية مثل الخزنة. ضع في اعتبارك أنه لا يوجد أحد غيرك يمكن الوثوق به تمامًا. في الواقع، في بعض الأحيان لا يمكنك حتى أن تثق بنفسك، لأن ذكرياتك قد تتلاشى أو تكون في غير محلها. ومع ذلك، لن أضع افتراضات متشائمة طوال الوقت، وإلا فسيقودني ذلك إلى بعض النتائج غير المرغوب فيها.

عند إجراء النسخ الاحتياطي، يجب إيلاء اعتبار خاص للتعافي من الكوارث. الغرض الرئيسي من التعافي من الكوارث هو تجنب نقطة خطر واحدة. ماذا سيحدث إذا رحلت أو تعطلت البيئة التي تخزن فيها النسخة الاحتياطية؟ لذلك، بالنسبة للأشياء المهمة، يجب أن يكون هناك شخص للتعافي من الكوارث ويجب أن تكون هناك نسخ احتياطية متعددة.

لن أشرح كثيرًا كيفية اختيار شخص التعافي من الكوارث لأن ذلك يعتمد على من تثق به. سأركز على كيفية عمل النسخ الاحتياطية المتعددة. دعونا نلقي نظرة على بعض الأشكال الأساسية لمواقع النسخ الاحتياطي:

• سحاب
• ورق
• جهاز
• مخ

سحابلا يثق الكثير من الأشخاص في النسخ الاحتياطي على السحابة، ويعتقدون أنه عرضة لهجمات القراصنة. في نهاية المطاف، الأمر كله يتعلق بالجانب الذي يبذل المزيد من الجهد - المهاجم أم المدافع - من حيث القوة البشرية والميزانيات. أنا شخصياً أؤمن بالخدمات السحابية التي تدعمها Google وApple وMicrosoft وغيرها، لأنني أعرف مدى قوة فرق الأمان لديهم والمبلغ الذي أنفقوه على الأمن. بالإضافة إلى مكافحة المتسللين الخارجيين، أهتم أيضًا كثيرًا بالتحكم في مخاطر الأمن الداخلي وحماية البيانات الخاصة. يقوم مقدمو الخدمة القلائل الذين أثق بهم بعمل أفضل نسبيًا في هذه المجالات. ولكن لا يوجد شيء مطلق. إذا اخترت أيًا من هذه الخدمات السحابية لإجراء نسخ احتياطي للبيانات المهمة (مثل المحافظ)، فسوف أقوم بالتأكيد بتشفير المحافظ مرة أخرى على الأقل.

أوصي بشدة بإتقان GPG. ويمكن استخدامه "للتحقق من التوقيع"، ويوفر أمانًا قويًا للتشفير وفك التشفير في هذه الأثناء. يمكنك معرفة المزيد عن GPG على:

https://www.ruanyifeng.com/blog/2013/07/gpg.html

حسنًا، لقد أتقنت خدمة GPG 🙂 الآن بعد أن قمت بتشفير البيانات ذات الصلة في محفظتك (عبارة تذكيرية أو مفتاح خاص) باستخدام GPG في بيئة آمنة غير متصلة بالإنترنت، يمكنك الآن رمي الملفات المشفرة مباشرة في هذه الخدمات السحابية وحفظها هناك. كل شيء سيكون جيدا. ولكنني أريد أن أذكرك هنا: لا تفقد أبدًا المفتاح الخاص لـ GPG الخاص بك أو تنسى كلمة مرور المفتاح الخاص...

في هذه المرحلة، قد تجد أن هذا المستوى الإضافي من الأمان مزعج للغاية: يجب عليك التعرف على GPG وعمل نسخة احتياطية من مفتاح GPG الخاص وكلمات المرور الخاصة بك. في الواقع، إذا قمت بجميع الخطوات المذكورة أعلاه، فأنت بالفعل على دراية بهذه العملية ولن تجدها صعبة أو مزعجة. لن أقول المزيد لأن الممارسة تؤدي إلى الكمال.

إذا كنت تريد توفير بعض الجهد، فهناك احتمال آخر ولكن قد يتم خصم أمانه. لا يمكنني قياس الخصم بدقة، لكن أحيانًا أكون كسولًا عندما أستخدم بعض الأدوات المعروفة للمساعدة. هذه الأداة هي 1Password. يدعم الإصدار الأخير من 1Password بالفعل التخزين المباشر للبيانات المتعلقة بالمحفظة، مثل الكلمات التذكيرية وكلمات المرور وعناوين المحفظة وما إلى ذلك، وهو أمر مناسب للمستخدمين. يمكن لأدوات أخرى (مثل Bitwarden) تحقيق شيء مماثل، لكنها ليست ملائمة.

ورق، تأتي العديد من محافظ الأجهزة مزودة بالعديد من البطاقات الورقية عالية الجودة التي يمكنك كتابة عباراتك التذكيرية عليها (بنص عادي، SSS، وما إلى ذلك). بالإضافة إلى الورق، يستخدم بعض الأشخاص أيضًا ألواح فولاذية (مقاومة للحريق، ومقاومة للماء، ومقاومة للتآكل، بالطبع، لم أجربها). اختبره بعد نسخ العبارات التذكيرية، وإذا كان كل شيء يعمل، ضعه في مكان تشعر فيه بالأمان، مثل الخزانة. أنا شخصياً أحب استخدام الورق كثيرًا، لأنه إذا تم تخزينه بشكل صحيح، يكون للورق عمر أطول بكثير من الأجهزة الإلكترونية.

جهاز، يشير إلى جميع أنواع المعدات؛ تعد الإلكترونيات نوعًا شائعًا للنسخ الاحتياطي، مثل الكمبيوتر، أو iPad، أو iPhone، أو محرك الأقراص الثابتة، وما إلى ذلك، اعتمادًا على التفضيل الشخصي. علينا أيضًا أن نفكر في النقل الآمن بين الأجهزة. أشعر بالراحة عند استخدام أساليب نظير إلى نظير مثل AirDrop وUSB حيث يصعب على الوسيط اختطاف العملية. أنا بطبيعة الحال أشعر بعدم الارتياح إزاء حقيقة أن المعدات الإلكترونية قد تتعطل بعد بضع سنوات، لذلك أحافظ على عادة فحص الجهاز مرة واحدة على الأقل في السنة. هناك بعض الخطوات المتكررة (مثل التشفير) يمكنك الرجوع إليها في قسم السحابة.

مخ‎الاعتماد على ذاكرتك أمر مثير. في الواقع، كل شخص لديه "قصر الذاكرة" الخاص به. الذاكرة ليست غامضة ويمكن تدريبها على العمل بشكل أفضل. هناك أشياء معينة أكثر أمانًا بالفعل مع الذاكرة. أما الاعتماد على الدماغ فقط فهو اختيار شخصي. لكن انتبه إلى خطرين: أولاً، تتلاشى الذاكرة مع مرور الوقت وقد تسبب الارتباك؛ الخطر الآخر هو احتمال تعرضك لحادث. سأتوقف هنا وأتيح لك استكشاف المزيد.

الآن تم عمل نسخة احتياطية لكم جميعا. لا تقم بالتشفير أكثر من اللازم، وإلا فسوف تعاني من نفسك بعد عدة سنوات. وفقًا لمبدأ الأمان المتمثل في "التحقق المستمر"، يجب التحقق بشكل مستمر من طرق التشفير والنسخ الاحتياطي الخاصة بك، سواء كانت مفرطة أم لا، سواء بشكل منتظم أو عشوائي. يعتمد تكرار التحقق على ذاكرتك وليس عليك إكمال العملية بأكملها. وطالما أن العملية صحيحة، فإن التحقق الجزئي يعمل أيضًا. وأخيرًا، من الضروري أيضًا الانتباه إلى سرية وأمن عملية المصادقة.

حسنًا، لنأخذ نفسًا عميقًا هنا. البدايه اصعب مرحله. الآن بعد أن أصبحت جاهزًا، دعنا ندخل هذه الغابة المظلمة 🙂

كيفية استخدام محفظتك

بمجرد إنشاء محفظتك وعمل نسخة احتياطية منها، يصل الأمر إلى التحدي الحقيقي. إذا كنت لا تتنقل بين أصولك بشكل متكرر، أو كنت بالكاد تتفاعل مع أي عقود ذكية من DeFi أو NFT أو GameFi أو Web3، وهو المصطلح الشائع الذي يشار إليه كثيرًا هذه الأيام، فيجب أن تكون أصولك آمنة نسبيًا.

مكافحة غسل الأموال

ومع ذلك، فإن عبارة "آمنة نسبيًا" لا تعني "لا يوجد خطر على الإطلاق". لأنك "لا تعلم أيهما يأتي أولاً، الغد أم الحوادث"، أليس كذلك؟. لماذا هو؟ فكر في الأمر، من أين حصلت على العملة المشفرة؟ لم يأتِ من العدم، أليس كذلك؟ قد تواجه AML (مكافحة غسيل الأموال) على جميع العملات المشفرة التي تحصل عليها في أي وقت. وهذا يعني أن العملة المشفرة التي تحتفظ بها في الوقت الحالي قد تكون قذرة، وإذا لم تكن محظوظًا، فقد يتم تجميدها مباشرة على السلسلة. وفقًا للتقارير العامة، قامت شركة Tether ذات مرة بتجميد بعض أصول USDT بناءً على طلب من وكالات إنفاذ القانون. يمكن العثور على قائمة الأموال المجمدة هنا.

https://dune.xyz/phabc/usdt—banned-addresses

يمكنك التحقق مما إذا تم تجميد العنوان بواسطة Tether من عقد USDT.

https://etherscan.io/token/0xdac17f958d2ee523a2206206994597c13d831ec7#readContract

استخدم عنوان المحفظة الهدف كمدخل int isBlackListed للتحقق. السلاسل الأخرى التي تقبل USDT لديها طريقة تحقق مماثلة.

ومع ذلك، لا ينبغي أبدًا تجميد عملات BTC وETH الخاصة بك. إذا حدث هذا يومًا ما في المستقبل، فسوف ينهار الإيمان باللامركزية أيضًا. معظم حالات تجميد الأصول المشفرة التي سمعناها اليوم حدثت بالفعل في منصات مركزية (مثل Binance وCoinbase وما إلى ذلك) ولكن ليس على blockchain. عندما تبقى عملتك المشفرة في منصات التبادل المركزية، فإنك لا تمتلك فعليًا أيًا منها. عندما تقوم المنصات المركزية بتجميد حسابك، فإنها في الواقع تلغي إذنك بالتداول أو السحب. قد يكون مفهوم التجميد مضللاً للمبتدئين في المنطقة. ونتيجة لذلك، قد تنشر بعض وسائل الإعلام الذاتية المتهورة جميع أنواع نظريات المؤامرة حول عملة البيتكوين.

على الرغم من أن أصول BTC وETH الخاصة بك لن يتم تجميدها على blockchain، إلا أن البورصات المركزية قد تجمد أصولك وفقًا لمتطلبات AML بمجرد نقل أصولك إلى هذه المنصات وتورطها في أي قضايا مفتوحة تعمل عليها جهات إنفاذ القانون.

لتجنب مشكلات مكافحة غسل الأموال بشكل أفضل، اختر دائمًا المنصات والأفراد ذوي السمعة الجيدة كطرف مقابل لك. هناك في الواقع بعض الحلول لهذا النوع من المشاكل. على سبيل المثال، في Ethereum، يستخدم جميع الأشرار تقريبًا والأشخاص الذين يهتمون كثيرًا بخصوصيتهم، Tornado Cash لخلط العملات. لن أتعمق أكثر في هذا الموضوع نظرًا لأن معظم الأساليب هنا تُستخدم لفعل الشر.

المحفظة الباردة

هناك طرق مختلفة لاستخدام المحفظة الباردة. من وجهة نظر المحفظة، يمكن اعتبارها محفظة باردة طالما أنها غير متصلة بأي شبكة. ولكن كيف يمكن استخدامه عندما يكون غير متصل بالإنترنت؟ أولاً وقبل كل شيء، إذا كنت ترغب فقط في الحصول على عملة مشفرة، فهذا ليس بالأمر الكبير. يمكن أن توفر المحفظة الباردة تجربة ممتازة من خلال العمل مع محفظة Watch-only، مثل imToken وTrust Wallet وما إلى ذلك. ويمكن تحويل هذه المحافظ إلى محافظ مشاهدة فقط عن طريق إضافة عناوين المحفظة المستهدفة ببساطة.

إذا أردنا إرسال عملة مشفرة باستخدام المحافظ الباردة، فإليك الطرق الأكثر استخدامًا:

• رمز الاستجابة السريعة
• USB
• بلوتوث

كل هذا يتطلب تطبيقًا مخصصًا (يسمى Light App هنا) للعمل مع المحفظة الباردة. سيكون تطبيق Light متاحًا عبر الإنترنت مع محفظة Watch-only المذكورة أعلاه. وبمجرد أن نفهم المبدأ الأساسي الأساسي، ينبغي أن نكون قادرين على فهم هذه الأساليب. المبدأ الأساسي هو: في النهاية، يتعلق الأمر فقط بمعرفة كيفية بث المحتوى الموقع على blockchain. العملية التفصيلية هي كما يلي:

• يتم نقل المحتوى المراد التوقيع عليه بواسطة Light App إلى Cold Wallet بإحدى هذه الوسائل.
• تتم معالجة التوقيع بواسطة المحفظة الباردة التي تحتوي على المفتاح الخاص ثم يتم إرساله مرة أخرى إلى تطبيق Light App بنفس الطريقة
• يبث تطبيق Light المحتوى الموقع على blockchain.

لذلك بغض النظر عن الطريقة المستخدمة، رمز QR أو USB أو Bluetooth، يجب أن تتبع العملية المذكورة أعلاه. وبطبيعة الحال، قد تختلف التفاصيل من طرق مختلفة. على سبيل المثال، يحتوي رمز الاستجابة السريعة على سعة معلومات محدودة، لذلك عندما تكون بيانات التوقيع كبيرة جدًا، سيتعين علينا تقسيمها.

يبدو الأمر مزعجًا بعض الشيء، لكنه يصبح أفضل عندما تعتاد عليه. ستشعر أيضًا بإحساس كامل بالأمان. ومع ذلك، لا تعتبره 100% آمنًا لأنه لا تزال هناك مخاطر هنا، وقد حدثت العديد من حالات الخسائر الفادحة بسبب هذه المخاطر. فيما يلي نقاط الخطر:

• لم يتم التحقق من العنوان المستهدف لتحويل العملة بعناية، مما أدى إلى نقل العملة إلى شخص آخر. الناس كسالى ومهملون في بعض الأحيان. على سبيل المثال، في معظم الأحيان يقومون فقط بالتحقق من بداية ونهاية عنوان المحفظة بدلاً من التحقق من العنوان بالكامل. هذا يترك بابًا خلفيًا للأشرار. سيقومون بتشغيل برامج للحصول على عنوان المحفظة بنفس البتات القليلة الأولى والأخيرة مثل عنوان الهدف المطلوب ثم استبدال عنوان هدف تحويل العملة الخاص بك بالعنوان الخاضع لسيطرتهم باستخدام بعض الحيل.
• يُسمح بالعملات المعدنية إلى عناوين غير معروفة. عادةً ما يكون التفويض هو آلية الرموز المميزة للعقد الذكي في إيثريوم، وهي وظيفة "الموافقة"، حيث تكون إحدى الوسيطتين هي عنوان التفويض المستهدف والأخرى هي الكمية. لا يفهم العديد من الأشخاص هذه الآلية، لذلك قد يسمحون بعدد غير محدود من الرموز المميزة إلى العنوان الهدف، وعند هذه النقطة يكون للعنوان الهدف الإذن بنقل كل تلك الرموز المميزة بعيدًا. وهذا ما يسمى سرقة العملة المصرح بها، وهناك أنواع أخرى من هذه التقنية، لكنني لن أتوسع فيها هنا.
• بعض التوقيعات التي تبدو غير مهمة في الواقع تحتوي على مصائد ضخمة في الخلف، ولن أتعمق فيها الآن، ولكن سأشرح التفاصيل لاحقًا.
• ربما لم توفر المحفظة الباردة ما يكفي من المعلومات الضرورية، مما يتسبب في إهمالك وسوء تقديرك.

