مقابلة | أمان العملة المستقرة سباق مع الزمن: الرئيس التنفيذي لشركة Immunefy

ميتشل أمادور، الرئيس التنفيذي لشركة Immunefi، يشرح ما الذي تسعى إليه شركات الأمن لمنع الاستغلال التالي بمليار دولار في العملات المستقرة. ملخص

• مع زيادة اعتماد العملات المستقرة، تواجه بنية الأمان تحديات في مواكبة ذلك.
• أكثر من 90% من المشاريع المدققة كان لديها ثغرات حرجة، حسب قول الرئيس التنفيذي لشركة Immunefy
• الغالبية العظمى من المشاريع لا تستخدم ميزات الأمان الرئيسية مثل الجدران النارية

بينما تتجه العملات المشفرة نحو الاعتماد السائد، تصبح العملات المستقرة العمود الفقري المالي للاقتصاد على السلسلة. ولكن في حين لا يزال رأس المال يتدفق، تظل البنية التحتية الأمنية التي تدعم هذه الأنظمة متخلفة بشكل خطير.

يعتقد ميتشل أمارور، الرئيس التنفيذي لشركة أمن الويب 3 إيمونيفي، أننا في “سباق مع الزمن”. في هذه المقابلة، يوضح المخاطر الحقيقية المخفية داخل أنظمة العملة المستقرة، ولماذا لا تزال معظم المؤسسات غير مستعدة للاستغلال الذي قد يكلف مليار دولار.

Crypto.news: ماذا يمكنك أن تخبرني عن الحالة الحالية للأمان عندما يتعلق الأمر بالعملات المستقرة؟

ميتشل أمدور: نحن في نوع من العالم الجديد الشجاع. نحن فقط بدأنا الآن نكتشف ما إذا كانت تدابير الأمان التي استخدمناها على مدى السنوات القليلة الماضية قد نجحت حقاً.

من ناحية، لم نشهد اختراقًا كبيرًا لعملة مستقرة منذ فترة طويلة. يمكنك النظر إلى الحوادث مثل اختراقات DeFi المبكرة، أو قضايا مثل انفصال USDC خلال انهيار بنك Silicon Valley — كانت تلك أحداثًا خطيرة، لكن لم يحدث لدينا أي شيء بهذا الحجم منذ ذلك.

لذا يشعر الناس بالرضا حول أمان العملة المستقرة. لكن الحقيقة هي: أننا لا نعرف حقًا ما إذا كانت الأمور آمنة. لإعطائك مقارنة، فكر في المدة التي استغرقها الأمر لشعور بالثقة في شيء مثل MakerDAO أو Aave أو Compound. لقد استغرق الأمر سنوات لبناء تلك الثقة من قبل المستخدمين. العملات المستقرة، وخاصة اللامركزية منها، لا تزال أقل نضجًا من تلك البروتوكولات.

نحن على وشك إضافة تريليون دولار آخر من السيولة في العملات المستقرة إلى النظام في السنوات القليلة المقبلة. السؤال الحقيقي هو: هل نحن مستعدون لاستيعاب هذه القيمة الكبيرة دون فشل كارثي؟ لا أعتقد أننا نعرف الإجابة على ذلك بعد — وقد نكتشف ذلك بالطريقة الصعبة.

CN: ماذا عن مخاطر الاختراق بشكل محدد؟

MA: هذه هي المخاطرة التي أشعر بالقلق أكثر بشأنها. لقد شهدنا أحداث عدم استقرار مالي — فك الارتباط، سحب الرافعة، حتى عمليات الإنقاذ — ونعرف كيف ندير تلك الأمور. ولكن مع الاختراقات، هناك دائماً عامل البجعة السوداء.

يمكن أن يؤدي الاختراق الضخم الذي يستهدف العملات المستقرة إلى إضفاء عدم الشرعية على جميع العملات المشفرة. تخيل وجود ثغرة في العقد الذكي تؤثر على عدة مئات من المليارات من الدولارات — أو خطأ في أصل عملة مستقرة أساسية يدعم بروتوكولات أخرى. هذا ليس خيال علمي. إنه ممكن.

من منظور Immunefi، فإن أكثر من 90% من المشاريع التي نقوم بتدقيقها تحتوي على ثغرات حرجة — بما في ذلك أنظمة العملات المستقرة. الخبر الجيد هو أننا أحرزنا تقدمًا كبيرًا. قبل بضع سنوات، كانت تقريبًا كل مشروع نتعامل معه يتعرض للاختراق خلال بضع سنوات. اليوم، أقل من نصفها — لا يزال مرتفعًا، ولكنها تحسن.

ومع ذلك، نحن في الأساس نراهن على النظام البيئي بأسره على كود قد لا يكون جاهزًا. ولن نعرف حقًا حتى يتم اختباره تحت الضغط. أعتبرها مثل ساعة العد التنازلي. من اللحظة التي يتم فيها نشر عملة مستقرة مثل USDC أو USDT، يبدأ خطر الاستغلال الحرج في العد التنازلي.

