أمان ويب3 — السوق المخفي بقيمة مئة مليار دولار
مذكرة المؤلف ✍🏻
مرة واحدة، قام الإغريق ببناء حصان خشبي وقدموه كهدية لمدينة طروادة. رأى أهل المدينة فيه رمزًا للسلام، دون علمهم بالتهديد المخفي بداخله.
مع إطلاق صندوق الاستثمار المتداول لبيتكوين بنجاح، يتزايد عدد المستخدمين الجدد والأموال التي تتدفق مرة أخرى إلى الويب3، ويبدو أن السوق المتزايد يشير إلى أن مستقبل الويب3 نحو تطبيقات واسعة الانتشار أقرب بخطوة واحدة. ومع ذلك، تظل نقص السياسات وثغرات الأمان هما العقبات الرئيسية أمام اعتماد العملات المشفرة على نطاق واسع.
في عالم العملات الرقمية، يمكن للمتسللين الربح مباشرة من مهاجمة الثغرات على السلسلة، مما يؤدي أحيانًا إلى كسب الملايين أو حتى المليارات من الدولارات. وفي الوقت نفسه، تخلق التشفيرات المجهولة ظروفًا للمتسللين لتفادي القبض عليهم. بحلول نهاية عام 2023، كان القيمة المقفلة الإجمالية (TVL) لجميع بروتوكولات التمويل اللامركزي (DeFi) حوالي 4 مليارات دولار (حاليا 10 مليارات دولار)، بينما في عام 2022 وحده، بلغ إجمالي قيمة الرموز المسروقة من بروتوكولات DeFi 310 مليون دولار، مما يمثل 7% من القيمة المذكورة أعلاه. توضح هذه الأرقام بشكل كامل خطورة قضايا الأمان في صناعة Web3، مثل سيف داموقليس يعلو رؤوسنا.
إنها ليست مجرد بيئة على السلسلة. تعد مشكلات الأمان في نهاية مستخدم Web3 مهمة أيضا. وفقا لبيانات من Scam Sniffer ، في عام 2023 ، سرقت أصول 324,000 مستخدم بسبب هجمات التصيد الاحتيالي ، بمبلغ إجمالي مسروق قدره 295 مليون دولار. من حيث النطاق والمبلغ ، فإن التأثير شديد. ولكن من وجهة نظر المستخدمين ، فإن الحوادث الأمنية نفسها لها تأخر - غالبا ما يجد المستخدمون صعوبة في إدراك خطورة المخاطر المحتملة تماما قبل وقوع الحوادث. لذلك ، غالبا ما يقع الناس في "تحيز البقاء على قيد الحياة" ، متجاهلين أهمية الأمن.
يتناول هذا المقال التحديات الأمنية الملحة التي تواجه سوق اليوم، خاصة في ظل النمو السريع لمستخدمي Web3. من خلال تحليل الحلول الأمنية المقترحة من قبل الشركات مثل Goplus، نكتسب فهمًا أعمق لكيفية تعزيز انتشار Web3 من خلال الامتثال وتعزيز التدابير الأمنية. نحن نُقدم الحجة بأن أمن Web3 يمثل سوقًا واسعًا، ولكن لم يُستغل بقيمة تُقدر بالمليارات، ومع استمرار نمو قاعدة مستخدمي Web3، فإن الطلب على خدمات الأمان التي تركز على المستخدمين مستعد للنمو الأسي.
تحليلات مبكرة:
1. كشف التهديدات في أمان الويب3: استكشاف سوق مربحة
1.1 حماية الأصول
1.2 ضمان الأمان السلوكي
1.3 تعزيز أمان البروتوكول
- تحليل منظر الأمان في الويب3
- حلول الأمان للجيل القادم: حماية مستقبل Web3
- استنتاج
مع إجمالي عدد الكلمات البالغ 5400 كلمة، يجب أن يستغرق قراءة هذه المقالة حوالي 12 دقيقة.
الكشف عن التهديدات في أمان ويب 3: استكشاف سوق مجزية:
حالياً، تندرج منتجات أمان Web3 بشكل أساسي في ثلاث فئات: ToB، ToC، و ToD. تركز حلول الأعمال إلى الأعمال أساساً على فحوصات أمان المنتج، وإجراء اختبارات اختراق وتقديم تقارير فحص لتعزيز دفاعات المنتج. من ناحية أخرى، تهدف حلول العملاء إلى الأفراد إلى حماية بيئات أمان المستخدمين من خلال التقاط وتحليل استخبارات التهديدات في الوقت الحقيقي وتقديم خدمات الكشف من خلال واجهات برمجة التطبيقات. بالإضافة إلى ذلك، تستهدف أدوات ToD (المطور) المطورين Web3، وتقدم أدوات فحص أمان آلية وخدمات.
التدقيق الأمني هو إجراء أمني ثابت ضروري. تخضع تقريبًا كل منتج Web3 لعمليات فحص أمنية، وتُنشر تقارير التدقيق. لا تُمكن التدقيقات الأمنية فقط المجتمع من التحقق من أمان البروتوكولات للمرة الثانية ولكنها تعتبر أيضًا إحدى الأسس التي يثق بها المستخدمون في المنتجات.
ومع ذلك، فإن التدقيقات الأمنية ليست قادرة على فعل كل شيء. نظرًا لاتجاهات السوق والسرد الحالي، نتوقع أن تستمر التحديات التي تواجه بيئات الأمان للمستخدمين في الارتفاع، تظهر أساسا في الجوانب التالية:
حماية الأصول:
تطلق كل دورة سوق جديدة إصدار أصول جديدة. مع ارتفاع ERC404 والرموز الهجينة مثل FT و NFT، يستمر إصدار الأصول على السلسلة في التطور، مما يثير تحديات تصاعدية لأمان الأصول. تعمل التعقيدات التي يقدمها رسم ودمج أنواع الأصول المختلفة من خلال العقود الذكية على توسيع سطح الهجوم للقراصنة. على سبيل المثال، يمكن للمهاجمين تعطيل تحويلات الأصول من خلال استغلال آليات الاستدعاء الخاصة أو الضرائب، مما قد يؤدي بشكل محتمل إلى هجمات DoS مباشرة. تكافح التدقيقات الأمنية التقليدية لمعالجة هذه التعقيدات، مما يستلزم مراقبة في الوقت الفعلي، وتحذيرات، وحلول تدخل ديناميكية.