الأمر كله يتلخص في نقطتين:

• آلية أمان تفاعل المستخدم الخاصة بـ "ما تراه هو ما توقعه" مفقودة.
• عدم وجود معرفة أساسية ذات صلة للمستخدم.

المحفظة الساخنة

بالمقارنة مع المحفظة الباردة، فإن المحفظة الساخنة تحتوي بشكل أساسي على جميع المخاطر التي قد تتعرض لها المحفظة الباردة. بالإضافة إلى ذلك، هناك خطر آخر: خطر سرقة العبارة السرية (أو المفتاح الخاص). في هذه المرحلة، هناك المزيد من المشكلات الأمنية التي يجب مراعاتها مع المحافظ الساخنة، مثل أمان بيئة التشغيل. إذا كانت هناك فيروسات مرتبطة ببيئة التشغيل، فهناك خطر التعرض للسرقة. هناك أيضًا محافظ ساخنة تحتوي على نقاط ضعف معينة يمكن من خلالها سرقة العبارة السرية مباشرة.

بالإضافة إلى وظيفة تحويل العملات العادية، إذا كنت تريد التفاعل مع التطبيقات اللامركزية الأخرى (DeFi، وNFT، وGameFi، وما إلى ذلك)، فيجب عليك إما الوصول إليها مباشرة باستخدام متصفحك الخاص أو التفاعل مع التطبيقات اللامركزية المفتوحة في متصفح جهاز الكمبيوتر الخاص بك عبر بروتوكول WalletConnect.

ملاحظة: تشير مراجع التطبيقات اللامركزية في هذا الكتيب افتراضيًا إلى مشاريع العقود الذكية التي تعمل على سلاسل كتل الإيثريوم.

افتراضيًا، لا تؤدي مثل هذه التفاعلات إلى سرقة العبارة السرية، إلا في حالة وجود مشكلة في تصميم أمان المحفظة نفسه. من خلال عمليات التدقيق الأمني وتاريخ الأبحاث الأمنية لدينا، هناك خطر سرقة العبارات السرية للمحفظة مباشرة بواسطة جافا سكريبت الضارة على الصفحة المستهدفة. ومع ذلك، فهذه حالة نادرة، لأنها في الواقع خطأ منخفض المستوى للغاية ومن غير المرجح أن ترتكبه أي محفظة معروفة.

لا يمثل أي من هذه الأمور اهتماماتي الفعلية هنا، فهي قابلة للتحكم بالنسبة لي (وللك أيضًا). أكبر ما يقلقني/قلقي هو: كيف يضمن كل تكرار لمحفظة معروفة عدم زرع أي تعليمات برمجية ضارة أو باب خلفي؟ المعنى الضمني لهذا السؤال واضح: لقد تحققت من أن الإصدار الحالي من المحفظة لا يحتوي على مشكلات أمنية وأنا مرتاح لاستخدامه، لكنني لا أعرف مدى أمان الإصدار التالي. ففي نهاية المطاف، لا أستطيع أنا أو فريقي الأمني الحصول على الكثير من الوقت والطاقة للقيام بكل عمليات التحقق.

لقد وقعت العديد من حوادث سرقة العملات المعدنية بسبب تعليمات برمجية ضارة أو أبواب خلفية كما هو موضح هنا، مثل CoPay وAToken وما إلى ذلك. ويمكنك البحث عن الحوادث المحددة بنفسك.

وفي هذه الحالة هناك عدة طرق لفعل الشر:

• عند تشغيل المحفظة، تقوم التعليمات البرمجية الضارة بحزم العبارة السرية ذات الصلة وتحميلها مباشرة إلى الخادم الذي يتحكم فيه المتسللون.
• عندما تكون المحفظة قيد التشغيل ويبدأ المستخدم عملية نقل، يتم استبدال معلومات مثل العنوان المستهدف والمبلغ سرًا في الواجهة الخلفية للمحفظة، ويصعب على المستخدم ملاحظة ذلك.
• إفساد قيم إنتروبيا الأرقام العشوائية المرتبطة بتوليد العبارات السرية، مما يجعل فك شفرتها سهلًا نسبيًا.

الأمان هو شيء من الجهل والمعرفة، وهناك أشياء كثيرة يمكن تجاهلها أو تفويتها بسهولة. لذا، بالنسبة للمحافظ التي تحتوي على أصول مهمة، فإن قاعدة الأمان الخاصة بي بسيطة أيضًا: لا توجد تحديثات سهلة عندما يكون استخدامها كافيًا.

ما هو أمان DeFi

عندما نتحدث عن DApp، يمكن أن يكون DeFi أو NFT أو GameFi وما إلى ذلك. أساسيات الأمان الخاصة بها هي نفسها في الغالب، ولكن سيكون لها تفاصيلها الخاصة. لنأخذ أولاً DeFi كمثال للتوضيح. عندما نتحدث عن أمان DeFi، ماذا نعني بالضبط؟ دائمًا ما ينظر الأشخاص في الصناعة إلى العقود الذكية فقط. يبدو أنه عندما تكون العقود الذكية جيدة، سيكون كل شيء على ما يرام. حسنًا، في الواقع، هذا أبعد ما يكون عن الحقيقة.

يتضمن أمان DeFi المكونات التالية على الأقل:

• أمن العقود الذكية
• أمن مؤسسة Blockchain
• أمن الواجهة الأمامية
• أمن الاتصالات
• الأمن الإنساني
• الامن المالي
• أمن الامتثال

أمن العقود الذكية

يعد أمان العقود الذكية بالفعل أهم نقطة دخول للتدقيق الأمني، ويمكن العثور على معايير التدقيق الأمني الخاصة بـ SlowMist للعقود الذكية على:

https://www.slowmist.com/service-smart-contract-security-audit.html

بالنسبة للاعبين المتقدمين، إذا كان أمان جزء العقد الذكي نفسه قابلاً للتحكم (سواء كان بإمكانهم تدقيق أنفسهم أو فهم تقارير التدقيق الأمني الصادرة عن المنظمات المهنية)، فلا يهم إذا كانت الأجزاء الأخرى آمنة. تعتبر إمكانية التحكم مفهومًا صعبًا، ويعتمد بعضها على قوة اللاعب. على سبيل المثال، لدى اللاعبين متطلبات معينة فيما يتعلق بالمخاطر الناجمة عن سلطة العقود الذكية المفرطة. إذا كان المشروع نفسه قويًا والأشخاص الذين يقفون وراءه يتمتعون بسمعة طيبة، فلن تكون المركزية الكاملة ذات أهمية. ومع ذلك، بالنسبة لتلك المشاريع الأقل شهرة أو المثيرة للجدل أو الناشئة، إذا أدركت أن العقود الذكية للمشروع تنطوي على مخاطر مفرطة فيما يتعلق بالأذونات، خاصة إذا كانت هذه الأذونات يمكن أن تؤثر أيضًا على رأس المال أو أرباحك، فمن المؤكد أنك ستكون مترددًا.

خطر الإذن المفرط دقيق للغاية. في كثير من الحالات، يكون من واجب مدير المشروع إجراء الحوكمة ذات الصلة وحالات الطوارئ المتعلقة بالمخاطر. لكن بالنسبة للمستخدمين، فهذا اختبار للطبيعة البشرية. ماذا لو قرر الفريق فعل الشر؟ لذلك هناك ممارسة مقايضة في الصناعة: إضافة Timelock للتخفيف من مخاطر الأذونات المفرطة، على سبيل المثال:

Compound، وهو مشروع DeFi راسخ ومعروف، ووحدات العقد الذكية الأساسية، المراقب المالي والحوكمة، وكلاهما لديه آلية Timelock مضافة إلى إذن المشرف الخاص بهما:
المراقب المالي (0x3d9819210a31b4961b30ef54be2aed79b9c9cd3b)
الحوكمة(0xc0da02939e1441f497fd74f78ce7decb17b66529)
المشرف على هاتين الوحدتين
قفل الوقت (0x6d903f6003cca6255d85cca4d3b5e5146dc33925)

يمكنك معرفة مباشرة على السلسلة أن Timelock (متغير التأخير) هو 48 ساعة (172800 ثانية):

وهذا يعني أنه إذا احتاج مسؤول Compound إلى تغيير بعض المتغيرات الرئيسية للعقد الذكي المستهدف، فسيتم تسجيل المعاملة بعد بدئها على blockchain، ولكن يجب الانتظار لمدة 48 ساعة قبل إتمام المعاملة وتنفيذها. هذا يعني أنه إذا كنت ترغب في ذلك، يمكنك تدقيق كل عملية من المسؤول، وسيكون لديك 48 ساعة على الأقل للتصرف. على سبيل المثال، إذا لم تكن متأكدًا، يمكنك سحب أموالك خلال 48 ساعة.

هناك طريقة أخرى للتخفيف من مخاطر الإذن المفرط من المشرف وهي إضافة توقيع متعدد، مثل استخدام Gnosis Safe لإدارة التوقيعات المتعددة، بحيث لن يكون هناك ديكتاتور على الأقل. وتجدر الإشارة هنا إلى أن multisig يمكن أن يكون "ملابس الإمبراطور الجديدة". على سبيل المثال، قد يحمل شخص واحد عدة مفاتيح. ولذلك، يجب تحديد استراتيجية multisig للمشروع المستهدف بوضوح. من يحمل المفاتيح، ويجب أن تكون هوية كل حامل مفتاح حسنة السمعة.

ومن الجدير بالذكر هنا أن أي استراتيجية أمنية قد تؤدي إلى مشكلة "ملابس الإمبراطور الجديدة"، والتي قد تبدو الاستراتيجية وكأنها نفذت بشكل جيد، ولكنها في الواقع ليست كذلك، مما يؤدي إلى وهم الأمن. لنأخذ مثالاً آخر، يبدو Timelock جيدًا على الورق. في الواقع، كانت هناك حالات كان فيها نظام Timelock الذي تم نشره بواسطة بعض المشاريع له أبواب خلفية. بشكل عام، لا يبحث المستخدمون في الكود المصدري لـ Timelock، ولن يفهموه بالضرورة حتى لو فعلوا ذلك، لذا يضع المسؤول بابًا خلفيًا هناك، ولن يلاحظ أحد حقًا لفترة طويلة بما فيه الكفاية.

بالإضافة إلى خطر الأذونات المفرطة، فإن العناصر الأخرى لأمن العقود الذكية تعتبر بالغة الأهمية أيضًا. ولكنني لن أتوسع هنا، مراعاة لشروط الفهم. وإليك نصيحتي: يجب عليك على الأقل أن تتعلم قراءة تقرير التدقيق الأمني، والممارسة تؤدي إلى الإتقان.

أمن مؤسسة Blockchain

يشير الأمان الأساسي لـ Blockchain إلى أمان blockchain نفسه، مثل أمان دفتر الأستاذ المتفق عليه، وأمن الآلة الافتراضية وما إلى ذلك. إذا كان أمان blockchain نفسه مثيرًا للقلق، فإن مشاريع العقود الذكية التي تعمل على السلسلة ستعاني بشكل مباشر. من المهم جدًا اختيار blockchain يتمتع بآلية أمنية وسمعة كافية، وأفضل مع احتمالية أكبر لطول العمر.

أمن الواجهة الأمامية

أمان الواجهة الأمامية هو الشيطان حقًا. إنه قريب جدًا من المستخدمين، ومن السهل بشكل خاص خداع المستخدمين ودفعهم إلى الخداع. ربما ينصب التركيز الرئيسي للجميع على المحفظة وأمن العقود الذكية، مما يؤدي إلى التغاضي بسهولة عن أمان الواجهة الأمامية. أريد أن أؤكد مرة أخرى أن أمان الواجهة الأمامية هو الشيطان! اسمحوا لي أن أحفر أعمق.

أكبر ما يقلقني فيما يتعلق بأمان الواجهة الأمامية هو: كيف أعرف أن العقد الذي أتفاعل معه من صفحة الواجهة الأمامية المحددة هذه هو العقد الذكي الذي أتوقعه؟

ويعود انعدام الأمن هذا بشكل رئيسي إلى عاملين:

• داخل الوظيفه
• طرف ثالث

من السهل فهم الوظيفة الداخلية. على سبيل المثال، يستبدل المطورون سرًا عنوان العقد الذكي المستهدف في صفحة الواجهة الأمامية بعنوان عقد به باب خلفي، أو يزرعون نصًا برمجيًا للتصيد الاحتيالي. عند زيارتك لهذه الصفحة الأمامية المزورة، قد يتم تنفيذ سلسلة من العمليات اللاحقة التي تتضمن عملات مشفرة في محفظتك في فخ. قبل أن تدرك، ستكون القطع النقدية قد اختفت بالفعل.

يشير الطرف الثالث بشكل أساسي إلى نوعين:

• الأول هو أن سلسلة التبعيات مخترقة. على سبيل المثال، تحتوي تبعية الطرف الثالث التي تستخدمها صفحة الواجهة الأمامية على باب خلفي يتم التسلل إليه إلى صفحة الواجهة الأمامية المستهدفة مع العبوة والإصدار. فيما يلي بنية تبعية حزمة SushiSwap (للتوضيح فقط، لا يعني ذلك بالضرورة أن المشروع الموجود في لقطة الشاشة به مثل هذه المشكلة):
  

• المثال الآخر هو ملفات JavaScript البعيدة التابعة لجهات خارجية والتي يتم استيرادها بواسطة صفحة الواجهة الأمامية. إذا تم اختراق ملف JavaScript هذا، فمن الممكن أن تتأثر صفحة الواجهة الأمامية المستهدفة أيضًا، مثل OpenSea (للتوضيح فقط، لا يعني ذلك بالضرورة أن المشروع الموجود في لقطة الشاشة به مثل هذه المشكلة):
  

السبب وراء قولنا أن هذا ممكن ولكن ليس بالتأكيد هو أنه يمكن تخفيف المخاطر إذا أشار المطورون إلى ملف JavaScript بعيد لجهة خارجية على صفحة الواجهة الأمامية بالطريقة التالية:

<script src=”https://example.com/example-framework.js” النزاهة=”sha384-Li9vy3DqF8tnTXuiaAJuML3ky+er10rcgNR/VqsVpcw+ThHmYcwiB1pbOxEbzJr7″ crossorigin=”مجهول”>

النقطة الأساسية هنا هي آلية أمان لطيفة لـ HTML5: سمة التكامل في العلامات (آلية SRI). تدعم السلامة SHA256 وSHA384 وSHA512. إذا كانت ملفات JavaScript التابعة لجهة خارجية لا تستوفي فحص سلامة التجزئة، فلن يتم تحميل الملفات. يمكن أن تكون هذه طريقة جيدة لمنع تنفيذ التعليمات البرمجية غير المقصودة. ومع ذلك، فإن استخدام هذه الآلية يتطلب المورد المستهدف لدعم استجابة CORS. للحصول على التفاصيل، راجع ما يلي:

https://developer.mozilla.org/zh-CN/docs/Web/Security/Subresource_Integrity

أمن الاتصالات

دعونا نركز على أمان HTTPS في هذا القسم. أولاً، يجب أن يستخدم موقع الويب المستهدف HTTPS، ويجب عدم السماح مطلقًا بنقل النص العادي عبر HTTP. وذلك لأن نقل النص العادي عبر HTTP من السهل جدًا أن يتم اختراقه بواسطة هجمات الوسيط. في الوقت الحاضر، أصبح HTTPS شائعًا جدًا كبروتوكول نقل آمن. إذا كان هناك هجوم وسيط على HTTPS، وقام المهاجمون بإدخال JavaScript ضار في الواجهة الأمامية لتطبيق الويب، فسيتم عرض تنبيه خطأ واضح جدًا في شهادة HTTPS في متصفح المستخدم.

دعونا نستخدم حادثة MyEtherWallet كمثال لتوضيح هذه النقطة.

كانت MyEtherWallet عبارة عن محفظة تطبيقات ويب شائعة جدًا، وحتى الآن لا تزال مشهورة جدًا. ومع ذلك، فهي لم تعد مجرد محفظة لتطبيقات الويب. كما ذكرنا سابقًا، لا أشجع بشدة على استخدام محافظ تطبيقات الويب لأسباب أمنية. بالإضافة إلى العديد من المشكلات المتعلقة بأمان الواجهة الأمامية، يمثل اختطاف HTTPS أيضًا خطرًا محتملاً كبيرًا.