مع تعقيد العقد وزيادة ميزاته، تزداد المخاطر. في الوقت نفسه، من الجانب الآخر من الساعة، نحن نسرع لتحسين بنية الأمان — مكافآت الأخطاء، الجدران النارية، ماسحات الثغرات المعتمدة على الذكاء الاصطناعي، أدوات القوائم السوداء. هذه تساعد على “إضافة الوقت” إلى ذلك العد التنازلي.

السباق هو: هل يمكننا تأمين هذه الأنظمة بسرعة كافية قبل أن يحدث اختراق كارثي؟

الآن، نحن في وسط تلك السباق — وقد ننجح في ذلك. هناك فرصة لأن نصبح آمنين بما يكفي بحيث لا تحدث فشل ضخم أبداً. ولكننا لسنا متأكدين بعد. ستكون السنتان القادمتان حاسمتين.

CN: ما هي أكبر مصادر ضعف العقود الذكية في العملات المستقرة؟

MA: المخاطر مشابهة لمعظم تطبيقات DeFi — مع بعض الاختلافات. معظم العملات المستقرة ليست لامركزية، لذا لا تواجه عادةً قضايا تتعلق بالحوكمة. لكن لديك فئتين رئيسيتين من الثغرات:

خطر الكود — يمكن كتابة العقود الذكية بطرق تجعلها عرضة للتلاعب. لقد رأينا أخطاء رياضية، منطق استرداد معيب، واستخدام خاطئ للأوراكل — وكل ذلك يمكن أن يؤدي إلى استغلالات كبيرة. هذه هي الطريقة التي حدثت بها بعض عمليات اختراق العملات المستقرة المبكرة.

التحكم في الوصول — العديد من العملات المستقرة مركزية، مما يعني أن هناك وظائف مميزة — مثل السك أو الاسترداد — التي تتحكم فيها الجهة المصدرة. إذا قام شخص ما بخرق تلك الضوابط، قد ينهار النظام بالكامل. قد تتذكر مشكلة باي بال حيث قام شخص ما عن طريق الخطأ بسك $300 تريليون في PYUSD. كانت تلك لمسة غير ضارة — لكنها تظهر ما هو ممكن.

المخاطر المالية حقيقية. لقد رأينا ذلك مع Circle خلال أزمة SVB — ليس بسبب ضمانات سيئة، ولكن بسبب ضغط السيولة. يمكن أن تؤدي موجة من الاستردادات إلى خلق سيناريو “الهروب من البنك”، حتى لو كانت الأصول موجودة تقنيًا.

تزداد المخاطر القانونية أيضًا. يمكن للحكومات التدخل وستتدخل. لكن هذه ليست في الحقيقة قضايا “أمان” بالمعنى الخاص بالعقود الذكية — إنها مخاوف أمان أوسع. تحتاج إلى مجموعة أدوات مختلفة تمامًا لإدارة تلك.

CN: هل تعتقد أن المؤسسات والبنوك تفهم المخاطر التي تصفها؟

أمادور: ليس حقاً. إنهم يفهمون المخاطر المالية والقانونية — هذه هي عالمهم. لكن عندما يتعلق الأمر بمخاطر الشيفرة، فإنهم في الغالب يخافون فقط.

هم يعلمون أنهم خارج عمقهم. هم يحاولون التعلم، يستأجرون فرقًا ذات خبرة في العملات المشفرة، يشترون شركات البنية التحتية مثل Privy و Bridge. لكن معظمهم لا يزال لا يشعر بالأمان. يرون استغلال العقود الذكية كمشكلة غريبة لا يملكون القدرة على حلها - وهم محقون.

هم أكثر راحة مع إدارة المفاتيح والتحكم في الوصول — وهذا يتناسب مع عملياتهم التقليدية. ولكن بمجرد الغوص أعمق في مجموعة العملات المشفرة، يصبح الأمر منطقة غريبة بالنسبة لهم.

CN: ما الذي سيقنعهم بالتحرك بشكل أسرع؟

MA: FOMO. هذا هو. يحتاجون إلى حالة عمل — فرصة كبيرة لا يريدون تفويتها. ثم سيستثمرون في فهم المخاطر. هنا نأتي في Immunefi: نساعد هذه المؤسسات على معرفة كيفية تأمين نفسها.

CN: ماذا يجب أن تفعل مشاريع العملات المشفرة اليوم فعليًا لإدارة مخاطر العقود الذكية؟

MA: يجب أن نهدف إلى “الأمان بشكل افتراضي”. هذا هو الهدف. لدينا أدوات قوية الآن — الفحص العشوائي، التحقق الرسمي، التحليل الثابت المدعوم بالذكاء الاصطناعي — العديد منها قد بدأناه في Immunefi. لكن التبني لا يزال منخفضًا جدًا. لا تزال معظم الفرق تعامِل التدقيقات ومكافآت الأخطاء كقوائم تحقق تتم مرة واحدة. هذا ليس كافيًا.