ضمان الأمان السلوكي:
تكشف الإحصائيات من CSIA أن 90% من هجمات الشبكة تنطلق من محاولات الصيد الاحتيالي. تستمر هذه الاتجاه في عالم Web3، حيث يستهدف المهاجمون مفاتيح المستخدمين الخاصة أو الأموال على السلسلة من خلال روابط الصيد الاحتيالي أو رسائل الاحتيال على منصات مثل Discord، X، وTelegram.
تتمتع التفاعلات على السلسلة بمنحى تعلم شديد الانحدار، والذي يعتبر غير منطقي بطبيعته. حتى التوقيع دون اتصال يمكن أن يؤدي إلى خسائر تصل إلى ملايين الدولارات. هل نعرف ما نقوم بتفويضه عندما ننقر فوق ذلك التوقيع؟ في 22 يناير 2024، أصيب مستخدم للعملة المشفرة ضحية لهجوم احتيالي، وقام بتوقيع توقيع تصريح بمعلمات غير صحيحة. بعد الحصول على التوقيع، قام القراصنة باستخدام عنوان المحفظة المُفوَّض به لتحويل 4.2 مليون دولار من الرموز الرقمية من حساب المستخدم.
يمكن أن تؤدي الضعف في بيئة أمان الجانب الخاص بالمستخدم أيضًا إلى فقدان الأصول. على سبيل المثال، عندما يقوم المستخدم بتصدير مفتاح خاص إلى تطبيق محفظة مستندة إلى نظام Android، غالبًا ما يظل المفتاح الخاص في الحافظة للهاتف بعد النسخ. في هذ scenاريو، عند فتح البرامج الخبيثة، يمكن قراءة المفتاح الخاص واستخدامه تلقائيًا لنقل الأصول من المحفظة أو سرقة أصول المستخدم بعد فترة تأخير.
مع دخول المزيد والمزيد من المستخدمين الجدد إلى Web3، ستصبح قضايا الأمان في بيئة الجانب الخاص بالمستخدم مصدر قلق كبير.
تعزيز أمان البروتوكول:
تظل الهجمات الثنائية أحد أكبر التحديات التي تواجه أمان البروتوكول. على الرغم من اعتماد العديد من استراتيجيات مراقبة المخاطر، إلا أن الأحداث التي تنطوي على مثل هذه الهجمات لا تزال تحدث بشكل متكرر. على سبيل المثال، في يوليو الماضي، تعرضت منحنى لهجوم ثنائي شديد بسبب خلل في المترجم في لغة برمجة العقد الخاصة بها Vyper، مما أدى إلى خسائر تصل إلى 60 مليون دولار، مما أثار شكوك واسعة حول أمان DeFi.
على الرغم من وجود العديد من الحلول "صندوق أبيض" لمنطق كود المصدر للعقد، إلا أن الأحداث مثل اختراق الإنحناء تكشف عن مشكلة كبيرة: حتى إذا كان كود مصدر العقد خاليًا من العيوب، قد تؤدي مشاكل المترجم إلى اختلافات بين الوقت التشغيلي النهائي والتصميم المتوقع. تحويل العقود من كود المصدر إلى التشغيل الفعلي هو عملية تحديّة، حيث قد يؤدي كل خطوة إلى مشاكل غير متوقعة، وقد لا يغطي الكود المصدري نفسه كل السيناريوهات المحتملة. لذلك، الاعتماد فقط على أمان الكود المصدر ومستوى المترجم غير كاف؛ قد تظهر الثغرات لاحقًا بسبب مشاكل المترجم.
لذلك، ستصبح حماية الوقت التشغيل ضرورية. على عكس التدابير الحالية لمراقبة المخاطر التي تركز على مستوى كود المصدر البروتوكولي وتأتي قبل الوقت التشغيل، تنطوي حماية الوقت التشغيل على كتابة قواعد حماية الوقت التشغيل والعمليات من قبل مطوري البروتوكول للتعامل مع المواقف غير المتوقعة خلال الوقت التشغيل. يساعد ذلك في التقييم والاستجابة في الوقت الفعلي لنتائج تنفيذ الوقت التشغيل.
وفقًا لتوقعات Bitwise، شركة إدارة الأصول الرقمية، ستصل القيمة الإجمالية لأصول العملات الرقمية إلى 16 تريليون دولار بحلول عام 2030. إذا قمنا بتحليل كمي من منظور تقييم تكلفة مخاطر الأمان، فإن حدوث حوادث الأمان على السلسلة تؤدي تقريبًا إلى خسارة 100% من الأصول، لذا يمكن تعيين عامل التعرض (EF) على 1، وبالتالي فإن قيمة الخسارة الفردية المتوقعة (SLE) هي 16 تريليون دولار. بمعدل حدوث سنوي (ARO) بنسبة 1٪، يمكننا الحصول على توقعات خسارة سنوية (ALE) بقيمة 160 مليار دولار، وهي القيمة القصوى لتكلفة استثمار الأمان في أصول العملات الرقمية.
نظرًا لشدة وتكرار ونمو السريع لمقياس سوق حوادث أمان العملات المشفرة، يمكننا التنبؤ بأن أمان Web3 سيكون سوقًا بقيمة مئة مليار دولار، ينمو بسرعة مع توسيع سوق Web3 وقاعدة مستخدميه. علاوة على ذلك، نظرًا للنمو الضخم للمستخدمين الفرديين والقلق المتزايد إزاء أمان الأصول، يمكننا توقع نموًا هندسيًا في الطلب على خدمات ومنتجات أمان Web3 في سوق الجانب العملاء، ممثلًا سوقًا محيطيًا أزرقًا لم يتم استكشافه بالكامل حتى الآن.