في 24 أبريل 2018، وقع حادث أمني كبير يتعلق باختطاف HTTPS في MyEtherWallet. ملخص الحادثة تجدونه هنا:

https://www.reddit.com/r/MyEtherWallet/comments/8eloo9/official_statement_regarding_dns_spoofing_of/
https://www.reddit.com/r/ethereum/comments/8ek86t/warning_myetherwalletcom_highjacked_on_google/

في الهجوم، قام المتسلل باختطاف خدمة DNS (Google Public DNS) التي يستخدمها عدد كبير من مستخدمي MyEtherWallet عبر BGP، وهو بروتوكول توجيه قديم، مما أدى بشكل مباشر إلى عرض تنبيهات خطأ HTTPS في متصفح كل مستخدم عندما حاولوا الزيارة موقع MyEtherWallet. في الواقع، يجب على المستخدمين التوقف عندما يرون هذا التنبيه، لأنه يشير بشكل أساسي إلى أن صفحة الويب المستهدفة قد تم اختراقها. ومع ذلك، في الواقع، تجاهل العديد من المستخدمين التنبيه بسرعة وشرعوا في مواصلة تفاعلاتهم مع الموقع المختطف، لأنهم لم يفهموا المخاطر الأمنية الكامنة وراء تنبيه خطأ HTTPS على الإطلاق.

نظرًا لأن صفحة الويب المستهدفة قد تم اختطافها وقام المتسلل بإدخال جافا سكريبت ضار هناك، وبناءً على تفاعل المستخدمين، كان المتسللون قد نجحوا في سرقة مفتاحهم الخاص بالنص العادي وتحويل أموالهم (معظمها ETH).

هذه بالتأكيد حالة كلاسيكية حيث استخدم المتسللون تقنيات اختطاف BGP لسرقة العملات المشفرة. إنها مجرد مبالغة. وبعد ذلك حدثت عدة حالات مماثلة، ولن أذكرها بالتفصيل هنا. بالنسبة للمستخدم، هناك شيء واحد فقط يحتاج إلى الاهتمام حقًا: إذا قررت استخدام محفظة تطبيق ويب، أو حاولت التفاعل مع DApp، فتأكد دائمًا من إيقاف الصفحة وإغلاقها عندما ترى تنبيه خطأ في شهادة HTTPS! وستكون أموالك على ما يرام. هناك حقيقة قاسية في مجال الأمن: عندما يكون هناك خطر، لا تمنح المستخدمين أي خيارات. كما لو قمت بذلك، سيكون هناك دائمًا مستخدمون يقعون في الفخ لأي سبب كان. في الواقع، يحتاج فريق المشروع إلى تحمل المسؤولية. اعتبارًا من اليوم، توجد بالفعل حلول أمنية فعالة جدًا لمشكلة اختطاف HTTPS المذكورة أعلاه: يحتاج فريق المشروع إلى تكوين HSTS بشكل صحيح. HSTS يرمز إلى HTTP Strict Transport Security؛ إنها آلية سياسة أمان الويب التي تدعمها معظم المتصفحات الحديثة. إذا تم تمكين HSTS، في حالة حدوث خطأ في شهادة HTTPS، سيجبر المتصفح المستخدمين على التوقف عن الوصول إلى تطبيقات الويب المستهدفة ولا يمكن تجاوز التقييد. الآن فهمت ما أعنيه؟

أمن الطبيعة البشرية

هذا القسم سهل الفهم. على سبيل المثال، فريق المشروع ذو عقلية شريرة ويتصرف بطريقة غير شريفة. لقد ذكرت بعض المحتويات ذات الصلة في الأقسام السابقة، لذلك لن أخوض في مزيد من التفاصيل هنا. سيتم تغطية المزيد في الأقسام اللاحقة.

الامن المالي

ينبغي احترام الأمن المالي بعمق. في DeFi، يولي المستخدمون أقصى اهتمام لسعر الرمز المميز وإرجاعه. إنهم يريدون عائدًا متفوقًا، أو على الأقل ثابتًا على الاستثمار. بمعنى آخر، كمستخدم، ألعب اللعبة من أجل الفوز، وإذا خسرت، على الأقل أحتاج إلى الاقتناع بأنها لعبة عادلة. هذه مجرد الطبيعة البشرية.

الأمن المالي في DeFi عرضة للهجمات في أشكال:

• ممارسات الإطلاق غير العادلة مثل التعدين المسبق أو البيع المسبق؛
• هجوم الحيتان المشفرة؛
• ضخ و تفريغ؛
• أحداث البجعة السوداء، مثل شلال السوق المفاجئ؛ أو لنفترض أنه عندما يتم تداخل بروتوكول DeFi أو تشغيله مع رموز DeFi/Tokens أخرى، فإن أمانه/موثوقيته سيعتمد بشكل كبير على البروتوكولات الأخرى
• الهجمات الفنية الأخرى أو ما نشير إليه بالتقنيات العلمية مثل الهجوم الأمامي وهجوم الساندويتش وهجمات القروض السريعة وما إلى ذلك

متطلبات التوافق

تعد متطلبات الامتثال موضوعًا كبيرًا جدًا، ويعتبر AML (مكافحة غسيل الأموال) المذكور سابقًا مجرد واحدة من النقاط. هناك أيضًا جوانب مثل KYC (اعرف عميلك)، والعقوبات، ومخاطر الأوراق المالية، وما إلى ذلك. في الواقع، بالنسبة لنا نحن المستخدمين، هذه ليست شيئًا تحت سيطرتنا. عندما نتفاعل مع مشروع معين، لأنه قد يخضع للوائح ذات الصلة في بعض البلدان، فقد يتم جمع معلومات الخصوصية الخاصة بنا. قد لا تهتم بقضايا الخصوصية هذه، ولكن هناك أشخاصًا يهتمون بها.

على سبيل المثال، في أوائل عام 2022، وقع حادث صغير: قررت بعض المحافظ دعم بروتوكول بروتوكول إثبات ملكية العنوان (AOPP):

لقد ألقيت نظرة على تصميم البروتوكول، وتبين أن المحافظ التي تدعم AOPP قد تتسبب في تسريب خصوصية المستخدم. قد يتعرف المنظمون على الترابط بين بورصة العملات المشفرة المنظمة وعنوان محفظة خارجي غير معروف.

https://gitlab.com/aopp/address-ownership-proof-protocol

لا عجب أن العديد من المحافظ الموجهة نحو الخصوصية تشعر بالقلق الشديد بشأن تعليقات المستخدم وسرعان ما قامت بإزالة دعم AOPP من منتجاتها. ولكن لنكون صادقين: تصميم البروتوكول مثير للاهتمام للغاية. لقد لاحظت أن بعض المحافظ ليس لديها خطط لإزالة الدعم لـ AOPP، مثل EdgeWallet. رأيهم هو أن AOPP لا يكشف بالضرورة عن المزيد من خصوصية المستخدم، بل على العكس من ذلك فهو يساعد على تعزيز تداول العملة المشفرة. في العديد من بورصات العملات الرقمية الخاضعة للتنظيم، لا يُسمح للمستخدمين بالسحب إلى عنوان محفظة خارجي معين، قبل أن يتمكن من إثبات ملكيته له.

في البداية، رفضت محفظة الأجهزة الشهيرة Trezor إزالة دعم AOPP. لكنها اضطرت لاحقًا إلى تقديم تنازلات وفعلت ذلك بسبب ضغوط المجتمع والمستخدمين على تويتر.

كما ترون، إنها حادثة صغيرة ولكن بالنسبة لبعض الأشخاص، الخصوصية مهمة حقًا. هذا لا يعني أننا يجب أن نخالف اللوائح، ونتجاهل متطلبات الامتثال تمامًا. في واقع الأمر، أعتقد أنه من الضروري أن يكون هناك مستوى معين من التسوية لمتطلبات الامتثال. لن نستمر في التعمق في هذا الموضوع، فلا تتردد في استيعاب المحتويات بطرقك الخاصة.

لقد قمنا حتى الآن بتغطية غالبية المحتوى في قسم أمان DeFi.

علاوة على ذلك، هناك أيضًا مشكلات أمنية ناتجة عن الإضافات أو التحديثات المستقبلية. كثيرًا ما نقول إن "الوضع الأمني ديناميكي، وليس ثابتًا". على سبيل المثال، تقوم معظم فرق المشاريع في الوقت الحاضر بإجراء عمليات تدقيق أمني وإظهار تقارير تدقيق أمني نظيفة. إذا قرأت التقارير عالية الجودة بعناية، ستلاحظ أن هذه التقارير ستشرح بوضوح النطاق والإطار الزمني والمعرف الفريد للمحتويات التي تم تدقيقها (على سبيل المثال، عنوان العقد الذكي مفتوح المصدر الذي تم التحقق منه، أو عنوان الالتزام في GitHub repo، أو تجزئة ملف التعليمات البرمجية المصدر الهدف). وهذا يعني أن التقرير ثابت، ولكن إذا لاحظت في المشروع أي انحرافات عما هو مذكور في التقرير، فيمكنك الإشارة إلى ذلك.

الأمن NFT

يمكن تطبيق جميع المحتويات المذكورة سابقًا حول أمان DeFi على أمان NFT، ولدى NFT نفسها عدد قليل من موضوعات الأمان المحددة والفريدة من نوعها، على سبيل المثال:

• أمن البيانات الوصفية
• أمان التوقيع

تشير البيانات الوصفية بشكل أساسي إلى الصورة المضمنة والصور المتحركة والمحتويات الأخرى. يوصى بالرجوع إلى OpenSea بشأن المعايير المحددة:

https://docs.opensea.io/docs/metadata-standards

هناك نوعان من المخاوف الأمنية الرئيسية التي قد تنشأ هنا:

• أحدهما هو أن عنوان URI الذي توجد به الصورة (أو الصورة المتحركة) قد لا يكون جديرًا بالثقة. يمكن أن تكون مجرد خدمة مركزية يتم اختيارها عشوائيًا، فمن ناحية لا يوجد ضمان للتوافر، ومن ناحية أخرى يمكن لفريق المشروع تعديل الصور حسب الرغبة، وبالتالي لن تصبح NFT "مقتنيات رقمية" غير قابلة للتغيير. يوصى عمومًا باستخدام حلول التخزين المركزية مثل IPFS وArweave واختيار خدمة بوابة URI المعروفة.
• آخر هو احتمال تسرب الخصوصية. قد تلتقط خدمة URI المحددة عشوائيًا المعلومات الأساسية للمستخدم (مثل IP ووكيل المستخدم وما إلى ذلك)

يعد أمان التوقيع مصدر قلق كبير آخر هنا، وسنوضحه أدناه.

كن حذرا مع التوقيع!

أمان التوقيع هو شيء أريد أن أذكره على وجه التحديد حيث أن هناك الكثير من المخاطر ويجب عليك توخي الحذر طوال الوقت. لقد وقعت عدة حوادث، خاصة فيما يتعلق بتداول NFT. ومع ذلك، فقد لاحظت أنه لا يفهم الكثير من الأشخاص كيفية الاستعداد لمثل هذه المشكلات الأمنية والتعامل معها. السبب الأساسي هو أن قلة من الناس قد أوضحوا المشكلة بما فيه الكفاية.

المبدأ الأمني رقم 1 والأكثر أهمية في أمان التوقيع هو: ما تراه هو ما توقعه. أي أن الرسالة الموجودة في طلب التوقيع الذي تلقيته هي ما يجب أن تتوقعه بعد التوقيع. بعد التوقيع عليها، يجب أن تكون النتيجة هي ما توقعته بدلاً من أن تكون شيئًا قد تندم عليه.

تم ذكر بعض تفاصيل أمان التوقيع في قسم "المحفظة الباردة". إذا كنت لا تتذكر، أود أن أقترح عليك إعادة النظر في هذا القسم. وفي هذا القسم سنركز على جوانب أخرى.

كان هناك العديد من عمليات اختراق NFT المعروفة على OpenSea حوالي عام 2022. وفي 20 فبراير 2022، كان هناك انتشار كبير. الأسباب الجذرية هي:

• وقع المستخدمون على طلبات إدراج NFT على OpenSea.
• قام المتسللون بالتصيد الاحتيالي للحصول على التوقيعات ذات الصلة من المستخدمين.

في الواقع، ليس من الصعب على المتسللين الحصول على التوقيع ذي الصلة. يحتاج الهاكر إلى 1). إنشاء الرسالة المراد توقيعها، 2). تجزئة ذلك، 3). خداع المستخدم المستهدف للتوقيع على الطلب (سيكون هذا توقيعًا أعمى، مما يعني أن المستخدمين لا يعرفون فعليًا ما الذي يوقعونه)، 4). الحصول على المحتوى الموقع وإنشاء البيانات. في هذه المرحلة، تم اختراق المستخدم.

سأستخدم Opensea كمثال (في الواقع، يمكن أن يكون أي سوق NFT). بعد أن يسمح المستخدم المستهدف بعملية إدراج NFT في السوق، سيقوم المتسلل بإنشاء الرسالة ليتم توقيعها. بعد تجزئته باستخدام Keccak256، سيظهر طلب التوقيع على صفحة التصيد الاحتيالي. سيرى المستخدمون شيئًا مثل ما يلي:

انظر بتمعن. ما نوع المعلومات التي يمكننا الحصول عليها من نافذة MetaMask المنبثقة؟ معلومات الحساب ورصيد الحساب، وموقع الويب المصدر الذي يأتي منه طلب التوقيع، والرسالة التي يوشك المستخدمون على التوقيع عليها و... لا شيء آخر. كيف يمكن للمستخدمين الشك في أن الكارثة في الطريق بالفعل؟ وكيف يمكنهم أن يدركوا أنه بمجرد النقر على زر "تسجيل"، سيتم سرقة NFTs الخاصة بهم.

هذا في الواقع مثال على التوقيع الأعمى. لا يُطلب من المستخدمين التوقيع داخل سوق NFT. وبدلاً من ذلك، يمكن خداع المستخدمين للدخول إلى أي موقع ويب للتصيد الاحتيالي للتوقيع على الرسالة دون فهم كامل للمعنى الفعلي لهذه التوقيعات وعواقبها. لسوء الحظ، المتسللين يعرفون. كمستخدم، فقط ضع في اعتبارك: لا تقم أبدًا بالتوقيع الأعمى على أي شيء. كانت OpenSea تواجه مشكلة التوقيع الأعمى، وقد قاموا بإصلاحها من خلال اعتماد EIP-712 بعد 20 فبراير 2022. ومع ذلك، بدون التوقيع الأعمى، قد يظل المستخدمون مهملين ومُخترقين بطرق أخرى.

السبب الأكثر أهمية لحدوث ذلك هو أن التوقيع لا يقتصر على اتباع سياسة المصدر نفسه للمتصفح. يمكنك ببساطة فهم ذلك على النحو التالي: يمكن أن تضمن سياسة المصدر نفسه أن الإجراء يحدث فقط ضمن نطاق معين ولن يتم عبور النطاقات، إلا إذا أراد فريق المشروع عمدًا حدوث عبور النطاق. إذا كان التوقيع يتبع سياسة المصدر نفسه، فحتى إذا قام المستخدم بتوقيع طلب توقيع تم إنشاؤه بواسطة المجال غير المستهدف، فلن يتمكن المتسللون من استخدام التوقيع للهجمات ضمن المجال المستهدف. وسأتوقف هنا قبل الخوض في مزيد من التفاصيل. لقد لاحظت مقترحات جديدة بشأن تحسين الأمن على مستوى البروتوكول، وآمل أن يتم تحسين هذا الوضع في أقرب وقت ممكن.