إليك ما يجب على كل مشروع جاد القيام به:

الكشف عن ثغرات الذكاء الاصطناعي (PR المراجعات): المسح الآلي + البشري لكل سطر من التعليمات البرمجية الجديدة قبل دمجه.

التدقيق: كل من التدقيق التقليدي ومنافسات التدقيق مع العشرات أو المئات من القراصنة الذين يراجعون الشيفرة.

جوائز الأخطاء: مع مكافآت ذات مغزى مرتبطة بمقدار المال المعرض للخطر.

حلول المراقبة: اكتشاف التهديدات في الوقت الحقيقي بعد النشر.

جدران الحماية: “حراس” على مستوى العقد يمنعون المعاملات الخبيثة قبل تنفيذها.

إذا قمت بتشغيل هذه المجموعة الكاملة، فإنك تعطي لنفسك خمس فرص مميزة لالتقاط الثغرات قبل أن تتسبب في ضرر. ومع ذلك، فإن أقل من 1% من المشاريع تستخدم جدران الحماية، وأقل من 10% تستخدم أدوات الذكاء الاصطناعي لرصد الثغرات. هذه فجوة ضخمة — وهي فجوة قابلة للحل.

CN: هل هناك عوامل أخرى — مثل تصميم اللغة أو الهندسة المعمارية — تجعل العقود أكثر أمانًا؟

MA: نعم، ولكن ذلك يعتمد على التطبيق. العقود الأبسط تكون دائمًا أكثر أمانًا. لهذا السبب، فإن عقود ERC-20 لا تتعرض للاختراق تقريبًا — فهي صغيرة، محكمة، ومختبرة جيدًا. كلما زادت تعقيد منطقك، زاد الخطر الذي تتحمله.

القدرة على الترقية هي عامل كبير آخر. إنها تضيف مرونة في تجربة المستخدم، لكنها تقدم ثغرة. من الناحية المثالية، يجب أن تستخدمها أنت فقط — لكننا شهدنا العديد من الحالات التي تم فيها إساءة استخدامها. ومع ذلك، تختار معظم المشاريع اليوم القدرة على الترقية لأن المقايضة تستحق ذلك من أجل التبني.

CN: الأفكار النهائية — ما هي القضية المهمة التي لا يتحدث عنها أحد بما فيه الكفاية؟

MA: بالتأكيد. واحدة من أكبر النقاط العمياء تتعلق بمسؤولية البروتوكول. مع تدفق المزيد من الأموال إلى الأنظمة على السلسلة، ستتغير المشهد القانوني بسرعة. في مرحلة ما، سيسأل شخص ما: من المسؤول عندما يحدث خلل؟ ليس لدينا إجابة واضحة على ذلك بعد — ولكنها قادمة، وستعيد تشكيل كيفية بناء البروتوكولات وإدارتها.

هناك شيء آخر أفكر فيه وهو مدى تغير ثقافة العملات المشفرة. إنها تتحول إلى مالية. يمكنك أن تشعر بذلك. كان البناة الأوائل مثاليين — مؤمنين حقيقيين باللامركزية والأنظمة المفتوحة. الآن نشهد موجة من المحترفين الماليين الذين يتعاملون مع هذا المجال بطريقة مختلفة تمامًا. هذا ليس بالضرورة سيئًا، ولكن ذلك يغير الروح، ونحن لا نعرف بعد ما ستكون عليه العواقب طويلة المدى لهذا التحول.

ثم هناك مسألة القابلية للعكس. مع انتقال المؤسسات إلى الشبكة، ستبدأ في المطالبة بميزات لا توجد حاليًا في معظم السلاسل العامة. واحدة من هذه الميزات هي القدرة على عكس المعاملات.

أعتقد أننا سنرى المزيد من السلاسل، ربما حتى الكبيرة منها، تبدأ في تقديم هذه القدرة، خاصة في البيئات المصرح بها أو شبه المصرح بها. وهذا يخلق فئة جديدة من بنية تحتية blockchain تتصرف بشكل يشبه التمويل التقليدي — حدائق محاطة بأسوار مع جسور إلى العالم المفتوح.

كل هذا يتعلق بشيء أعتقد أن الناس يفتقدونه: أمان العملات المشفرة على وشك أن يحظى بلحظته. لا يزال غير مقدر اليوم، لكن من الواضح أن كل لاعب رئيسي — من الصناديق إلى DAOs إلى البنوك — سيعتمد في النهاية على السكك الحديدية على السلسلة.

وهذا يعني أنهم جميعًا يحتاجون إلى حماية جدية. أعتقد أننا فقط في بداية انفجار كبير في بنية الأمان، ولا أحد مستعد حقًا لما سيبدو عليه ذلك.

<br>