تحليل منظر الأمان في ويب3
مع ظهور مستمر لقضايا الأمان في Web3، هناك زيادة ملحوظة في الطلب على أدوات متقدمة يمكنها حماية الأصول الرقمية، والتحقق من أصالة NFT، ومراقبة التطبيقات اللامركزية، وضمان الامتثال لتعليمات مكافحة غسيل الأموال. تشير الإحصاءات إلى أن المصادر الرئيسية لتهديدات الأمان التي تواجه Web3 حاليا تشمل:
- هجمات القراصنة المستهدفة للبروتوكول
- الاحتيال الموجه للمستخدمين، والصيد الاحتيالي، وسرقة المفتاح الخاص
- هجمات أمنية تستهدف سلسلة الكتل نفسها
لمواجهة هذه المخاطر، تركز الشركات في السوق الحالي في الأساس على تقديم خدمات وأدوات في مسارين رئيسيين: اختبار ToB والتدقيق (قبل السلسلة) ورصد ToC (على السلسلة). بالمقارنة مع ToC، كانت اللاعبون في مسار ToB في السوق لفترة أطول ويستمرون في رؤية مشاركين جدد. ومع ذلك، مع تعقيد بيئة السوق Web3 أكثر، تكافح التدقيقات ToB تدريجياً للتعامل مع مختلف التهديدات الأمنية، مما يسلط الضوء على أهمية زيادية لرصد ToC وبالتالي دفع الطلب عليها.
- ToB:
الشركات الرائدة في السوق الحالي، مثل Certik و Beosin، تقدم خدمات اختبار وتدقيق ToB. تقدم هذه الشركات خدمات بشكل أساسي على مستوى العقد الذكي، من خلال إجراء فحوصات أمان والتحقق الرسمي من العقود الذكية. من خلال طرق ما قبل السلسلة، مثل تحليل تصور المحفظة، وتحليل ثغرات العقود الذكية، وتدقيق أمان الشيفرة المصدرية، يمكن لهذه الشركات اكتشاف ثغرات العقود الذكية إلى حد ما والتخفيف من المخاطر.
- ToC
يتم تنفيذ مراقبة ToC على السلسلة، تشمل تحليل المخاطر لكود العقد الذكي، وحالات السلسلة، وبيانات تحويل المعاملات للمستخدم، ومحاكاة المعاملات، ومراقبة الحالة. بالمقارنة مع ToB، تأسست شركات أمان الجانب C في مجال Web3 بشكل نسبي في وقت لاحق، ولكنها شهدت نموًا ملحوظًا. يتم تطبيق الخدمات التي تقدمها شركات أمان Web3 مثل GoPlus تدريجيًا عبر مختلف النظم البيئية ضمن Web3.
منذ تأسيسها في مايو 2021، شهدت GoPlus نموًا سريعًا في عدد المكالمات اليومية لواجهة برمجة التطبيقات (API)، من عدد قليل من الاستعلامات يوميًا في البداية إلى عشرين مليون استدعاء يوميًا خلال ذروة السوق. يوضح الرسم البياني التالي التغيير في مكالمات واجهة برمجة التطبيقات (API) للرمز من عام 2022 إلى 2024، مما يبرز معدل نمو أهمية GoPlus في مجال Web3.
وقد أصبح وحدة بيانات المستخدم التي قدمتها GoPlus جزءًا لا غنى عنه من تطبيقات Web3 المختلفة، حيث تلعب دورًا حاسمًا في مواقع السوق الرئيسية مثل CoinMarketCap (CMC)، CoinGecko، Dexscreener، Dextools، وتبادلات العملات اللامركزية الرائدة مثل Sushiswap، Kyber Network، ومحافظ مثل Metamask Snap، Bitget Wallet، Safepal.
وقد اعتمدت هذه الوحدة من قبل شركات خدمات أمان المستخدم مثل Blowfish و Webacy و Kekkai، مما يشير إلى الدور الحاسم لوحدة بيانات أمان مستخدم GoPlus في تحديد البنية التحتية الأمانية للنظام البيئي Web3 وموقعها الهام في المنصات اللامركزية المعاصرة.
تقدم GoPlus في المقام الأول الخدمات API التالية، وتوفر رؤى شاملة حول بيانات أمان المستخدم من خلال تحليل بيانات مستهدف لعدة وحدات رئيسية، بهدف الوقاية من تهديدات الأمان المتطورة ومعالجة التحديات متعددة الجوانب لأمان Web3.
- واجهة برمجة تطبيقات مخاطر الرمز: تقييم المخاطر المرتبطة بالعملات المشفرة المختلفة.
- واجهة برمجة تطبيقات مخاطر NFT: تقييم المخاطر المرتبطة بمختلف NFTs.
- واجهة برمجة تطبيقات العناوين الخبيثة: تحدد وتعلم عناوين ترتبط بالاحتيال والتصيد الاحتيالي وغيرها من الأنشطة الخبيثة.
- واجهة برمجة تطبيقات الويب اللامركزية: توفر مراقبة في الوقت الحقيقي وكشف التهديدات للتطبيقات اللامركزية.
- موافقة عقد واجهة برمجة التطبيقات: تدير وتدقق أذونات استدعاء العقد الذكي.
في المسار الجانبي C، لاحظنا أيضًا Harpie. تركز Harpie على حماية محافظ Ethereum من السرقة والتعاون مع شركات مثل OpenSea و Coinbase. لقد حموا آلاف المستخدمين من عمليات الاحتيال وهجمات القرصنة وسرقة المفاتيح الخاصة. يشمل نهج منتجهم كل من المراقبة والاستعادة. يراقبون المحافظ لتحديد الثغرات أو التهديدات، ويخطرون المستخدمين بسرعة عند الاكتشاف، ويساعدون في التصحيح. يستجيبون بسرعة للمستخدمين الذين وقعوا ضحية لهجمات القرصنة أو الاحتيال، مما يساعد في إنقاذ أصولهم. كانت جهودهم فعالة للغاية في تعزيز أمان محافظ Ethereum.
بالإضافة إلى ذلك، يوفر ScamSniffer خدمات على شكل إضافة للمتصفح. يقوم هذا المنتج بإجراء فحوصات في الوقت الفعلي من خلال محرك كشف مواقع الويب الخبيثة وعدة مصادر بيانات مدرجة في القائمة السوداء قبل أن يفتح المستخدمون الروابط، مما يحميهم من تأثيرات مواقع الويب الخبيثة. خلال عمليات التداول عبر الإنترنت، يكتشف الاحتيالات مثل الصيد الاحتيالي لحماية أمان أصول المستخدم.