لقد ذكرنا معظم تنسيقات الهجوم الرئيسية التي يمكن أن تحدث عند توقيع رسالة، ولكن هناك في الواقع عددًا لا بأس به من المتغيرات. بغض النظر عن مدى اختلاف مظهرها، فإنها تتبع أنماطًا متشابهة. أفضل طريقة لفهمها هي إعادة إنتاج الهجوم من البداية إلى النهاية بأنفسكم، أو حتى إنشاء بعض أساليب الهجوم الفريدة. على سبيل المثال، هجوم طلب التوقيع المذكور هنا يحتوي في الواقع على الكثير من التفاصيل، مثل كيفية إنشاء الرسالة المراد توقيعها، وما الذي يتم إنشاؤه بالضبط بعد التوقيع؟ هل هناك أي طرق اعتماد أخرى غير "الموافقة" (نعم، على سبيل المثال: زيادة السماح). حسنًا، سيكون الأمر تقنيًا جدًا إذا قمنا بالتوسع هنا. الشيء الجيد هو أنك يجب أن تفهم بالفعل أهمية توقيع الرسالة.

يمكن للمستخدمين منع مثل هذه الهجمات من المصدر عن طريق إلغاء التفويض/الموافقة. فيما يلي بعض الأدوات المعروفة التي يمكنك استخدامها.

• الموافقات رمزية

  https://etherscan.io/tokenapprovalchecker
  هذه هي أداة التحقق من التفويض والإلغاء التي يوفرها المتصفح الرسمي لـ Ethereum. تحتوي سلاسل الكتل الأخرى المتوافقة مع EVM على شيء مشابه حيث تم تطوير متصفحات blockchain الخاصة بها بشكل أساسي بواسطة Etherscan. على سبيل المثال:
  https://bscscan.com/tokenapprovalchecker
  https://hecoinfo.com/tokenapprovalchecker
  https://polygonscan.com/tokenapprovalchecker
  https://snowtrace.io/tokenapprovalchecker
  https://cronoscan.com/tokenapprovalchecker

• إبطال. كاش

  https://revoke.cash/
  مدرسة قديمة جدًا تتمتع بشهرة جيدة ودعم متعدد السلاسل بقوة متزايدة

• محفظة رابي الممتدة

  https://rabby.io/
  إحدى المحافظ التي تعاوننا معها كثيرًا. عدد سلاسل الكتل المتوافقة مع EVM حيث توفر وظيفة "التحقق من التفويض والإلغاء" هو أكبر عدد رأيته على الإطلاق

⚠️ملحوظة: إذا كنت تريد فهمًا أكثر شمولاً وتعميقًا لـ SIGNATURE SECURITY، فيرجى التحقق من الامتدادات في إضافات المستودع التالية كمرجع:

https://github.com/evilcos/darkhandbook
صحيح أن معرفة SIGNATURE SECURITY تمثل تحديًا كبيرًا للمبتدئين. يقوم المستودع بتجميع المحتوى ذي الصلة، وستساعدك قراءته بعناية على فهم المعرفة الأمنية. وهكذا، لن تجد صعوبة بعد الآن. (إذا كنت تستطيع قراءة وفهم كل شيء، فأعتقد أن المعرفة الأمنية لن تكون صعبة بالنسبة لك بعد الآن 🙂

كن حذرًا مع طلبات التوقيع غير البديهية!

أود أن أذكر بشكل خاص خطرًا آخر: خطر غير بديهي.

ما هو غير بديهي؟ على سبيل المثال، أنت بالفعل على دراية كبيرة بـ Ethereum، وأصبحت OG لجميع أنواع DeFi وNFTs. عند دخولك إلى نظام Solana البيئي لأول مرة، من المحتمل أن تواجه بعض مواقع التصيد المماثلة. قد تشعر أنك مستعد جيدًا لدرجة أنك تبدأ في التفكير "لقد رأيت هذه الأشياء ألف مرة في النظام البيئي للإيثيريوم، وكيف يمكن أن يتم خداعي؟"

في غضون ذلك، سيكون المتسللون سعداء لأنك قد خدعت بالفعل. يتبع الناس مشاعرهم البديهية مما يجعلهم مهملين. عندما يكون هناك هجوم غير بديهي، يقع الناس في الفخ.

حسنًا، دعونا نلقي نظرة على حالة حقيقية استفادت من عدم الحدس.

أولاً، تحذير: التصيد الاحتيالي على Solana هو أمر أكثر قسوة. حدث المثال أعلاه في 5 مارس 2022. قام المهاجمون بإسقاط NFTs جوًا للمستخدمين على دفعات (الشكل 1). دخل المستخدمون إلى موقع الويب المستهدف من خلال الرابط الموجود في وصف NFT المسقط جوًا (www_officialsolanarares_net) وقاموا بتوصيل محافظهم (الشكل 2). بعد النقر على زر "Mint" في الصفحة، ظهرت نافذة الموافقة (الشكل 3). لاحظ أنه لم يكن هناك إشعار أو رسالة خاصة في النافذة المنبثقة في هذا الوقت. بمجرد الموافقة، سيتم نقل جميع صول في المحفظة بعيدا.

عندما ينقر المستخدمون على زر "موافقة"، فإنهم يتفاعلون فعليًا مع العقود الذكية الضارة التي ينشرها المهاجمون: 3VtjHnDuDD1QreJiYNziDsdkeALMT6b2F9j3AXdL4q8v

الهدف النهائي لهذا العقد الذكي الخبيث هو بدء "نقل SOL"، الذي ينقل تقريبًا جميع SOLs الخاصة بالمستخدم. ومن خلال تحليل البيانات الموجودة على السلسلة، استمر سلوك التصيد الاحتيالي لعدة أيام، واستمر عدد الضحايا في التزايد خلال هذه الفترة.

هناك مأزقان في هذا المثال يجب الانتباه إليهما:

1. بعد موافقة المستخدم، يمكن للعقد الذكي الضار نقل الأصول الأصلية للمستخدم (SOL في هذه الحالة). هذا غير ممكن على الايثيريوم. يمكن أن يؤثر التصيد الاحتيالي على Ethereum فقط على الرموز المميزة الأخرى ولكن ليس على الأصول الأصلية لـ ETH. هذا هو الجزء غير البديهي الذي من شأنه أن يجعل المستخدمين أقل يقظة.
2. تحتوي المحفظة الأكثر شهرة على Solana، Phantom، على ثغرات في آلية الأمان الخاصة بها، حيث إنها لا تتبع مبدأ "ما تراه هو ما توقعه" (لم نختبر محافظ أخرى بعد)، كما أنها لا تفعل ذلك. توفير ما يكفي من التحذير من المخاطر للمستخدمين. يمكن أن يؤدي ذلك بسهولة إلى إنشاء نقاط عمياء أمنية تكلف عملات المستخدمين.

بعض أساليب الهجوم المتقدمة

في الواقع، هناك العديد من منهجيات الهجوم المتقدمة، لكن يُنظر إليها في الغالب على أنها تصيد احتيالي من وجهة نظر الجمهور. ومع ذلك، فإن بعضها لا يمثل هجمات تصيد عادية. على سبيل المثال:

https://twitter.com/Arthur_0x/status/1506167899437686784

أرسل المتسللون رسالة بريد إلكتروني تصيدية تحتوي على هذا المرفق:

مخاطر كبيرة للعملة المستقرة (محمية).docx

بصراحة، إنها وثيقة جذابة. ومع ذلك، بمجرد فتح جهاز الكمبيوتر الخاص بالمستخدم، سيتم زرع حصان طروادة (بشكل عام من خلال ماكرو Office أو استغلال 0day / 1day)، والذي يحتوي عادةً على الوظائف التالية:

• جمع جميع أنواع بيانات الاعتماد، على سبيل المثال، المتعلقة بالمتصفح، أو ذات الصلة بـ SSH، وما إلى ذلك. وبهذه الطريقة، يمكن للمتسللين توسيع نطاق وصولهم إلى الخدمات الأخرى للمستخدم المستهدف. لذلك، بعد الإصابة، يُنصح المستخدمون عمومًا ليس فقط بتنظيف الجهاز المستهدف، ولكن أيضًا أذونات الحساب ذات الصلة أيضًا.
• Keylogger، ويستهدف بشكل خاص أولئك الذين يظهرون معلومات حساسة مؤقتًا مثل كلمات المرور.
• جمع لقطات الشاشة ذات الصلة والملفات الحساسة وما إلى ذلك.
• إذا كان برنامج فدية، فسيتم تشفير جميع الملفات الموجودة في النظام المستهدف بقوة، وانتظار الضحية لدفع الفدية، عادةً عن طريق عملة البيتكوين. ولكن في هذه الحالة، لم يكن برنامج الفدية هو الذي يتمتع بسلوك أكثر وضوحًا وصخبًا ونوايا واضحة.

بالإضافة إلى ذلك، سيتم تخصيص أحصنة طروادة التي تستهدف صناعة العملات المشفرة خصيصًا لجمع المعلومات الحساسة من المحافظ أو البورصات المعروفة، من أجل سرقة أموال المستخدم. وفقًا للتحليل المهني، سيقوم حصان طروادة المذكور أعلاه بشن هجوم مستهدف على Metamask:

https://securelist.com/the-bluenoroff-cryptocurrency-hunt-is-still-on/105488/

سيقوم حصان طروادة باستبدال MetaMask الخاص بالمستخدم بآخر مزيف بأبواب خلفية. يعني MetaMask ذو الباب الخلفي بشكل أساسي أن أي أموال تخزنها بالداخل لم تعد ملكًا لك. حتى إذا كنت تستخدم محفظة أجهزة، فسيتمكن MetaMask المزيف من سرقة أموالك عن طريق التلاعب بعنوان الوجهة أو معلومات المبلغ.

تم تصميم هذا النهج خصيصًا للأهداف المعروفة ذات عناوين المحفظة المعروفة. ما لاحظته هو أن العديد من هؤلاء الأشخاص متعجرفون للغاية لدرجة أنهم لا يستطيعون منع أنفسهم من التعرض للاختراق. بعد الاختراق، سيتعلم الكثيرون من الدرس، ويجرون مراجعات كاملة، ويحصلون على تحسينات كبيرة، ويشكلون أيضًا تعاونًا وصداقة طويلة الأمد مع متخصصين أو وكالات أمنية موثوقة. ومع ذلك، هناك دائما استثناءات في هذا العالم. يتعرض بعض الأشخاص أو المشاريع للاختراق مرارًا وتكرارًا. إذا كان ذلك في كل مرة بسبب شيء لم يواجهه أحد من قبل، فسأحترمهم بشدة وأطلق عليهم اسم الرواد. هناك احتمال كبير بأن ينجحوا مع مرور الوقت. ولسوء الحظ فإن العديد من الحوادث هي نتيجة لأخطاء غبية ومتكررة يمكن تجنبها بسهولة. أنصح بالابتعاد عن هذه المشاريع.

وبالمقارنة، فإن هجمات التصيد الاحتيالي الجماعية هذه ليست شاملة على الإطلاق. يقوم المهاجمون بإعداد مجموعة من أسماء النطاقات المتشابهة وينشرون الحمولات عن طريق شراء الحسابات والمتابعين وإعادة التغريد على تويتر أو منصات التواصل الاجتماعي الأخرى. وإذا تمت إدارتها بشكل جيد، فإن الكثيرين سوف يقعون في الفخ. لا يوجد حقًا شيء مميز في هذا النوع من هجمات التصيد الاحتيالي، وعادةً ما يقوم المهاجم بوحشية بإجبار المستخدم على تفويض الرموز المميزة (بما في ذلك NFT) من أجل نقلها بعيدًا.

هناك أنواع أخرى من الهجمات المتقدمة، على سبيل المثال استخدام تقنيات مثل XSS، CSRF، Reverse Proxy لتسهيل عملية الهجوم. لن أتناولها جميعًا بالتفصيل هنا، باستثناء حالة واحدة خاصة جدًا (هجوم Cloudflare Man-in-the-Middle) الذي يعد أحد السيناريوهات في Reverse Proxy. كانت هناك هجمات حقيقية تسببت في خسائر مالية باستخدام هذه الطريقة السرية للغاية.

المشكلة هنا ليست أن Cloudflare نفسها شريرة أو تتعرض للاختراق. وبدلاً من ذلك، فإن حساب Cloudflare الخاص بفريق المشروع هو الذي تم اختراقه. بشكل عام، تكون العملية على النحو التالي: إذا كنت تستخدم Cloudflare، فستلاحظ وحدة "العامل" هذه في لوحة المعلومات، ووصفها الرسمي هو:

إنشاء تطبيقات بدون خادم ونشرها على الفور في جميع أنحاء العالم، مما يحقق أداءً ممتازًا وموثوقية ونطاقًا واسعًا. لمزيد من التفاصيل، يرجى الرجوع إلى https://developers.cloudflare.com/workers/

لقد قمت بإنشاء صفحة اختبار منذ وقت طويل:

https://xssor.io/s/x.html

عند زيارتك للصفحة ستظهر لك نافذة منبثقة تقول:

xssor.io، تم اختطافه بواسطة Cloudflare.

في الواقع، هذه النافذة المنبثقة، وحتى محتوى x.html بالكامل، لا تنتمي إلى المستند نفسه. يتم توفيرها جميعًا بواسطة Cloudflare. تظهر الآلية أدناه:

إن الإشارة إلى مقتطف التعليمات البرمجية في لقطة الشاشة بسيط للغاية: إذا كنت أنا المتسلل وكنت أتحكم في حساب Cloudflare الخاص بك، فيمكنني استخدام Workers لإدخال نص برمجي ضار عشوائي في أي صفحة ويب. ومن الصعب جدًا على المستخدمين أن يدركوا أن صفحة الويب المستهدفة قد تم اختطافها والتلاعب بها، حيث لن تكون هناك تنبيهات للأخطاء (مثل خطأ في شهادة HTTPS). حتى فريق المشروع لن يتمكن من تحديد المشكلة بسهولة دون الاضطرار إلى قضاء قدر كبير من الوقت في التحقق من أمان خوادمهم وموظفيهم. بحلول الوقت الذي يدركون فيه أنهم عمال Cloudflare، قد تكون الخسارة كبيرة بالفعل.

Cloudflare هي في الواقع أداة جيدة. ستستخدمه العديد من مواقع الويب أو تطبيقات الويب كجدار حماية لتطبيقات الويب، أو كحل لمكافحة DDoS، أو CDN عالمي، أو وكيل عكسي، وما إلى ذلك. ونظرًا لوجود نسخة مجانية، فإن لديهم قاعدة عملاء كبيرة. وبدلاً من ذلك، هناك خدمات مثل Akimai وما إلى ذلك.

ويجب على المستخدمين الانتباه إلى أمان هذه الحسابات. تنشأ مشكلات أمان الحساب مع ظهور الإنترنت. إنه موضوع شائع في العالم يتحدث عنه الجميع تقريبًا في كل مكان، ولكن لا يزال الكثير من الأشخاص يتعرضون للاختراق بسببه. قد تكون بعض الأسباب الجذرية هي عدم استخدامهم لكلمة مرور قوية وفريدة للخدمات المهمة (لا يحظى مديرو كلمات المرور مثل 1Password بشعبية كبيرة على أي حال)، وقد يكون البعض الآخر أنهم لا يكلفون أنفسهم عناء تشغيل المصادقة الثنائية (2FA)، أو ربما إنهم لا يعرفون حتى عن الشيء. ناهيك عن بعض الخدمات المعينة، يجب إعادة تعيين كلمات المرور سنويًا على الأقل.

حسنًا، ستكون هذه نهاية هذا القسم. ما عليك سوى أن تفهم أن هذه بالفعل غابة مظلمة، ويجب أن تعرف أكبر عدد ممكن من منهجيات الهجوم. بعد رؤية ما يكفي على الورق، إذا وقعت في الفخاخ مرة أو مرتين على الأقل، فيمكنك اعتبار نفسك محترفًا أمنيًا هاويًا (وهو ما سيفيدك على أي حال).

حماية الخصوصية التقليدية

تهانينا، لقد وصلت إلى هذا الجزء. حماية الخصوصية التقليدية موضوع قديم: إليك المقالة التي كتبتها في عام 2014.

عليك أن تتعلم بعض الحيل لحماية نفسك في عصر انتهاكات الخصوصية.
https://evilcos.me/yinsi.html

إعادة قراءة هذه المقالة، على الرغم من أنها كانت مقالة للمبتدئين في عام 2014، إلا أن معظم النصائح الواردة فيها ليست قديمة. بعد قراءة المقالة مرة أخرى، سأقدم شيئًا جديدًا هنا: في الواقع، ترتبط حماية الخصوصية ارتباطًا وثيقًا بالأمن . الخصوصية التقليدية هي حجر الزاوية للأمن. يتضمن هذا القسم أن مفاتيحك الخاصة هي جزء من الخصوصية. إذا لم تكن حجر الأساس آمنًا، فإن خصوصية حجر الأساس لا معنى لها، عندها سيكون البناء الفوقي هشًا مثل المبنى في الهواء.