حلول الأمان من الجيل القادم: حماية مستقبل الويب3
لمعالجة قضايا مثل أمان الأصول، وأمان السلوك، وأمان البروتوكول، واحتياجات الامتثال على السلسلة، لقد غوصنا في الحلول التي تقدمها غوبلس وأرتيلا. تهدف هذه الحلول إلى فهم كيفية دعمها لتطبيقات الويب3 بمقياس كبير من خلال الحفاظ على بيئات أمان المستخدم وبيئات التشغيل على السلسلة.
- بيئة الأمان والبنية التحتية للمستخدم
أمن المعاملات عبر سلسلة الكتل يشكل ركيزة أمنية لتطبيقات ويب3 على نطاق واسع. مع الهجمات العديدة على السلسلة، وهجمات الاحتيال، وسحب السجاد، فإن ضمان قابلية تتبع المعاملات عبر السلسلة، وتحديد السلوك الشبيه بالسلوك المشبوه على السلسلة، وضمان أمان ملفات تعريف المستخدم حاسمة. استنادًا إلى ذلك، قامت GoPlus بإطلاق منصة SecWareX، أول منصة شاملة للاكتشاف الشخصي للأمان لويب3.
SecWareX هو منتج أمان شخصي للويب 3 مبني على بروتوكول أمان المستخدم SecWare، ويوفر حلاً شاملاً واحدًا للأمان يتضمن تحديدًا في الوقت الحقيقي للهجمات أثناء التشغيل على السلسلة، وتحذيرات مبكرة، واعتراض في الوقت المناسب، وحل النزاعات. كما يدعم أيضًا استراتيجيات اعتراض أمان مخصصة لعقود إصدار الأصول مصممة خصيصًا لسيناريوهات محددة.
لتعليم أمان سلوك المستخدم، تقدم SecWareX برنامج Learn2Earn، مزجًا بذكاء تعلم معرفة الأمان مع حوافز الرموز، مما يتيح للمستخدمين تعزيز وعيهم الأمني بينما يكسبون مكافآت ملموسة.
- حلول الامتثال للأموال
مكافحة غسيل الأموال (AML) هي واحدة من أكثر الاحتياجات الضرورية على السلاسل العامة. على السلاسل العامة، يمكن أن يساعد تحليل عوامل مثل مصادر المعاملات، والسلوك المتوقع، والمبالغ، والترددات في تحديد السلوك المشبوه أو الغير طبيعي بسرعة. يساعد هذا التبادلات اللامركزية، والمحافظ، والجهات الرقابية في اكتشاف الأنشطة غير القانونية المحتملة مثل غسيل الأموال، الاحتيال، والقمار، واتخاذ تدابير في الوقت المناسب مثل التحذيرات، وتجميد الأصول، أو الإبلاغ إلى إنفاذ القانون لتعزيز الامتثال لـDeFi وتطبيقات كبيرة النطاق.
مع استمرار تحسين سلوكيات السلسلة، سيصبح معرفة عمليتك (KYT) للتطبيقات اللامركزية شرطاً أساسياً لتطبيقات بمقياس كبير. تعتبر واجهة برمجة تطبيقات عناوين Malicious Address API التابعة لـ GoPlus أمراً حاسماً للبورصات والمحافظ والخدمات المالية التي تعمل في Web3 للامتثال لمتطلبات التنظيم وضمان عملياتها، مؤكدة الصلة الجوهرية بين الامتثال التنظيمي والتقدم التكنولوجي في مجال Web3. وتؤكد أهمية المراقبة المستمرة والتكيف لحماية سلامة النظام البيئي وأمان المستخدمين.
- بروتوكولات أمان السلسلة
Artela هي أول سلسلة عامة من الطبقة 1 تدعم حماية التشغيل الأصلية. من خلال تصميم EVM++، تدعم وحدة التمديد الأصلية المتكاملة ديناميكيًا في Artela جانبا المنطق الإضافي في نقاط مختلفة في دورة حياة المعاملة، مسجلة حالة تنفيذ كل استدعاء للوظيفة.
عندما يحدث استدعاء داخلي تهديد أثناء تنفيذ وظيفة الارجاع المستدعاة، يكتشف Aspect العملية ويسحب العملية فورًا لمنع المهاجمين من استغلال ثغرات الاستدعاء الداخلي. على سبيل المثال، في حماية الهجمات الداخلية على عقود Curve، توفر Artela حلاً أمنيًا على مستوى بروتوكول سلسلة لتطبيقات DeFi المختلفة.
مع زيادة تعقيد البروتوكول وتنوع المترجم، يزداد أهمية حلول الحماية الزمنية على السلسلة بدلاً من التحقق الثابت من منطق كود العقد في حلول "صندوق أبيض".
استنتاج
في 10 يناير 2024، أعلنت هيئة الأوراق المالية الأمريكية رسميًا عن الموافقة على قائمة وتداول صندوق بيتكوين المتداول على الفور، مما يمثل الخطوة الأكثر أهمية نحو اعتماد العملات المشفرة من قبل الجمهور العام. مع نضوج بيئات السياسات وتعزيز التدابير الأمنية، سنشهد بالضرورة وصول تطبيقات Web3 بمقياس كبير. إذا كانت تطبيقات Web3 بمقياس كبير هي الأمواج المضطربة، فإن أمان Web3 هو السد القوي الذي تم بناؤه لحماية أصول المستخدم، وتحمل العواصف الخارجية، وضمان سلامة الجميع أثناء تنقل كل موجة.
تنصيح:
- تم نقل هذه المقالة من [GateBuidlerDAO], جميع حقوق الطبع والنشر تنتمي إلى الكاتب الأصلي [BuidlerDAO]. إذا كانت هناك اعتراضات على هذه إعادة الطبع، يرجى الاتصال بالبوابة تعلمالفريق، وسوف يتعاملون معها على الفور.
- إخلاء المسؤولية عن الضرر: الآراء والآراء المعبر عنها في هذه المقالة هي فقط تلك التي تنتمي إلى الكاتب ولا تشكل أي نصيحة استثمارية.
- يتم إجراء ترجمات المقال إلى لغات أخرى من قبل فريق Gate Learn. ما لم يذكر غير ذلك، فإن نسخ أو توزيع أو الاستيلاء على المقالات المترجمة ممنوع.
相關文章
ما هو Tronscan وكيف يمكنك استخدامه؟
كل ما تريد معرفته عن Blockchain
كل ما تحتاج لمعرفته حول التداول بالاستراتيجية الكمية
أمان ويب3 — السوق المخفي بقيمة مئة مليار دولار
مذكرة المؤلف ✍🏻
مرة واحدة، قام الإغريق ببناء حصان خشبي وقدموه كهدية لمدينة طروادة. رأى أهل المدينة فيه رمزًا للسلام، دون علمهم بالتهديد المخفي بداخله.
مع إطلاق صندوق الاستثمار المتداول لبيتكوين بنجاح، يتزايد عدد المستخدمين الجدد والأموال التي تتدفق مرة أخرى إلى الويب3، ويبدو أن السوق المتزايد يشير إلى أن مستقبل الويب3 نحو تطبيقات واسعة الانتشار أقرب بخطوة واحدة. ومع ذلك، تظل نقص السياسات وثغرات الأمان هما العقبات الرئيسية أمام اعتماد العملات المشفرة على نطاق واسع.
في عالم العملات الرقمية، يمكن للمتسللين الربح مباشرة من مهاجمة الثغرات على السلسلة، مما يؤدي أحيانًا إلى كسب الملايين أو حتى المليارات من الدولارات. وفي الوقت نفسه، تخلق التشفيرات المجهولة ظروفًا للمتسللين لتفادي القبض عليهم. بحلول نهاية عام 2023، كان القيمة المقفلة الإجمالية (TVL) لجميع بروتوكولات التمويل اللامركزي (DeFi) حوالي 4 مليارات دولار (حاليا 10 مليارات دولار)، بينما في عام 2022 وحده، بلغ إجمالي قيمة الرموز المسروقة من بروتوكولات DeFi 310 مليون دولار، مما يمثل 7% من القيمة المذكورة أعلاه. توضح هذه الأرقام بشكل كامل خطورة قضايا الأمان في صناعة Web3، مثل سيف داموقليس يعلو رؤوسنا.
إنها ليست مجرد بيئة على السلسلة. تعد مشكلات الأمان في نهاية مستخدم Web3 مهمة أيضا. وفقا لبيانات من Scam Sniffer ، في عام 2023 ، سرقت أصول 324,000 مستخدم بسبب هجمات التصيد الاحتيالي ، بمبلغ إجمالي مسروق قدره 295 مليون دولار. من حيث النطاق والمبلغ ، فإن التأثير شديد. ولكن من وجهة نظر المستخدمين ، فإن الحوادث الأمنية نفسها لها تأخر - غالبا ما يجد المستخدمون صعوبة في إدراك خطورة المخاطر المحتملة تماما قبل وقوع الحوادث. لذلك ، غالبا ما يقع الناس في "تحيز البقاء على قيد الحياة" ، متجاهلين أهمية الأمن.
يتناول هذا المقال التحديات الأمنية الملحة التي تواجه سوق اليوم، خاصة في ظل النمو السريع لمستخدمي Web3. من خلال تحليل الحلول الأمنية المقترحة من قبل الشركات مثل Goplus، نكتسب فهمًا أعمق لكيفية تعزيز انتشار Web3 من خلال الامتثال وتعزيز التدابير الأمنية. نحن نُقدم الحجة بأن أمن Web3 يمثل سوقًا واسعًا، ولكن لم يُستغل بقيمة تُقدر بالمليارات، ومع استمرار نمو قاعدة مستخدمي Web3، فإن الطلب على خدمات الأمان التي تركز على المستخدمين مستعد للنمو الأسي.
تحليلات مبكرة:
1. كشف التهديدات في أمان الويب3: استكشاف سوق مربحة
1.1 حماية الأصول
1.2 ضمان الأمان السلوكي
1.3 تعزيز أمان البروتوكول
- تحليل منظر الأمان في الويب3
- حلول الأمان للجيل القادم: حماية مستقبل Web3
- استنتاج
مع إجمالي عدد الكلمات البالغ 5400 كلمة، يجب أن يستغرق قراءة هذه المقالة حوالي 12 دقيقة.
الكشف عن التهديدات في أمان ويب 3: استكشاف سوق مجزية:
حالياً، تندرج منتجات أمان Web3 بشكل أساسي في ثلاث فئات: ToB، ToC، و ToD. تركز حلول الأعمال إلى الأعمال أساساً على فحوصات أمان المنتج، وإجراء اختبارات اختراق وتقديم تقارير فحص لتعزيز دفاعات المنتج. من ناحية أخرى، تهدف حلول العملاء إلى الأفراد إلى حماية بيئات أمان المستخدمين من خلال التقاط وتحليل استخبارات التهديدات في الوقت الحقيقي وتقديم خدمات الكشف من خلال واجهات برمجة التطبيقات. بالإضافة إلى ذلك، تستهدف أدوات ToD (المطور) المطورين Web3، وتقدم أدوات فحص أمان آلية وخدمات.
التدقيق الأمني هو إجراء أمني ثابت ضروري. تخضع تقريبًا كل منتج Web3 لعمليات فحص أمنية، وتُنشر تقارير التدقيق. لا تُمكن التدقيقات الأمنية فقط المجتمع من التحقق من أمان البروتوكولات للمرة الثانية ولكنها تعتبر أيضًا إحدى الأسس التي يثق بها المستخدمون في المنتجات.
ومع ذلك، فإن التدقيقات الأمنية ليست قادرة على فعل كل شيء. نظرًا لاتجاهات السوق والسرد الحالي، نتوقع أن تستمر التحديات التي تواجه بيئات الأمان للمستخدمين في الارتفاع، تظهر أساسا في الجوانب التالية:
حماية الأصول:
تطلق كل دورة سوق جديدة إصدار أصول جديدة. مع ارتفاع ERC404 والرموز الهجينة مثل FT و NFT، يستمر إصدار الأصول على السلسلة في التطور، مما يثير تحديات تصاعدية لأمان الأصول. تعمل التعقيدات التي يقدمها رسم ودمج أنواع الأصول المختلفة من خلال العقود الذكية على توسيع سطح الهجوم للقراصنة. على سبيل المثال، يمكن للمهاجمين تعطيل تحويلات الأصول من خلال استغلال آليات الاستدعاء الخاصة أو الضرائب، مما قد يؤدي بشكل محتمل إلى هجمات DoS مباشرة. تكافح التدقيقات الأمنية التقليدية لمعالجة هذه التعقيدات، مما يستلزم مراقبة في الوقت الفعلي، وتحذيرات، وحلول تدخل ديناميكية.