يوصى بشدة بالمصدرين التاليين:

الدفاع عن النفس ضد المراقبة
نصائح وأدوات وطرق لاتصالات أكثر أمانًا عبر الإنترنت
https://ssd.eff.org/

SURVEILLANCE SELF-DEFENSE هو اختصار لـ SSD. تم إطلاقه من قبل مؤسسة الحدود الإلكترونية المعروفة (EFF)، والتي أصدرت إرشادات ذات صلة خصيصًا لإخبارك بكيفية تجنب مراقبة الأخ الأكبر لك في عالم المراقبة على الإنترنت، والتي تتضمن العديد من الأدوات المفيدة (مثل Tor وWhatsApp وSignal و بي جي بي، الخ.)

دليل الخصوصية: حارب المراقبة باستخدام أدوات التشفير والخصوصية
https://www.privacytools.io/

الموقع المذكور أعلاه عبارة عن قائمة شاملة لعدد من الأدوات. ويوصي أيضًا ببعض عمليات تبادل العملات المشفرة والمحافظ وما إلى ذلك. ومع ذلك، تجدر الإشارة إلى أنني لا أستخدم الكثير من الأدوات المدرجة على الموقع، لأن لدي طريقتي الخاصة. وبالتالي، يجب عليك أيضًا تطوير طريقتك الخاصة، من خلال المقارنة والتحسين المستمر.

فيما يلي بعض النقاط البارزة للأدوات التي أقترح عليك استخدامها.

نظام تشغيل

يعد Windows 10 Edition (والإصدارات الأحدث) وmacOS خيارين آمنين. إذا كانت لديك القدرة، يمكنك اختيار Linux، مثل Ubuntu، أو حتى الأنظمة التي تركز بشدة على الأمان والخصوصية مثل Tails أو Whonix.

فيما يتعلق بموضوع نظام التشغيل، فإن مبدأ الأمان الأكثر وضوحًا هو: إيلاء اهتمام وثيق لتحديثات النظام، وتطبيقها في أسرع وقت ممكن عندما تكون متاحة. تأتي القدرة على إتقان نظام التشغيل بعد ذلك. قد يتساءل الناس، ما الذي تحتاج إلى تعلمه من أجل إتقان نظام تشغيل مثل Windows أو MacOS؟ أليس مجرد النقر حولها؟ حسنًا، إنها في الواقع بعيدة عن أن تكون كافية. بالنسبة للمستخدمين المبتدئين، يعد برنامج مكافحة الفيروسات الجيد، مثل Kaspersky وBitDefender، أمرًا ضروريًا، وكلاهما متاح على نظام MacOS.

وبعد ذلك، لا تنس أمان التنزيل، الذي ذكرته من قبل. ستكون قد تخلصت من معظم المخاطر، إذا لم تقم بتنزيل البرامج وتثبيتها بشكل متهور.

بعد ذلك، فكر فيما ستفعله إذا ضاع جهاز الكمبيوتر الخاص بك أو سُرق. من الواضح أن الحصول على كلمة مرور للتمهيد ليس جيدًا بما فيه الكفاية. إذا لم يتم تشغيل تشفير القرص، فيمكن للجهات الفاعلة السيئة إخراج القرص الصلب واسترداد البيانات الموجودة بداخله. وبالتالي فإن نصيحتي هي أنه يجب تشغيل تشفير القرص لأجهزة الكمبيوتر المهمة.

https://docs.microsoft.com/en-us/windows/security/encryption-data-protection
https://support.apple.com/en-us/HT204837

لدينا أيضًا أدوات قوية وأسطورية مثل VeraCrypt (TrueCrypt سابقًا)، فلا تتردد في تجربتها إذا كنت مهتمًا:

https://veracrypt.fr/

يمكنك المضي قدمًا لتمكين BIOS أو كلمة مرور البرامج الثابتة. لقد فعلت ذلك بنفسي ولكن الأمر متروك تمامًا لاختيارك. فقط تذكر: إذا قمت بذلك، تذكر كلمة المرور بوضوح شديد، وإلا فلن يتمكن أحد من مساعدتك على الإطلاق. أنا محظوظ بما فيه الكفاية لأنني وقعت في حفرة الأرانب بنفسي من قبل، الأمر الذي كلفني جهاز كمبيوتر محمول، وبعض العملات المشفرة، وأسبوعًا من الوقت. ومن ناحية أخرى، إنها تجربة تعليمية جيدة جدًا أيضًا.

تليفون محمول

في الوقت الحاضر، يعد iPhone وAndroid الفئتين الوحيدتين للهواتف المحمولة السائدة. لقد كنت من أشد المعجبين بشركة BlackBerry، لكن مجدها تلاشى مع مرور الوقت. في الماضي، كان الوضع الأمني لهواتف Android يقلقني كثيرًا. من ناحية، كان لا يزال في المرحلة المبكرة، ومن ناحية أخرى، كانت الإصدارات مجزأة للغاية، وسيكون لكل علامة تجارية إصدار Android المتشعب الخاص بها. ولكن الآن تحسنت الأمور كثيرا.

على الهواتف المحمولة، نحتاج أيضًا إلى الاهتمام بالتحديثات الأمنية وتنزيل الأمان. وبالإضافة إلى ذلك، انتبه إلى النقاط التالية:

• لا تقم بكسر حماية/تجذير هاتفك، فهذا غير ضروري إلا إذا كنت تقوم بإجراء بحث أمني ذي صلة. إذا كنت تفعل ذلك من أجل البرامج المقرصنة، فهذا يعتمد حقًا على مدى قدرتك على إتقان المهارة.
• لا تقم بتنزيل التطبيقات من متاجر التطبيقات غير الرسمية.
• لا تفعل ذلك إلا إذا كنت تعرف ما تفعله. ناهيك عن وجود العديد من التطبيقات المزيفة في متاجر التطبيقات الرسمية.
• الشرط الأساسي لاستخدام وظيفة المزامنة السحابية الرسمية هو أنه يتعين عليك التأكد من أن حسابك آمن، وإلا إذا تعرض حساب السحابة للاختراق، فسيتم اختراق الهاتف المحمول أيضًا.

أنا شخصياً أعتمد أكثر على iPhone. وستحتاج إلى حسابين على iCloud على الأقل: أحدهما في الصين والآخر في الخارج. ستحتاج إليها لتثبيت التطبيقات ذات القيود الإقليمية المختلفة. (وهذا يبدو غريبًا جدًا ولكن مرحبًا بك في الواقع)

شبكة

كانت مشكلات أمان الشبكة بمثابة ألم في المؤخرة، ولكن هناك بالفعل تحسينات كبيرة في السنوات الأخيرة، خاصة منذ الاعتماد الشامل لسياسة HTTPS Everywhere.

في حالة وجود هجوم مستمر لاختطاف الشبكة (هجوم رجل في الوسط)، ستكون هناك تنبيهات مقابلة لأخطاء النظام. ولكن هناك دائمًا استثناءات، لذا عندما يكون لديك خيار، استخدم الخيار الأكثر أمانًا. على سبيل المثال، لا تتصل بشبكات Wi-Fi غير مألوفة ما لم تكن شبكة 4G/5G الأكثر شيوعًا وأمانًا غير متوفرة أو غير مستقرة.

المتصفحات

المتصفحات الأكثر شيوعًا هي Chrome وFirefox، وفي مجالات التشفير، سيستخدم البعض متصفح Brave أيضًا. تتمتع هذه المتصفحات المعروفة بفريق قوي وستكون هناك تحديثات أمنية في الوقت المناسب. موضوع أمان المتصفح واسع جدًا. إليك بعض النصائح التي يجب أن تكون على دراية بها:

• قم بالتحديث في أسرع وقت ممكن، لا تجازف.
• لا تستخدم الامتداد إذا لم يكن ذلك ضروريًا. إذا قمت بذلك، اتخذ قراراتك بناءً على مراجعات المستخدم، وعدد المستخدمين، والحفاظ على الشركة، وما إلى ذلك، وانتبه إلى الإذن الذي يطلبه. تأكد من حصولك على الامتداد من متجر التطبيقات الرسمي لمتصفحك.
• يمكن استخدام متصفحات متعددة بالتوازي، ويوصى بشدة بإجراء عمليات مهمة في متصفح واحد، واستخدام متصفح آخر لإجراء عمليات أكثر روتينية وأقل أهمية.
• فيما يلي بعض الإضافات المعروفة التي تركز على الخصوصية (مثل uBlock Origin، وHTTPS Everywhere، وClearURLs، وما إلى ذلك)، فلا تتردد في تجربتها.

وفي Firefox على وجه الخصوص، سأستخدم أيضًا الامتداد الأسطوري القديم NoScript، الذي يتمتع بسجل حافل في صد حمولات JavaScript الضارة. في الوقت الحاضر، أصبحت المتصفحات أكثر أمانًا لأنها تضيف دعمًا لأشياء مثل سياسة المصدر نفسه، وCSP، وسياسة أمان ملفات تعريف الارتباط، ورؤوس أمان HTTP، وسياسة أمان الامتداد، وما إلى ذلك. وبالتالي، أصبحت الحاجة إلى استخدام أداة مثل NoScript أقل وأكثر أصغر، فلا تتردد في إلقاء نظرة إذا كنت مهتما.

مدير كلمة السر

إذا لم تكن قد استخدمت مدير كلمات المرور بعد، فإما أنك لا تعرف مدى سهولة استخدامه، أو أن لديك قصر ذاكرة قوي خاصًا بك. كما تم ذكر مخاطر ذاكرة الدماغ من قبل، أحدها هو أن الوقت سيضعف ذاكرتك أو يعطلها؛ والآخر هو أنه قد تتعرض لحادث. في كلتا الحالتين، ما زلت أوصي باستخدام مدير كلمات المرور ليتوافق مع ذاكرة دماغك، واستخدام برنامج معروف مثل 1Password، وBitwarden، وما إلى ذلك.

لا أحتاج إلى تغطية هذا الجزء كثيرًا، فهناك الكثير من البرامج التعليمية ذات الصلة عبر الإنترنت، ومن السهل البدء دون الحاجة إلى برنامج تعليمي.

وما أريد أن أذكرك به هنا هو:

• لا تنس أبدًا كلمة المرور الرئيسية الخاصة بك، واحتفظ بمعلومات حسابك آمنة، وإلا فسيتم فقدان كل شيء.
• تأكد من أن بريدك الإلكتروني آمن. إذا تم اختراق بريدك الإلكتروني، فقد لا يؤدي ذلك إلى اختراق المعلومات الحساسة في مدير كلمات المرور لديك بشكل مباشر، ولكن الجهات الفاعلة السيئة لديها القدرة على تدميرها.
• لقد قمت بالتحقق من أمان الأدوات التي ذكرتها (مثل 1Password)، وكنت أراقب عن كثب الأحداث الأمنية ذات الصلة، ومراجعات المستخدمين، والأخبار، وما إلى ذلك. ولكن لا يمكنني ضمان أن هذه الأدوات آمنة تمامًا، ولا توجد أحداث البجعة السوداء سيحدث لهم في المستقبل

الشيء الوحيد الذي أقدره هو تقديم ووصف صفحة الأمان الخاصة بـ 1Password، على سبيل المثال.

https://1password.com/security/

تحتوي هذه الصفحة على مفاهيم تصميم الأمان، وشهادات الخصوصية والأمان ذات الصلة، والمستندات التقنية الخاصة بتصميم الأمان، وتقارير التدقيق الأمني، وما إلى ذلك. كما يسهل هذا المستوى من الشفافية والانفتاح عملية التحقق اللازمة في الصناعة. يجب على جميع فرق المشروع أن تتعلم من هذا.

يذهب Bitwarden إلى أبعد من ذلك، حيث أنه مفتوح المصدر بالكامل، بما في ذلك جانب الخادم، بحيث يمكن لأي شخص التحقق من صحته وتدقيقه والمساهمة فيه. الآن انت ترى؟ نية 1Password وBitwarden واضحة جدًا:

أنا آمن جدًا وأشعر بالقلق بشأن الخصوصية. ولا أقول ذلك بنفسي فحسب، بل تقول سلطات الطرف الثالث ذلك أيضًا. لا تتردد في تدقيقي، ومن أجل تسهيل عمليات تدقيقك، أبذل الكثير من الجهد لأكون منفتحًا حيثما كان ذلك ممكنًا. إذا كان ما أفعله لا يتطابق مع ما أقول، فمن السهل أن تتحدىني. وهذا ما يسمى بالثقة الأمنية.

توثيق ذو عاملين

عند الحديث عن أمان هويتك على الإنترنت، تعتمد الطبقة الأولى على كلمات المرور، وتعتمد الطبقة الثانية على المصادقة الثنائية، وتعتمد الطبقة الثالثة على قدرة التحكم في المخاطر للمشروع المستهدف نفسه. لا أستطيع أن أقول إن المصادقة الثنائية أمر لا بد منه. على سبيل المثال، إذا كنت تستخدم محفظة لا مركزية، فإن طبقة واحدة من كلمة المرور تكون مزعجة بدرجة كافية (الآن تدعم بشكل أساسي تحديد الهوية البيومترية مثل التعرف على الوجه أو بصمات الأصابع لتحسين تجارب المستخدم)، فلا أحد يريد استخدام العامل الثاني. ولكن في منصة مركزية، عليك استخدام المصادقة الثنائية (2FA). يمكن لأي شخص الوصول إلى المنصة المركزية، وإذا سُرقت بيانات الاعتماد الخاصة بك، فسيتم اختراق حسابك وسيتم فقدان أموالك. على العكس من ذلك، فإن كلمة المرور الخاصة بمحفظتك اللامركزية هي مجرد مصادقة محلية، حتى إذا حصل المتسلل على كلمة المرور، فسيظل بحاجة إلى الوصول إلى الجهاز الذي توجد به محفظتك.

هل ترى الآن الاختلافات؟ تتضمن بعض أدوات المصادقة الثنائية (2FA) المعروفة ما يلي: Google Authenticator، وMicrosoft Authenticator، وما إلى ذلك. وبالطبع، إذا كنت تستخدم مدير كلمات المرور (مثل 1Password)، فإنه يأتي أيضًا مزودًا بوحدة 2FA ، وهو مفيد جدًا. تذكر دائمًا عمل نسخ احتياطية، لأن فقدان المصادقة الثنائية قد يكون أمرًا صعبًا.

بالإضافة إلى ذلك، يمكن أيضًا أن تكون المصادقة الثنائية مفهومًا أوسع. على سبيل المثال، عند استخدام معرف الحساب وكلمة المرور لتسجيل الدخول إلى النظام الأساسي المستهدف، يكون معرف الحساب الخاص بنا عادةً هو البريد الإلكتروني أو رقم الهاتف المحمول. في الوقت الحالي، يمكن استخدام صندوق البريد أو رقم الهاتف المحمول كمصادقة ثنائية لتلقي رمز التحقق. لكن مستوى الأمان لهذه الطريقة ليس جيدًا. على سبيل المثال، إذا تم اختراق صندوق البريد أو تم اختراق بطاقة SIM، أو تم اختراق خدمة الطرف الثالث المستخدمة لإرسال رسائل البريد الإلكتروني والرسائل النصية، فسيتم أيضًا الكشف عن رمز التحقق الذي أرسلته المنصة.

تصفح الانترنت العلمي

لأسباب تتعلق بالسياسة، دعونا لا نتحدث كثيرًا عن هذا، ما عليك سوى اختيار أحد الحلول المعروفة. ستكون الأمور تحت السيطرة بشكل أكبر إذا تمكنت من بناء الحل الخاص بك. فنقطة البداية لدينا هي تصفح الإنترنت بشكل علمي وآمن.