ضمان الأمان السلوكي:
تكشف الإحصائيات من CSIA أن 90% من هجمات الشبكة تنطلق من محاولات الصيد الاحتيالي. تستمر هذه الاتجاه في عالم Web3، حيث يستهدف المهاجمون مفاتيح المستخدمين الخاصة أو الأموال على السلسلة من خلال روابط الصيد الاحتيالي أو رسائل الاحتيال على منصات مثل Discord، X، وTelegram.
تتمتع التفاعلات على السلسلة بمنحى تعلم شديد الانحدار، والذي يعتبر غير منطقي بطبيعته. حتى التوقيع دون اتصال يمكن أن يؤدي إلى خسائر تصل إلى ملايين الدولارات. هل نعرف ما نقوم بتفويضه عندما ننقر فوق ذلك التوقيع؟ في 22 يناير 2024، أصيب مستخدم للعملة المشفرة ضحية لهجوم احتيالي، وقام بتوقيع توقيع تصريح بمعلمات غير صحيحة. بعد الحصول على التوقيع، قام القراصنة باستخدام عنوان المحفظة المُفوَّض به لتحويل 4.2 مليون دولار من الرموز الرقمية من حساب المستخدم.
يمكن أن تؤدي الضعف في بيئة أمان الجانب الخاص بالمستخدم أيضًا إلى فقدان الأصول. على سبيل المثال، عندما يقوم المستخدم بتصدير مفتاح خاص إلى تطبيق محفظة مستندة إلى نظام Android، غالبًا ما يظل المفتاح الخاص في الحافظة للهاتف بعد النسخ. في هذ scenاريو، عند فتح البرامج الخبيثة، يمكن قراءة المفتاح الخاص واستخدامه تلقائيًا لنقل الأصول من المحفظة أو سرقة أصول المستخدم بعد فترة تأخير.
مع دخول المزيد والمزيد من المستخدمين الجدد إلى Web3، ستصبح قضايا الأمان في بيئة الجانب الخاص بالمستخدم مصدر قلق كبير.
تعزيز أمان البروتوكول:
تظل الهجمات الثنائية أحد أكبر التحديات التي تواجه أمان البروتوكول. على الرغم من اعتماد العديد من استراتيجيات مراقبة المخاطر، إلا أن الأحداث التي تنطوي على مثل هذه الهجمات لا تزال تحدث بشكل متكرر. على سبيل المثال، في يوليو الماضي، تعرضت منحنى لهجوم ثنائي شديد بسبب خلل في المترجم في لغة برمجة العقد الخاصة بها Vyper، مما أدى إلى خسائر تصل إلى 60 مليون دولار، مما أثار شكوك واسعة حول أمان DeFi.
على الرغم من وجود العديد من الحلول "صندوق أبيض" لمنطق كود المصدر للعقد، إلا أن الأحداث مثل اختراق الإنحناء تكشف عن مشكلة كبيرة: حتى إذا كان كود مصدر العقد خاليًا من العيوب، قد تؤدي مشاكل المترجم إلى اختلافات بين الوقت التشغيلي النهائي والتصميم المتوقع. تحويل العقود من كود المصدر إلى التشغيل الفعلي هو عملية تحديّة، حيث قد يؤدي كل خطوة إلى مشاكل غير متوقعة، وقد لا يغطي الكود المصدري نفسه كل السيناريوهات المحتملة. لذلك، الاعتماد فقط على أمان الكود المصدر ومستوى المترجم غير كاف؛ قد تظهر الثغرات لاحقًا بسبب مشاكل المترجم.
لذلك، ستصبح حماية الوقت التشغيل ضرورية. على عكس التدابير الحالية لمراقبة المخاطر التي تركز على مستوى كود المصدر البروتوكولي وتأتي قبل الوقت التشغيل، تنطوي حماية الوقت التشغيل على كتابة قواعد حماية الوقت التشغيل والعمليات من قبل مطوري البروتوكول للتعامل مع المواقف غير المتوقعة خلال الوقت التشغيل. يساعد ذلك في التقييم والاستجابة في الوقت الفعلي لنتائج تنفيذ الوقت التشغيل.
وفقًا لتوقعات Bitwise، شركة إدارة الأصول الرقمية، ستصل القيمة الإجمالية لأصول العملات الرقمية إلى 16 تريليون دولار بحلول عام 2030. إذا قمنا بتحليل كمي من منظور تقييم تكلفة مخاطر الأمان، فإن حدوث حوادث الأمان على السلسلة تؤدي تقريبًا إلى خسارة 100% من الأصول، لذا يمكن تعيين عامل التعرض (EF) على 1، وبالتالي فإن قيمة الخسارة الفردية المتوقعة (SLE) هي 16 تريليون دولار. بمعدل حدوث سنوي (ARO) بنسبة 1٪، يمكننا الحصول على توقعات خسارة سنوية (ALE) بقيمة 160 مليار دولار، وهي القيمة القصوى لتكلفة استثمار الأمان في أصول العملات الرقمية.
نظرًا لشدة وتكرار ونمو السريع لمقياس سوق حوادث أمان العملات المشفرة، يمكننا التنبؤ بأن أمان Web3 سيكون سوقًا بقيمة مئة مليار دولار، ينمو بسرعة مع توسيع سوق Web3 وقاعدة مستخدميه. علاوة على ذلك، نظرًا للنمو الضخم للمستخدمين الفرديين والقلق المتزايد إزاء أمان الأصول، يمكننا توقع نموًا هندسيًا في الطلب على خدمات ومنتجات أمان Web3 في سوق الجانب العملاء، ممثلًا سوقًا محيطيًا أزرقًا لم يتم استكشافه بالكامل حتى الآن.