إذا كنت لا تستخدم حلاً تم إنشاؤه ذاتيًا، فلا يمكنك استبعاد احتمالية حدوث هجوم رجل في الوسط بشكل كامل. كما ذكرنا سابقًا، لم يعد وضع أمان الإنترنت سيئًا كما كان من قبل، خاصة بعد الاعتماد الشامل لسياسة HTTPS Everywhere. ومع ذلك، قد يكون بعض السلام مجرد سطح الماء، وهناك بالفعل تيارات تحت السطح لا يمكن ملاحظتها بسهولة. لأكون صادقًا، ليس لدي حقًا حل سحري لهذا الغرض. ليس من السهل بناء الحل الخاص بك، ولكنه بالتأكيد يستحق ذلك. وإذا لم تتمكن من ذلك، فتأكد من التحقق من استخدام مصادر متعددة واختيار مصدر حسن السمعة وموجود منذ فترة طويلة.

بريد إلكتروني

البريد الإلكتروني هو حجر الزاوية في هويتنا على شبكة الإنترنت. نحن نستخدم البريد الإلكتروني للتسجيل في الكثير من الخدمات. جميع خدمات البريد الإلكتروني التي نستخدمها تقريبًا مجانية. يبدو كالهواء، ولا تظن أنه سيختفي. ماذا لو توقفت خدمة البريد الإلكتروني الخاصة بك يومًا ما، فإن جميع الخدمات الأخرى التي تعتمد عليها ستكون في وضع حرج إلى حد ما. هذا الموقف المتطرف ليس مستحيلًا حقًا في حالة حدوث حروب أو كوارث طبيعية وما إلى ذلك. بالطبع، في حالة حدوث هذه المواقف المتطرفة، سيكون البريد الإلكتروني أقل أهمية بالنسبة لك من البقاء على قيد الحياة.

عندما يتعلق الأمر بمزودي خدمات البريد الإلكتروني، يجب عليك الاختيار من بين عمالقة التكنولوجيا، مثل Gmail أو Outlook أو QQ Email. ويصادف أن أبحاثي الأمنية السابقة تغطي هذا المجال. الوضع الأمني لصناديق البريد هذه جيد بما فيه الكفاية. ولكن لا يزال يتعين عليك توخي الحذر بشأن هجمات التصيد الاحتيالي عبر البريد الإلكتروني. لا تحتاج إلى التعامل مع كل بريد إلكتروني، وخاصة الروابط والمرفقات المضمنة، حيث قد تكون أحصنة طروادة مخفية.

إذا واجهت هجومًا معقدًا للغاية على موفري خدمات البريد الإلكتروني لديك، فأنت وحدك.

إلى جانب خدمات البريد الإلكتروني لعمالقة التكنولوجيا، إذا كنت مهتمًا جدًا بالخصوصية، فيمكنك إلقاء نظرة على هاتين الخدمتين المعروفتين للبريد الإلكتروني الصديقتين للخصوصية: ProtonMail وTutanota. اقتراحي هو فصل صناديق البريد الخاصة هذه عن الاستخدام اليومي، واستخدامها فقط للخدمات التي تتطلب اهتمامًا خاصًا بالخصوصية. تحتاج أيضًا إلى استخدام خدمات البريد الإلكتروني المجانية بانتظام لمنع تعليق حساباتك بسبب عدم النشاط لفترة طويلة.

شريحة جوال

تعد بطاقة SIM ورقم الهاتف المحمول أيضًا من الهويات الأساسية المهمة جدًا في كثير من الحالات، تمامًا مثل البريد الإلكتروني. في السنوات الأخيرة، قام المشغلون الرئيسيون في بلدنا بعمل جيد جدًا في الحماية الأمنية لأرقام الهواتف المحمولة. على سبيل المثال، هناك بروتوكولات أمنية صارمة وعمليات تحقق لإلغاء وإعادة إصدار بطاقات SIM، وكل ذلك يحدث في الموقع. فيما يتعلق بموضوع الهجمات على بطاقة SIM، دعوني أعطيكم مثالاً:

في عام 2019.5، تعرض حساب Coinbase لشخص ما لهجوم عبر منفذ SIM (هجوم نقل بطاقة SIM)، وخسر للأسف أكثر من 100000 دولار أمريكي من العملات المشفرة. تتم عملية الهجوم تقريبًا كما يلي:

حصل المهاجم على معلومات الخصوصية للمستخدم المستهدف من خلال الهندسة الاجتماعية وطرق أخرى، وخدع مشغل الهاتف المحمول ليصدر له بطاقة SIM جديدة، ثم استولى بسهولة على حساب Coinbase الخاص بالمستخدم المستهدف من خلال نفس رقم الهاتف المحمول. تم نقل بطاقة SIM وهو أمر مزعج للغاية. سيكون الأمر مزعجًا للغاية إذا قام المهاجم بنقل بطاقة SIM الخاصة بك، حيث تستخدم العديد من الخدمات عبر الإنترنت في الوقت الحاضر رقم هاتفنا المحمول كعامل مصادقة مباشر أو 2FA. هذه آلية مصادقة مركزية للغاية، ويصبح رقم الهاتف المحمول هو نقطة الضعف.

للحصول على تحليل مفصل، يرجى الرجوع إلى:

https://medium.com/coinmonks/the-most-expensive-lesson-of-my-life-details-of-sim-port-hack-35de11517124

اقتراح الدفاع عن هذا بسيط في الواقع: قم بتمكين حل المصادقة الثنائية (2FA) المعروف.

تحتوي بطاقة SIM على خطر آخر: أي أنه في حالة فقدان الهاتف أو سرقته، سيكون من المحرج أن يتمكن الشخص السيئ من إخراج بطاقة SIM واستخدامها. وإليك ما فعلته: قم بتمكين كلمة مرور بطاقة SIM (رمز PIN)، لذلك في كل مرة أقوم فيها بتشغيل هاتفي أو استخدام بطاقة SIM الخاصة بي في جهاز جديد، أحتاج إلى إدخال كلمة المرور الصحيحة. من فضلك اطلب من Google معلومات تفصيلية عن كيفية القيام بذلك. إليكم التذكير مني: لا تنسَ كلمة المرور هذه، وإلا فسيكون الأمر مزعجًا للغاية.

جي بي جي

لقد تم ذكر العديد من محتويات هذا الجزء في الأقسام السابقة، وأود أن أضيف المزيد من المفاهيم الأساسية هنا.: في بعض الأحيان سوف تواجه أسماء مشابهة مثل PGP، وOpenPGP، وGPG. ببساطة قم بتمييزها على النحو التالي:

• PGP، وهو اختصار لـ Pretty Good Privacy، هو برنامج تشفير تجاري عمره 30 عامًا يقع الآن تحت مظلة Symantec.
• OpenPGP هو معيار تشفير مشتق من PGP.
• GPG، الاسم الكامل هو GnuPG، هو برنامج تشفير مفتوح المصدر يعتمد على معيار OpenPGP.

نواتها متشابهة، ومع GPG فأنت متوافق مع الآخرين. وهنا أوصي بشدة مرة أخرى: في مجال التشفير الأمني، لا تحاول إعادة اختراع العجلة؛ GPG، إذا تم استخدامها بطريقة صحيحة، يمكن أن تحسن مستوى الأمان بشكل كبير!

الفصل

القيمة الأساسية وراء مبدأ الفصل الأمني هي عقلية الثقة الصفرية. عليك أن تفهم أنه بغض النظر عن مدى قوتنا، فسوف نتعرض للاختراق عاجلاً أم آجلاً، بغض النظر عما إذا كان ذلك من قبل قراصنة خارجيين أو من الداخل أو من أنفسنا. عند الاختراق، يجب أن يكون وقف الخسارة هو الخطوة الأولى. يتم تجاهل القدرة على إيقاف الخسارة من قبل العديد من الأشخاص، ولهذا السبب يتم اختراقهم مرارًا وتكرارًا. السبب الجذري هو عدم وجود تصميم أمني، وخاصة الطرق المباشرة مثل الفصل

يمكن لممارسة الفصل الجيدة أن تضمن أنه في حالة وقوع حوادث أمنية، فإنك تفقد فقط تلك المرتبطة مباشرة بالهدف المخترق، دون التأثير على الأصول الأخرى.

على سبيل المثال:

• إذا كانت ممارسة أمان كلمة المرور الخاصة بك جيدة، فعندما يتم اختراق أحد حساباتك، فلن تؤدي كلمة المرور نفسها إلى اختراق الحسابات الأخرى.
• إذا لم يتم تخزين عملتك المشفرة ضمن مجموعة واحدة من بذور التذكر، فلن تخسر كل شيء إذا وقعت في الفخ.
• إذا أصيب جهاز الكمبيوتر الخاص بك، فمن حسن الحظ أن هذا مجرد جهاز كمبيوتر يستخدم للأنشطة غير الرسمية، ولا يوجد أي شيء مهم فيه، لذا لا داعي للذعر، لأن إعادة تثبيت الكمبيوتر ستحل معظم المشكلات. إذا كنت جيدًا في استخدام الأجهزة الافتراضية، فالأمور أفضل، حيث يمكنك فقط استعادة اللقطة. أدوات الآلة الافتراضية الجيدة هي: VMware، Parallels.
• للتلخيص، يمكن أن يكون لديك حسابين على الأقل، وأداتين، وجهازين، وما إلى ذلك. ليس من المستحيل إنشاء هوية افتراضية مستقلة بشكل كامل بعد أن تكون على دراية بها.

لقد ذكرت رأيًا أكثر تطرفًا من قبل: الخصوصية ليست من واجبنا أن نحميها، بل ينبغي التحكم في الخصوصية.

والسبب في وجهة النظر هذه هو أنه في بيئة الإنترنت الحالية، تم بالفعل تسريب الخصوصية بشكل خطير. ولحسن الحظ، أصبحت اللوائح المتعلقة بالخصوصية معتمدة على نطاق واسع في السنوات الأخيرة، ويولي الناس المزيد والمزيد من الاهتمام. كل شيء يسير بالفعل في الاتجاه الصحيح. ولكن قبل ذلك، على أية حال، عندما تتقن نقاط المعرفة التي ذكرتها، ستتمكن من التحكم في خصوصيتك بسهولة. على الإنترنت، إذا كنت معتادًا على ذلك، فقد يكون لديك عدة هويات افتراضية تكاد تكون مستقلة عن بعضها البعض.

أمن الطبيعة البشرية

الإنسان دائما في أعلى المخاطر والأبدية. هناك اقتباس من مشكلة الأجسام الثلاثة: "الضعف والجهل ليسا عائقين أمام البقاء، ولكن الغطرسة هي التي تمنعنا من البقاء".

• لا تكن متعجرفًا: إذا كنت تعتقد أنك قوي بالفعل، فلا بأس مع نفسك. لا تنظر إلى العالم كله باستخفاف. وعلى وجه الخصوص، لا تبالغ في الفخر وتعتقد أنك قادر على تحدي المتسللين العالميين. ليس هناك نهاية للتعلم، ولا تزال هناك العديد من العقبات.
• لا تكن جشعًا: الطمع هو بالفعل الدافع للمضي قدمًا في كثير من الحالات، ولكن فكر في الأمر، لماذا هذه الفرصة الجيدة محفوظة لك فقط؟
• لا تكن مندفعاً: الاندفاع هو الشيطان الذي سيوقعك في الفخاخ. العمل المتسرع هو القمار.

هناك أشياء لا حصر لها في الطبيعة البشرية يمكن الحديث عنها ولا يمكنك أن تكون أكثر حذرًا. يرجى إيلاء اهتمام خاص للنقاط التالية، ومعرفة كيف يستغل الممثلون السيئون الضعف في الطبيعة البشرية، باستخدام مختلف المنصات الملائمة.

برقية

لقد قلت من قبل أن Telegram هو أكبر شبكة ويب مظلمة. يجب أن أقول إن الناس يحبون Telegram بسبب أمانه واستقراره وميزات التصميم المفتوحة. لكن ثقافة Telegram المفتوحة تجتذب أيضًا الأشرار: أعداد هائلة من المستخدمين، ووظائف قابلة للتخصيص بدرجة كبيرة، وسهلة بما يكفي لإنشاء جميع أنواع خدمات الروبوت. من خلال الجمع مع العملات المشفرة، فإن تجارب التداول الفعلية تتجاوز بكثير أسواق الويب المظلمة في Tor. وفيه الكثير من الأسماك.

عادةً ما يكون المعرف الفريد لحسابات وسائل التواصل الاجتماعي مجرد اسم مستخدم أو معرف مستخدم، ولكن يمكن استنساخها بالكامل بواسطة الجهات الفاعلة السيئة. تحتوي بعض منصات التواصل الاجتماعي على آليات للتحقق من صحة الحساب، مثل إضافة رمز V أزرق أو شيء من هذا القبيل. يمكن التحقق من صحة حسابات وسائل التواصل الاجتماعي العامة من خلال بعض المؤشرات، مثل رقم المتابع، والمحتويات المنشورة، والتفاعل مع المعجبين، وما إلى ذلك. أما حسابات وسائل التواصل الاجتماعي غير العامة فهي أكثر صعوبة بعض الشيء. من الجيد أن نرى أن Telegram أصدر وظيفة "ما هي المجموعات التي ننتمي إليها معًا".

أينما توجد ثغرات يمكن استغلالها وتكون المكاسب كبيرة، فلا بد من وجود مجموعة من الأشرار هناك بالفعل، وهذه هي الطبيعة البشرية.

ونتيجة لذلك، أصبحت منصات التواصل الاجتماعي مليئة بفخاخ التصيد الاحتيالي. على سبيل المثال: في محادثة جماعية، ظهر فجأة شخص يشبه خدمة العملاء الرسمية وبدأ محادثة خاصة (any2any الدردشة الخاصة هي ميزة Telegram، ليست هناك حاجة لطلب صداقة)، ومن ثم الخروج عن التكتيكات الكلاسيكية لـ البريد العشوائي، سوف تعض الأسماك واحدة تلو الأخرى.

أو قد يذهب المهاجمون إلى أبعد من ذلك ويضيفونك إلى مجموعة أخرى. جميع المشاركين يشترونك مزيفًا، لكنه يبدو واقعيًا جدًا بالنسبة لك. نشير إلى هذه التقنية باسم الاستنساخ الجماعي في المجتمع السري.

هذه مجرد طرق أساسية للتلاعب بالطبيعة البشرية، وسيتم دمج التقنيات المتقدمة مع نقاط الضعف وبالتالي يصعب منعها.

الفتنة

Discord عبارة عن منصة اجتماعية جديدة وشائعة/برنامج مراسلة فورية تم طرحه في العامين الماضيين. الوظيفة الأساسية هي خوادم المجتمع (وليس مفهوم الخادم التقليدي)، كما يقول البيان الرسمي:

Discord هو تطبيق مجاني للدردشة الصوتية والمرئية والنصية يستخدمه عشرات الملايين من الأشخاص الذين تزيد أعمارهم عن 13 عامًا للتحدث والتسكع مع مجتمعاتهم وأصدقائهم.

يستخدم الأشخاص Discord يوميًا للحديث عن أشياء كثيرة، بدءًا من المشاريع الفنية والرحلات العائلية إلى الواجبات المنزلية ودعم الصحة العقلية. إنه موطن للمجتمعات من أي حجم، ولكنه يستخدم على نطاق واسع من قبل مجموعات صغيرة ونشطة من الأشخاص الذين يتحدثون بانتظام.

يبدو رائعًا ولكنه يتطلب معيارًا قويًا لتصميم الأمان. لدى Discord قواعد وسياسات أمنية محددة كما في:

https://discord.com/safety

ولسوء الحظ، فإن معظم الناس لن يكلفوا أنفسهم عناء قراءته بعناية. علاوة على ذلك، لن يتمكن Discord دائمًا من توضيح بعض المشكلات الأمنية الأساسية بوضوح، لأنه سيتعين عليه ارتداء قبعة المهاجم وهو ما لا يكون ممكنًا دائمًا.

على سبيل المثال:

مع وجود العديد من سرقات NFT على Discord، ما هي طرق الهجوم الرئيسية؟ قبل أن نكتشف ذلك، نصيحة Discord الأمنية غير مجدية.

السبب الرئيسي وراء العديد من مشاريع Discordhacks هو في الواقع رمز Discord، وهو محتوى حقل التفويض في رأس طلب HTTP. لقد كانت موجودة في Discord لفترة طويلة جدًا. بالنسبة للمتسللين، إذا تمكنوا من إيجاد طريقة للحصول على رمز Discord Token هذا، فيمكنهم التحكم تقريبًا في جميع امتيازات خادم Discord المستهدف. وهذا يعني أنه إذا كان الهدف مسؤولاً، أو حسابًا يتمتع بامتيازات إدارية أو روبوت Discord، فيمكن للمتسللين فعل أي شيء يريدونه. على سبيل المثال، من خلال الإعلان عن موقع تصيد NFT، فإنهم يجعلون الناس يعتقدون أنه الإعلان الرسمي، وسوف يعض السمك الخطاف.

قد يتساءل البعض، ماذا لو أضفت المصادقة الثنائية (2FA) إلى حسابي على Discord؟ عادة جيدة على الاطلاق! لكن Discord Token لا علاقة له بحالة المصادقة الثنائية بحسابك. بمجرد اختراق حسابك، يجب عليك تغيير كلمة مرور Discord الخاصة بك على الفور لجعل رمز Discord الأصلي غير صالح.

بالنسبة لسؤال كيف يمكن للمتسلل الحصول على Discord Token، فقد اكتشفنا ثلاث تقنيات رئيسية على الأقل، وسنحاول شرحها بالتفصيل في المستقبل. بالنسبة للمستخدمين العاديين، هناك الكثير مما يمكن القيام به، ولكن النقاط الأساسية هي: لا تتعجل، ولا تكن جشعًا، وتحقق من مصادر متعددة.

التصيد "الرسمي".

يجيد الممثلون السيئون استغلال الأدوار، وخاصة الدور الرسمي. على سبيل المثال، ذكرنا طريقة خدمة العملاء المزيفة من قبل. بالإضافة إلى ذلك، في أبريل 2022، تلقى العديد من مستخدمي محفظة الأجهزة المعروفة Trezor، رسائل بريد إلكتروني تصيدية من trezor.us، وهو ليس نطاق Trezor الرسمي trezor.io. هناك اختلاف بسيط في لاحقة اسم المجال. علاوة على ذلك، تم أيضًا نشر النطاقات التالية عبر رسائل البريد الإلكتروني التصيدية.

https://suite.trẹzor.com

يحتوي اسم النطاق هذا على "نقطة مميزة"، وانظر عن كثب إلى الحرف ẹ فيه، ويمكنك أن تجد أنه ليس الحرف e. مربك؟ إنه في الواقع Punycode، الوصف القياسي هو كما يلي:

تشفير Bootstring لـ Unicode لأسماء النطاقات الدولية في التطبيقات (IDNA) هو ترميز اسم نطاق دولي يمثل مجموعة محدودة من الأحرف في كل من رموز Unicode وASCII.

إذا قام شخص ما بفك تشفير trẹzor، فسيبدو هكذا: xn-trzor-o51b، وهو اسم النطاق الحقيقي!

يستخدم المتسللون Punycode للتصيد الاحتيالي منذ سنوات، وفي عام 2018، تعرض بعض مستخدمي Binance للاختراق بنفس الخدعة.

يمكن لهذه الأنواع من مواقع التصيد الاحتيالي أن تتسبب بالفعل في سقوط العديد من الأشخاص، ناهيك عن الهجمات الأكثر تقدمًا مثل التحكم في صندوق البريد الرسمي، أو هجمات تزوير البريد الناتجة عن مشكلات تكوين نظام التعرف على هوية المرسل (SPF). ونتيجة لذلك، فإن مصدر البريد الإلكتروني يبدو تمامًا مثل المصدر الرسمي.

إذا كان أحد المطلعين المارقين، فلن يتمكن المستخدم من فعل أي شيء. يجب على فرق المشروع بذل الكثير من الجهد لمنع التهديدات الداخلية. المطلعون هم أكبر حصان طروادة، ولكنهم غالبًا ما يتم إهمالهم.

قضايا خصوصية Web3

مع تزايد شعبية Web3، ظهرت المزيد والمزيد من المشاريع المثيرة للاهتمام أو المملة: مثل جميع أنواع البنى التحتية لـ Web3، والمنصات الاجتماعية، وما إلى ذلك. وقد أجرى بعضهم تحليلًا هائلاً للبيانات وحددوا صورًا سلوكية مختلفة للأهداف، ليس فقط على blockchain الجانب، ولكن أيضًا على منصات Web2 المعروفة. بمجرد ظهور الصورة، يكون الهدف في الأساس شخصًا شفافًا. وقد يؤدي ظهور منصات Web3 الاجتماعية أيضًا إلى تفاقم مشكلات الخصوصية هذه.

فكر في الأمر، عندما تتعامل مع كل هذه الأشياء المتعلقة بـ Web3، مثل ربط التوقيع، والتفاعلات المتسلسلة، وما إلى ذلك، هل تتخلى عن المزيد من خصوصيتك؟ قد لا يتفق الكثيرون، ولكن مع تجميع العديد من القطع معًا، ستكون هناك صورة أكثر دقة وشمولاً: ما هي NFTs التي ترغب في جمعها، والمجتمعات التي انضممت إليها، والقوائم البيضاء التي تنضم إليها، ومن تتصل به، وما هي حسابات Web2 أنت ملتزم، والفترات الزمنية التي تنشط فيها، وما إلى ذلك. كما ترى، فإن blockchain أحيانًا يجعل الخصوصية أسوأ. إذا كنت تهتم بالخصوصية، فسيتعين عليك توخي الحذر مع كل ما ظهر حديثًا والحفاظ على العادة الجيدة المتمثلة في فصل هويتك.

في هذه المرحلة، إذا تمت سرقة المفتاح الخاص عن طريق الخطأ، فلن تكون الخسارة بسيطة مثل المال فحسب، بل كل حقوق ومصالح Web3 التي تم الحفاظ عليها بعناية. غالبًا ما نقول أن المفتاح الخاص هو الهوية، والآن لديك مشكلة حقيقية في الهوية.

لا تختبر الطبيعة البشرية أبدًا.

خدع البلوكشين

خلقت تقنية Blockchain صناعة جديدة تمامًا. سواء كنت تسميها BlockFi أو DeFi أو العملة المشفرة أو العملة الافتراضية أو العملة الرقمية أو Web3 وما إلى ذلك، فإن جوهر كل شيء لا يزال هو blockchain. تركزت معظم الضجة على الأنشطة المالية، مثل الأصول المشفرة، بما في ذلك الرموز غير القابلة للاستبدال (أو NFT، القابلة للتحصيل الرقمي).

تعتبر صناعة البلوكشين ديناميكية ورائعة للغاية، ولكن هناك العديد من الطرق لفعل الشر. تؤدي الخصائص الخاصة لـ blockchain إلى ظهور بعض الشرور الفريدة إلى حد ما، بما في ذلك على سبيل المثال لا الحصر سرقة العملات المشفرة، والتعدين الخفي، وبرامج الفدية، والتداول على شبكة الإنترنت المظلمة، وهجوم C2، وغسل الأموال، ومخططات بونزي، والمقامرة، وما إلى ذلك. لقد قمت بعمل خريطة ذهنية مرة أخرى في عام 2019 كمرجع.

https://github.com/slowmist/Knowledge-Base/blob/master/mindmaps/evil_blockchain.png

وفي الوقت نفسه، يقوم فريق SlowMist بصيانة وتحديث SlowMist Hacked – وهي قاعدة بيانات متنامية لأنشطة القرصنة المتعلقة بـ blockchain.

https://hacked.slowmist.io/

لقد قدم هذا الكتيب العديد من الإجراءات الأمنية، وإذا كان بإمكانك تطبيقها على الأمان الخاص بك، فتهانينا. لن أتحدث كثيرًا عن خدع blockchain. إذا كنت مهتمًا، يمكنك تعلم ذلك بنفسك، وهو أمر جيد بالتأكيد، خاصة وأن عمليات الاحتيال والاحتيال الجديدة تتطور بشكل مستمر. كلما تعلمت أكثر، كلما تمكنت من الدفاع عن نفسك بشكل أفضل وجعل هذه الصناعة أفضل.

ماذا تفعل عندما تتعرض للاختراق

إنها مسألة وقت فقط قبل أن يتم اختراقك في النهاية. حسنا ماذا سنفعل إذن؟ سأقوم ببساطة بالتوجه مباشرة إلى المطاردة. الخطوات التالية ليست بالضرورة بالترتيب؛ هناك أوقات يتعين عليك فيها التحرك ذهابًا وإيابًا، لكن الفكرة العامة هي هذه.

وقف الخسارة أولا

وقف الخسارة يتعلق بالحد من خسارتك. ويمكن تقسيمها إلى مرحلتين على الأقل.

• مرحلة العمل الفوري. التصرف على الفور! إذا رأيت أن المتسللين ينقلون أصولك، فلا تفكر أكثر. فقط أسرع وقم بنقل الأصول المتبقية إلى مكان آمن. إذا كانت لديك خبرة في تنفيذ الصفقات الأمامية، فما عليك سوى الإمساك بها والهرب. اعتمادًا على نوع الأصل، إذا كان بإمكانك تجميد أصولك على blockchain، فقم بذلك في أقرب وقت ممكن؛ إذا كان بإمكانك إجراء تحليل على السلسلة والعثور على أصولك قد تم تحويلها إلى بورصة مركزية، فيمكنك الاتصال بقسم مراقبة المخاطر الخاص بهم.
• مرحلة ما بعد العمل. بمجرد استقرار الوضع، يجب أن ينصب تركيزك على التأكد من عدم وقوع هجمات ثانوية أو ثالثة.

حماية المشهد

عندما تجد أن هناك شيئًا خاطئًا، ابق هادئًا وخذ نفسًا عميقًا. تذكر أن تحمي المشهد. وفيما يلي بعض الاقتراحات:

• إذا حدث الحادث على جهاز كمبيوتر أو خادم أو أجهزة أخرى متصلة بالإنترنت، فافصل الشبكة فورًا مع إبقاء الأجهزة متصلة بمصدر الطاقة. قد يدعي بعض الأشخاص أنه إذا كان فيروسًا مدمرًا، فسيتم تدمير ملفات النظام المحلية بواسطة الفيروس. إنهم على حق، لكن الإغلاق يساعد فقط إذا كان بإمكانك الاستجابة بشكل أسرع من الفيروس…
• ما لم تكن قادرًا على التعامل مع هذا الأمر بنفسك، فإن انتظار تدخل متخصصي الأمن للتحليل هو الخيار الأفضل دائمًا.

وهذا أمر مهم حقًا لأننا واجهنا عدة مرات أن المشهد كان بالفعل في حالة من الفوضى بحلول الوقت الذي تدخلنا فيه لإجراء التحليل. بل وكانت هناك حالات يبدو فيها أن الأدلة الرئيسية (مثل السجلات وملفات الفيروسات) قد تم تنظيفها. وبدون الحفاظ على مسرح الجريمة بشكل جيد، يمكن أن يكون ذلك معطلاً للغاية للتحليل والتعقب اللاحقين.

تحليل السبب الجذري

الغرض من تحليل السبب هو فهم الخصم وإخراج صورة المتسلل. في هذه المرحلة، يعد تقرير الحادث مهمًا جدًا، والذي يسمى أيضًا تقرير ما بعد الوفاة. يشير تقرير الحادث وتقرير ما بعد الوفاة إلى نفس الشيء.

لقد التقينا بالعديد من الأشخاص الذين جاءوا إلينا طلبًا للمساعدة بعد سرقة عملاتهم المعدنية، وكان من الصعب جدًا على الكثير منهم أن يخبروا بوضوح بما حدث. ومن الصعب عليهم إعداد تقرير واضح عن الحادث. لكنني أعتقد أنه يمكن ممارسة ذلك وسيكون من المفيد الإشارة إلى الأمثلة. يمكن أن يكون ما يلي نقطة انطلاق جيدة:

• ملخص 1: من المتورط ومتى حدث ذلك وماذا حدث وكم كانت الخسارة الإجمالية؟
• ملخص 2: عناوين المحفظة المتعلقة بالخسارة، عنوان محفظة المخترق، نوع العملة، كمية العملة. يمكن أن يكون الأمر أكثر وضوحًا بمساعدة جدول واحد فقط.
• وصف العملية: هذا الجزء هو الأصعب. سوف تحتاج إلى وصف جميع جوانب الحادث بكل التفاصيل، وهو أمر مفيد لتحليل أنواع مختلفة من الآثار المتعلقة بالهاكر والحصول في النهاية على صورة الهاكر منهم (بما في ذلك الدافع)

عندما يتعلق الأمر بحالات معينة، سيكون القالب أكثر تعقيدًا. في بعض الأحيان، قد تكون الذاكرة البشرية أيضًا غير موثوقة، بل إن هناك إخفاء متعمد للمعلومات الأساسية مما قد يؤدي إلى إضاعة الوقت أو تأخير التوقيت. ومن ثم، من الناحية العملية، سيكون هناك استهلاك ضخم ونحن بحاجة إلى استخدام خبرتنا لتوجيه العمل بشكل جيد. أخيرًا، نصدر تقريرًا بالحادث مع الشخص أو الفريق الذي فقد العملات المعدنية، ونستمر في تحديث تقرير الحادث هذا.

تتبع المصدر

وفقا لقانون روكا، حيثما يوجد غزو، يوجد أثر. إذا بحثنا بجدية كافية، فسنجد دائمًا بعض الأدلة. عملية التحقيق هي في الواقع تحليل الطب الشرعي وتتبع المصدر. سنقوم بتتبع المصادر وفقًا لصورة المتسلل من التحليل الجنائي، وإثرائها باستمرار، وهي عملية ديناميكية ومتكررة.

يتكون تتبع المصدر من جزأين رئيسيين:

• الذكاء على السلسلة. نقوم بتحليل أنشطة الأصول لعناوين المحفظة، مثل الدخول إلى البورصات المركزية وخلاطات العملات وما إلى ذلك، ومراقبتها والحصول على تنبيهات بشأن التحويلات الجديدة.
• الذكاء خارج السلسلة: يغطي هذا الجزء عنوان IP الخاص بالمتسلل ومعلومات الجهاز وعنوان البريد الإلكتروني والمزيد من المعلومات من ارتباط هذه النقاط المرتبطة، بما في ذلك المعلومات السلوكية.

هناك الكثير من أعمال تتبع المصدر بناءً على هذه المعلومات، بل إنها تتطلب مشاركة جهات إنفاذ القانون.

اختتام القضايا

بالطبع نحن جميعًا نريد نهاية سعيدة، وإليك بعض الأمثلة على الأحداث التي تم الكشف عنها علنًا والتي شاركنا فيها والتي حققت نتائج جيدة:

• Lendf.Me بقيمة $25 مليون
• تمويل SIL بقيمة $12.15 مليون
• شبكة بولي بقيمة $610 مليون

لقد شهدنا العديد من الحالات الأخرى غير المنشورة والتي انتهت بنتائج جيدة أو جيدة. لكن معظمهم كانت نهاياتهم سيئة، وهو أمر مؤسف للغاية. لقد اكتسبنا الكثير من الخبرات القيمة في هذه العمليات ونأمل أن نرفع نسبة النهايات الجيدة في المستقبل.

وقد تم ذكر هذا الجزء بإيجاز على النحو الوارد أعلاه. هناك قدر كبير من المعرفة المتعلقة بهذا المجال ولست على دراية ببعضها. وبالتالي، لن أقدم شرحًا مفصلاً هنا. اعتمادًا على السيناريو، فإن القدرات التي نحتاج إلى إتقانها هي:

• التحليل الأمني للعقود الذكية والطب الشرعي
• التحليل والطب الشرعي لتحويلات الأموال عبر السلسلة
• تحليل أمن الويب والطب الشرعي
• تحليل أمان خادم Linux والطب الشرعي
• تحليل أمان Windows والطب الشرعي
• التحليل الأمني والطب الشرعي لنظام التشغيل MacOS
• تحليل الأمن المحمول والطب الشرعي
• تحليل التعليمات البرمجية الضارة والطب الشرعي
• التحليل الأمني والطب الشرعي لأجهزة الشبكة أو المنصات
• تحليل الأمن الداخلي والطب الشرعي
• …

فهو يغطي كل جانب من جوانب الأمان تقريبًا، وكذلك يفعل هذا الكتيب. ومع ذلك، تم ذكر هذه النقاط الأمنية بشكل مختصر هنا كدليل تمهيدي.