تحليل منظر الأمان في ويب3
مع ظهور مستمر لقضايا الأمان في Web3، هناك زيادة ملحوظة في الطلب على أدوات متقدمة يمكنها حماية الأصول الرقمية، والتحقق من أصالة NFT، ومراقبة التطبيقات اللامركزية، وضمان الامتثال لتعليمات مكافحة غسيل الأموال. تشير الإحصاءات إلى أن المصادر الرئيسية لتهديدات الأمان التي تواجه Web3 حاليا تشمل:
- هجمات القراصنة المستهدفة للبروتوكول
- الاحتيال الموجه للمستخدمين، والصيد الاحتيالي، وسرقة المفتاح الخاص
- هجمات أمنية تستهدف سلسلة الكتل نفسها
لمواجهة هذه المخاطر، تركز الشركات في السوق الحالي في الأساس على تقديم خدمات وأدوات في مسارين رئيسيين: اختبار ToB والتدقيق (قبل السلسلة) ورصد ToC (على السلسلة). بالمقارنة مع ToC، كانت اللاعبون في مسار ToB في السوق لفترة أطول ويستمرون في رؤية مشاركين جدد. ومع ذلك، مع تعقيد بيئة السوق Web3 أكثر، تكافح التدقيقات ToB تدريجياً للتعامل مع مختلف التهديدات الأمنية، مما يسلط الضوء على أهمية زيادية لرصد ToC وبالتالي دفع الطلب عليها.
- ToB:
الشركات الرائدة في السوق الحالي، مثل Certik و Beosin، تقدم خدمات اختبار وتدقيق ToB. تقدم هذه الشركات خدمات بشكل أساسي على مستوى العقد الذكي، من خلال إجراء فحوصات أمان والتحقق الرسمي من العقود الذكية. من خلال طرق ما قبل السلسلة، مثل تحليل تصور المحفظة، وتحليل ثغرات العقود الذكية، وتدقيق أمان الشيفرة المصدرية، يمكن لهذه الشركات اكتشاف ثغرات العقود الذكية إلى حد ما والتخفيف من المخاطر.
- ToC
يتم تنفيذ مراقبة ToC على السلسلة، تشمل تحليل المخاطر لكود العقد الذكي، وحالات السلسلة، وبيانات تحويل المعاملات للمستخدم، ومحاكاة المعاملات، ومراقبة الحالة. بالمقارنة مع ToB، تأسست شركات أمان الجانب C في مجال Web3 بشكل نسبي في وقت لاحق، ولكنها شهدت نموًا ملحوظًا. يتم تطبيق الخدمات التي تقدمها شركات أمان Web3 مثل GoPlus تدريجيًا عبر مختلف النظم البيئية ضمن Web3.
منذ تأسيسها في مايو 2021، شهدت GoPlus نموًا سريعًا في عدد المكالمات اليومية لواجهة برمجة التطبيقات (API)، من عدد قليل من الاستعلامات يوميًا في البداية إلى عشرين مليون استدعاء يوميًا خلال ذروة السوق. يوضح الرسم البياني التالي التغيير في مكالمات واجهة برمجة التطبيقات (API) للرمز من عام 2022 إلى 2024، مما يبرز معدل نمو أهمية GoPlus في مجال Web3.
وقد أصبح وحدة بيانات المستخدم التي قدمتها GoPlus جزءًا لا غنى عنه من تطبيقات Web3 المختلفة، حيث تلعب دورًا حاسمًا في مواقع السوق الرئيسية مثل CoinMarketCap (CMC)، CoinGecko، Dexscreener، Dextools، وتبادلات العملات اللامركزية الرائدة مثل Sushiswap، Kyber Network، ومحافظ مثل Metamask Snap، Bitget Wallet، Safepal.
وقد اعتمدت هذه الوحدة من قبل شركات خدمات أمان المستخدم مثل Blowfish و Webacy و Kekkai، مما يشير إلى الدور الحاسم لوحدة بيانات أمان مستخدم GoPlus في تحديد البنية التحتية الأمانية للنظام البيئي Web3 وموقعها الهام في المنصات اللامركزية المعاصرة.
تقدم GoPlus في المقام الأول الخدمات API التالية، وتوفر رؤى شاملة حول بيانات أمان المستخدم من خلال تحليل بيانات مستهدف لعدة وحدات رئيسية، بهدف الوقاية من تهديدات الأمان المتطورة ومعالجة التحديات متعددة الجوانب لأمان Web3.
- واجهة برمجة تطبيقات مخاطر الرمز: تقييم المخاطر المرتبطة بالعملات المشفرة المختلفة.
- واجهة برمجة تطبيقات مخاطر NFT: تقييم المخاطر المرتبطة بمختلف NFTs.
- واجهة برمجة تطبيقات العناوين الخبيثة: تحدد وتعلم عناوين ترتبط بالاحتيال والتصيد الاحتيالي وغيرها من الأنشطة الخبيثة.
- واجهة برمجة تطبيقات الويب اللامركزية: توفر مراقبة في الوقت الحقيقي وكشف التهديدات للتطبيقات اللامركزية.
- موافقة عقد واجهة برمجة التطبيقات: تدير وتدقق أذونات استدعاء العقد الذكي.
في المسار الجانبي C، لاحظنا أيضًا Harpie. تركز Harpie على حماية محافظ Ethereum من السرقة والتعاون مع شركات مثل OpenSea و Coinbase. لقد حموا آلاف المستخدمين من عمليات الاحتيال وهجمات القرصنة وسرقة المفاتيح الخاصة. يشمل نهج منتجهم كل من المراقبة والاستعادة. يراقبون المحافظ لتحديد الثغرات أو التهديدات، ويخطرون المستخدمين بسرعة عند الاكتشاف، ويساعدون في التصحيح. يستجيبون بسرعة للمستخدمين الذين وقعوا ضحية لهجمات القرصنة أو الاحتيال، مما يساعد في إنقاذ أصولهم. كانت جهودهم فعالة للغاية في تعزيز أمان محافظ Ethereum.
بالإضافة إلى ذلك، يوفر ScamSniffer خدمات على شكل إضافة للمتصفح. يقوم هذا المنتج بإجراء فحوصات في الوقت الفعلي من خلال محرك كشف مواقع الويب الخبيثة وعدة مصادر بيانات مدرجة في القائمة السوداء قبل أن يفتح المستخدمون الروابط، مما يحميهم من تأثيرات مواقع الويب الخبيثة. خلال عمليات التداول عبر الإنترنت، يكتشف الاحتيالات مثل الصيد الاحتيالي لحماية أمان أصول المستخدم.
حلول الأمان من الجيل القادم: حماية مستقبل الويب3
لمعالجة قضايا مثل أمان الأصول، وأمان السلوك، وأمان البروتوكول، واحتياجات الامتثال على السلسلة، لقد غوصنا في الحلول التي تقدمها غوبلس وأرتيلا. تهدف هذه الحلول إلى فهم كيفية دعمها لتطبيقات الويب3 بمقياس كبير من خلال الحفاظ على بيئات أمان المستخدم وبيئات التشغيل على السلسلة.
- بيئة الأمان والبنية التحتية للمستخدم
أمن المعاملات عبر سلسلة الكتل يشكل ركيزة أمنية لتطبيقات ويب3 على نطاق واسع. مع الهجمات العديدة على السلسلة، وهجمات الاحتيال، وسحب السجاد، فإن ضمان قابلية تتبع المعاملات عبر السلسلة، وتحديد السلوك الشبيه بالسلوك المشبوه على السلسلة، وضمان أمان ملفات تعريف المستخدم حاسمة. استنادًا إلى ذلك، قامت GoPlus بإطلاق منصة SecWareX، أول منصة شاملة للاكتشاف الشخصي للأمان لويب3.
SecWareX هو منتج أمان شخصي للويب 3 مبني على بروتوكول أمان المستخدم SecWare، ويوفر حلاً شاملاً واحدًا للأمان يتضمن تحديدًا في الوقت الحقيقي للهجمات أثناء التشغيل على السلسلة، وتحذيرات مبكرة، واعتراض في الوقت المناسب، وحل النزاعات. كما يدعم أيضًا استراتيجيات اعتراض أمان مخصصة لعقود إصدار الأصول مصممة خصيصًا لسيناريوهات محددة.
لتعليم أمان سلوك المستخدم، تقدم SecWareX برنامج Learn2Earn، مزجًا بذكاء تعلم معرفة الأمان مع حوافز الرموز، مما يتيح للمستخدمين تعزيز وعيهم الأمني بينما يكسبون مكافآت ملموسة.
- حلول الامتثال للأموال
مكافحة غسيل الأموال (AML) هي واحدة من أكثر الاحتياجات الضرورية على السلاسل العامة. على السلاسل العامة، يمكن أن يساعد تحليل عوامل مثل مصادر المعاملات، والسلوك المتوقع، والمبالغ، والترددات في تحديد السلوك المشبوه أو الغير طبيعي بسرعة. يساعد هذا التبادلات اللامركزية، والمحافظ، والجهات الرقابية في اكتشاف الأنشطة غير القانونية المحتملة مثل غسيل الأموال، الاحتيال، والقمار، واتخاذ تدابير في الوقت المناسب مثل التحذيرات، وتجميد الأصول، أو الإبلاغ إلى إنفاذ القانون لتعزيز الامتثال لـDeFi وتطبيقات كبيرة النطاق.
مع استمرار تحسين سلوكيات السلسلة، سيصبح معرفة عمليتك (KYT) للتطبيقات اللامركزية شرطاً أساسياً لتطبيقات بمقياس كبير. تعتبر واجهة برمجة تطبيقات عناوين Malicious Address API التابعة لـ GoPlus أمراً حاسماً للبورصات والمحافظ والخدمات المالية التي تعمل في Web3 للامتثال لمتطلبات التنظيم وضمان عملياتها، مؤكدة الصلة الجوهرية بين الامتثال التنظيمي والتقدم التكنولوجي في مجال Web3. وتؤكد أهمية المراقبة المستمرة والتكيف لحماية سلامة النظام البيئي وأمان المستخدمين.
- بروتوكولات أمان السلسلة
Artela هي أول سلسلة عامة من الطبقة 1 تدعم حماية التشغيل الأصلية. من خلال تصميم EVM++، تدعم وحدة التمديد الأصلية المتكاملة ديناميكيًا في Artela جانبا المنطق الإضافي في نقاط مختلفة في دورة حياة المعاملة، مسجلة حالة تنفيذ كل استدعاء للوظيفة.
عندما يحدث استدعاء داخلي تهديد أثناء تنفيذ وظيفة الارجاع المستدعاة، يكتشف Aspect العملية ويسحب العملية فورًا لمنع المهاجمين من استغلال ثغرات الاستدعاء الداخلي. على سبيل المثال، في حماية الهجمات الداخلية على عقود Curve، توفر Artela حلاً أمنيًا على مستوى بروتوكول سلسلة لتطبيقات DeFi المختلفة.
مع زيادة تعقيد البروتوكول وتنوع المترجم، يزداد أهمية حلول الحماية الزمنية على السلسلة بدلاً من التحقق الثابت من منطق كود العقد في حلول "صندوق أبيض".
استنتاج
في 10 يناير 2024، أعلنت هيئة الأوراق المالية الأمريكية رسميًا عن الموافقة على قائمة وتداول صندوق بيتكوين المتداول على الفور، مما يمثل الخطوة الأكثر أهمية نحو اعتماد العملات المشفرة من قبل الجمهور العام. مع نضوج بيئات السياسات وتعزيز التدابير الأمنية، سنشهد بالضرورة وصول تطبيقات Web3 بمقياس كبير. إذا كانت تطبيقات Web3 بمقياس كبير هي الأمواج المضطربة، فإن أمان Web3 هو السد القوي الذي تم بناؤه لحماية أصول المستخدم، وتحمل العواصف الخارجية، وضمان سلامة الجميع أثناء تنقل كل موجة.
تنصيح:
- تم نقل هذه المقالة من [GateBuidlerDAO], جميع حقوق الطبع والنشر تنتمي إلى الكاتب الأصلي [BuidlerDAO]. إذا كانت هناك اعتراضات على هذه إعادة الطبع، يرجى الاتصال بالبوابة تعلمالفريق، وسوف يتعاملون معها على الفور.
- إخلاء المسؤولية عن الضرر: الآراء والآراء المعبر عنها في هذه المقالة هي فقط تلك التي تنتمي إلى الكاتب ولا تشكل أي نصيحة استثمارية.
- يتم إجراء ترجمات المقال إلى لغات أخرى من قبل فريق Gate Learn. ما لم يذكر غير ذلك، فإن نسخ أو توزيع أو الاستيلاء على المقالات المترجمة ممنوع.
相關文章
ما هو Tronscan وكيف يمكنك استخدامه؟
كل ما تريد معرفته عن Blockchain