فكرة خاطئة

منذ البداية، يخبرك هذا الكتيب بالبقاء متشككًا! وهذا يشمل كل ما ذكر هنا. هذه صناعة نابضة بالحياة وواعدة للغاية، ومليئة بجميع أنواع الفخاخ والفوضى. دعونا هنا نلقي نظرة على بعض المفاهيم الخاطئة، والتي إذا اعتبرت حقيقة، يمكن أن تجعلك تقع بسهولة في الفخاخ وتصبح جزءًا من الفوضى نفسها.

الكود هو القانون

القانون هو القانون. ومع ذلك، عندما يتعرض مشروع ما (خاصة المشاريع المتعلقة بالعقود الذكية) للاختراق أو الاختراق، فلن يرغب أي ضحية على الإطلاق في "القانون هو القانون"، واتضح أنهم ما زالوا بحاجة إلى الاعتماد على القانون في العالم الحقيقي.

ليس مفاتيحك، وليس عملاتك المعدنية

إذا لم تكن تمتلك مفاتيحك، فأنت لا تمتلك عملاتك المعدنية. في واقع الأمر، فشل العديد من المستخدمين في إدارة مفاتيحهم الخاصة بشكل صحيح. بسبب الممارسات الأمنية الخاطئة المختلفة، فقد فقدوا أصولهم المشفرة. في بعض الأحيان ستجد أنه من الأكثر أمانًا وضع أصول العملة المشفرة الخاصة بك في منصات كبيرة وذات سمعة طيبة.

نحن نثق في Blockchain

نحن نثق بها لأنها blockchain. في الواقع، تتمتع تقنية blockchain نفسها بالقدرة على حل العديد من مشكلات الثقة الأساسية، نظرًا لأنها مقاومة للتلاعب والرقابة وما إلى ذلك؛ إذا كانت الأصول الخاصة بي والأنشطة ذات الصلة مقيدة بالسلسلة، فيمكنني أن أثق افتراضيًا في أنه لن يتمكن أي شخص آخر من مصادرة الأصول الخاصة بي أو التلاعب بنشاطي دون تصريح. ومع ذلك، فإن الواقع غالبًا ما يكون قاسيًا، أولاً ليس كل blockchain قادرًا على تحقيق هذه النقاط الأساسية، وثانيًا، تصبح الطبيعة البشرية دائمًا الحلقة الأضعف. العديد من تقنيات القرصنة في الوقت الحاضر تتجاوز خيال معظمنا. على الرغم من أننا نقول دائمًا أن الهجوم والدفاع يمثلان التوازن بين التكلفة والتأثير، إلا أنه عندما لا تمتلك أصلًا كبيرًا، لن يضيع أي متسلل الوقت لاستهدافك. ولكن عندما يكون هناك أهداف متعددة مثلك، سيكون من المربح جدًا للقراصنة شن الهجوم.

نصيحتي الأمنية بسيطة للغاية: عدم الثقة افتراضيًا (أي التشكيك في كل شيء افتراضيًا)، وإجراء التحقق المستمر. التحقق هو الإجراء الأمني الرئيسي هنا، والتحقق المستمر يعني بشكل أساسي أن الأمان ليس في حالة ثابتة أبدًا، فهو آمن الآن لا يعني أنه آمن غدًا. إن القدرة على التحقق بشكل صحيح هي التحدي الأكبر بالنسبة لنا جميعًا، ولكنها مثيرة للاهتمام للغاية، حيث ستتقن الكثير من المعرفة في هذه العملية. عندما تكون قويا بما فيه الكفاية، لا يمكن لأحد أن يؤذيك بسهولة.

أمن التشفير هو الأمن

التشفير قوي ومهم. بدون كل العمل الشاق الذي يبذله مصممو التشفير، وجميع خوارزميات التشفير القوية والتطبيقات الهندسية، لن تكون هناك تكنولوجيا اتصالات حديثة أو إنترنت أو تكنولوجيا blockchain. ومع ذلك، يعتبر بعض الأفراد أمان التشفير بمثابة أمان مطلق. ومن هنا تطرح مجموعة من الأسئلة الغريبة:

أليست تقنية blockchain آمنة للغاية لدرجة أن الأمر استغرق تريليونات السنين لكسر المفتاح الخاص؟ كيف يمكن لمكتب التحقيقات الفيدرالي فك تشفير Dark Web Bitcoin؟ لماذا بحق السماء يمكن سرقة NFT الخاص بـ Jay Chou؟

أستطيع أن أتحمل هذه الأسئلة المبتدئة... ما لا أستطيع أن أتحمله هو حقيقة أن العديد من المتخصصين في مجال الأمن يستخدمون مفاهيم أمان التشفير لخداع الجمهور، فهم يذكرون مصطلحات مثل التشفير من الدرجة العسكرية، وأفضل تشفير في العالم، والتشفير الكوني، التشفير على المستوى، وأمان النظام المطلق، وعدم قابلية الاختراق، وما إلى ذلك.

المتسللين؟ لا يبالون...

هل من المهين أن يتم اختراقك؟

صحيح أن التعرض للاختراق يمكن أن يجلب مشاعر مختلطة، وسيكون هناك شعور بالخجل في بعض الأحيان. لكن عليك أن تفهم أن التعرض للاختراق مضمون بنسبة 100% تقريبًا، لذا ليس هناك ما تخجل منه.

بمجرد تعرضك للاختراق، لا يهم إذا كنت مسؤولاً عن نفسك فقط. ومع ذلك، إذا كنت مسؤولاً عن العديد من الأشخاص الآخرين، فيجب عليك أن تكون شفافًا ومنفتحًا عند التعامل مع الحادث.

على الرغم من أن الأشخاص قد يشككون أو حتى يتهمونك بتدبير الاختراق بنفسك، إلا أن عملية التحديث الشفافة والمفتوحة ستجلب دائمًا الحظ السعيد والتفهم.

فكر في الأمر بهذه الطريقة: إذا لم يكن مشروعك معروفًا، فلن يقوم أحد باختراقك. العار لا يتم اختراقه؛ العار هو غطرستك.

من وجهة نظر احتمالية، يعد التعرض للاختراق ظاهرة شائعة، وعادةً ما تكون غالبية المشكلات الأمنية مجرد مشكلات صغيرة، مما قد يساعد مشروعك على النمو. ومع ذلك، لا يزال يتعين تجنب المشاكل الكبيرة الخطيرة قدر الإمكان.

تحديث على الفور

يقترح هذا الكتيب في كثير من الأحيان الاهتمام بالتحديث. إذا كان هناك تحديث أمني متاح، فقم بتطبيقه على الفور. الآن فكر جيدًا، هل هذه رصاصة فضية؟

في الواقع، في معظم الحالات، يكون "التحديث الآن" هو الشيء الصحيح الذي ينبغي عمله. ومع ذلك، كانت هناك أوقات في التاريخ عندما يحل التحديث مشكلة واحدة ولكنه يقدم مشكلة أخرى. ومن الأمثلة على ذلك iPhone وGoogle Authenticator:

هناك خطر من تحديث iOS 15 الجديد، أي أن المعلومات الموجودة في Google Authenticator قد يتم مسحها أو مضاعفتها بعد ترقية iPhone. في هذه الحالة، لا تقم أبدًا بحذف الإدخالات المكررة إذا وجدت أنها مضاعفة، حيث قد يتسبب ذلك في فقدان جميع المعلومات الموجودة في Google Authenticator بعد إعادة فتحه.

بالنسبة لأولئك الذين لم يقوموا بالترقية إلى نظام iOS 15 ويستخدمون Google Authenticator، يوصى بشدة بعمل نسخة احتياطية منه قبل الترقية.

لاحقًا، قامت Google بتحديث تطبيق Authenticator، مما أدى إلى حل هذه المشكلة بشكل دائم.

علاوة على ذلك، لا أوصي بتحديث المحافظ بشكل متكرر، خاصة بالنسبة للمحافظ ذات الأصول الثقيلة، إلا إذا كان هناك تصحيح أمني كبير، أو ميزة مهمة جدًا تؤدي إلى تحديث لا مفر منه. وفي هذه الحالات سيتعين عليك إجراء تقييم المخاطر الخاص بك واتخاذ القرار الخاص بك.

خاتمة

تذكر أن هذا الكتيب يبدأ بهذا المخطط 🙂

هل لاحظت أنني قمت بتحديد الشخص في الرسم البياني باللون الأحمر؟ أفعل ذلك لتذكير الجميع مرة أخرى بأن البشر هم أساس الجميع (يشار إليه باسم "المبدأ الإنساني" في علم الكونيات). بغض النظر عما إذا كان الأمر يتعلق بأمن الطبيعة البشرية، أو القدرة على إتقان المهارات الأمنية، فكل هذا يعتمد عليك. نعم، عندما تكون قوياً بما فيه الكفاية، لا يمكن لأحد أن يؤذيك بسهولة.

لقد بدأت في التوسع بناءً على الرسم التخطيطي، وشرحت العديد من نقاط الأمان الرئيسية في العمليات الثلاث، وهي إنشاء المحفظة والنسخ الاحتياطي للمحفظة واستخدام المحفظة. ثم قدمت حماية الخصوصية التقليدية. لقد ذكرت أن مثل هذه العناصر التقليدية هي حجر الزاوية ولبنات البناء بالنسبة لنا للبقاء آمنين في الأنظمة البيئية blockchain. لا يمكن المبالغة في الاهتمام بالجزء المتعلق بأمن الطبيعة البشرية. من الجيد أن تفهم المزيد عن الطرق المختلفة لفعل الشر، خاصة إذا دخلت في بعض الحفر، فقد يصبح الوعي الأمني الموجود على الورق في النهاية تجربتك الأمنية. لا يوجد أمان مطلق، لذلك شرحت ما يجب عليك فعله عند تعرضك للاختراق. لا أريد أن يحدث لك حدث مؤسف، ولكن في حالة حدوثه، آمل أن يساعدك هذا الكتيب. وآخر شيء هو الحديث عن بعض المفاهيم الخاطئة. نيتي بسيطة للغاية، أتمنى أن تتمكن من بناء تفكيرك النقدي، لأن العالم جميل ورهيب في نفس الوقت.

لم أكتب الكثير من الكلمات لفترة طويلة. أعتقد أن آخر مرة كانت قبل 10 سنوات عندما كتبت الكتاب "شبكة الإنترنت هي أفضل ما في الأمر". لقد كان حلوًا ومرًا جدًا. بعد سنوات عديدة من العمل في مجال أمن الويب والأمن السيبراني، قمت بقيادة فريق لإنشاء ZoomEye، وهو محرك بحث في الفضاء الإلكتروني. في مجال الأمن السيبراني، شاركت في العديد من المجالات، ولا أستطيع أن أقول إنني ماهر فيها إلا القليل منها.

الآن في مجال أمان blockchain، نعتبر أنا وSlowMist روادًا. هناك الكثير من الحالات التي واجهناها في هذه السنوات لدرجة أنك تكاد تعتقد أننا في حالة نشوة كل يوم. ومن المؤسف أن العديد من الأفكار لم يتم تسجيلها ومشاركتها. ونتيجة لذلك، وبناءً على إلحاح العديد من الأصدقاء، وُلد هذا الكتيب.

عندما تنتهي من قراءة هذا الكتيب، يجب عليك أن تتدرب وتصبح ماهرًا وتستخلص الاستنتاجات. عندما يكون لديك اكتشاف أو تجربة خاصة بك بعد ذلك، أتمنى أن تساهم. إذا شعرت أن هناك معلومات حساسة، فيمكنك إخفاءها أو إخفاء هوية المعلومات.

وأخيرًا، بفضل النضج العالمي للتشريعات والإنفاذ المتعلقة بالأمن والخصوصية؛ بفضل جهود جميع رواد التشفير والمهندسين والهاكرز الأخلاقيين وجميع المشاركين في خلق عالم أفضل، ومن بينهم ساتوشي ناكاموتو.

زائدة

قواعد ومبادئ الأمن

يتم تلخيص القواعد والمبادئ الأمنية المذكورة في هذا الدليل على النحو التالي. يتم دمج عدد لا بأس به من القواعد في النص أعلاه ولن يتم تنقيحها هنا على وجه التحديد.

قاعدتان أمنيتان رئيسيتان:

• الثقة صفر. لتبسيط الأمر، كن متشككًا، وكن دائمًا كذلك.
• التحقق المستمر. لكي تثق بشيء ما، عليك التحقق من صحة ما تشك فيه، وجعل التحقق من الصحة عادة.

مبادئ الأمن:

• للحصول على كل المعلومات المستمدة من الإنترنت، ارجع إلى مصدرين على الأقل، وتأكد من صحة كل منهما الآخر، وكن دائمًا متشككًا.
• فصل. لا تضع كل البيض في سلة واحدة.
• بالنسبة للمحافظ التي تحتوي على أصول مهمة، لا تقم بإجراء تحديثات غير ضرورية.
• ما تراه هو ما توقعه. يجب أن تكون على دراية بما تقوم بالتوقيع عليه، وبالنتيجة المتوقعة بعد إرسال المعاملة الموقعة. لا تفعل أشياء قد تندم عليها بعد ذلك.
• انتبه إلى تحديثات أمان النظام. قم بتطبيقها بمجرد توفرها.
• إن عدم تنزيل البرامج وتثبيتها بشكل متهور يمكن أن يمنع معظم المخاطر.

المساهمين

شكرًا للمساهمين، سيتم تحديث هذه القائمة باستمرار وآمل أن تتمكنوا من الاتصال بي إذا كانت هناك أية أفكار لهذا الكتيب.

كوس، تويتر(@evilcos)、即刻(@余弦.jpg)

المساهمين

زوجتي SlowMist، Twitter (@SlowMist_Team)، على سبيل المثال Pds، Johan، Kong، Kirk، Thinking، Blue، Lisa، Keywolf... تطبيق Jike بعض الأصدقاء المجهولين... المزيد: https://darkhandbook.io/contributors.html

إذا تم قبول مساهمتك لإدراجها في هذا الدليل، فستتم إضافتك إلى قائمة المساهمين.

على سبيل المثال: تقديم اقتراحات أو حالات محددة للدفاع عن السلامة؛ شارك في أعمال الترجمة. تصحيح الأخطاء الكبيرة، الخ.

المواقع الرسمية

SlowMist https://www.slowmist.com CoinMarketCap https://coinmarketcap.com/ Sparrow Wallet https://sparrowwallet.com/ MetaMask https://metamask.io/ imToken https://token.im/ Trust Wallet https //trustwallet.com/ Gnosis Safe https://gnosis-safe.io/ ZenGo https://zengo.com/ Fireblocks https://www.fireblocks.com/ Safeheron https://www.safeheron.com/ كيستون https://keyst.one/ تريزور https://trezor.io/ رابي https://rabby.io/ EdgeWallet https://edge.app/ MyEtherWallet https://www.myetherwallet.com/ فانتوم https: //phantom.app/ تورنادو كاش https://tornado.cash/ باينانس https://www.binance.com/ كوين بيز https://coinbase.com كومباوند https://compound.finance/ سوشي سواب https://www .sushi.com/ OpenSea https://opensea.io/ إلغاء.cash https://revoc.cash/ APPROVED.zone https://approved.zone/ https://okjike.com/ Kaspersky https:// www.kaspersky.com.cn/ Bitdefender https://www.bitdefender.com/ Cloudflare https://www.cloudflare.com/ Akamai https://www.akamai.com/ مراقبة الدفاع عن النفس https://ssd .eff.org/ دليل الخصوصية https://www.privacytools.io/ OpenPGP https://www.openpgp.org/ GPG https://gnupg.org/ جناح GPG https://gpgtools.org/ Gpg4win https: //www.gpg4win.org/ 1Password https://1password.com/ Bitwarden https://bitwarden.com/ Google Authenticator https://support.google.com/accounts/answer/1066447 Microsoft Authenticator https://www .microsoft.com/en-us/security/mobile-authenticator-app ProtonMail https://protonmail.com/ توتانوتا https://tutanota.com/ VMware Workstation https://www.vmware.com/products/workstation- pro.html المتوازيات https://www.parallels.com/