مفتاح المرور في: ثورة الأمان بعد خسائر بقيمة 50 مليار دولار

الأسئلة التي لا يمكن لقطاع الصناعة الإجابة عليها: إلى أين ذهبت 50 مليار دولار؟

من عام 2020 حتى الآن، شهدت العملات المشفرة أزمة صامتة: اختفى أكثر من 50 مليار دولار من محافظ يُعلن عنها بأنها “الأكثر أمانًا”. في فبراير 2025، كشف هجوم Safe (، وهو حل متعدد التوقيعات يثق به القطاع)، عن خسارة 1.6 مليار دولار ليس بسبب ثغرة في التشفير أو تكنولوجيا قديمة، بل بسبب نقطة ضعف بسيطة في الهندسة المعمارية: واجهة المستخدم التي تم الاستيلاء عليها.

لا تزال تقنية البلوكتشين مثالية. لا تزال التشفيرات غير قابلة للكسر. لكن الأصول لا تزال تختفي.

هذه الحقيقة الصعبة تقود القطاع لإعادة طرح سؤال أساسي: ما الذي تحميه المحافظ المشفرة حقًا؟

الأصول على السلسلة، والمفاتيح في المحافظ

أولاً، يخلط معظم المستخدمين بين مفهوم “المحفظة”. عملة البيتكوين الخاصة بك ليست في Ledger، والإيثيريوم ليست في MetaMask. الأصول المشفرة موجودة فعليًا على البلوكتشين - مخزن ذهب لا يمكن تدميره، شفاف، محمي بواسطة آلاف العقد الموزعة.

المحفظة مجرد مجموعة من المفاتيح لفتح هذا المخزن، وليست المخزن الحقيقي.

في نظام المحافظ الحالي الآمن:

• البلوكتشين (مخزن الذهب): موزع، غير قابل للتغيير، مؤمن بواسطة الإجماع الرياضي
• المفتاح الخاص: المفتاح الوحيد للتحقق من صحة المعاملة
• العنوان العام: مكان استلام الأصول (آمن للمشاركة)
• المعاملة الموقعة: أمر تحويل الأصول

مشكلة الأمان في المحافظ تعود إلى حقيقة بسيطة: الأصول على البلوكتشين آمنة جدًا، لكن جميع حالات السرقة تتعلق بكشف المفتاح الخاص.

أربعة أجيال من التطور - من الأخطاء إلى الكمال

الجيل 1: المحافظ البرمجية (2009 - حتى الآن)

تشفير المفتاح وتخزينه محليًا في عبارة تذكر من 12 أو 24 كلمة. من الناحية النظرية بسيط، لكن في الواقع سهل التعرض للهجوم:

• فيروسات على الحاسوب يمكنها فحص البرامج
• أدوات متصفح خبيثة يمكنها سرقة العبارة
• خطأ المستخدم (كتابة العبارة على ورقة سهلة الضياع أو السرقة) هو أكبر خطر

النتيجة: مليارات الدولارات تُفقد من المحافظ البرمجية كل عام، وما زال الرقم يتزايد.

الجيل 2: المحافظ المادية (2014 - حتى الآن)

عزل المفتاح الخاص ماديًا داخل شريحة أمان مخصصة، غير متصلة بالإنترنت. المفتاح لا يُكشف أبدًا عن طريق البرمجيات أو الشبكة.

لكن المقابل هو عدم الراحة: يجب حمل USB، وسهل فقدانه أو تلفه. هجمات سلسلة التوريد يمكن أن تزرع برمجيات خبيثة قبل وصول الجهاز للمستخدم.

النتيجة: أمان عالي، لكن سهولة الاستخدام منخفضة.

الجيل 3: محافظ MPC (2018 - حتى الآن)

تقسيم المفتاح إلى أجزاء متعددة لا يملك أحد كاملها. يتطلب تنسيق عدة أطراف لتوقيع المعاملة.

لكن بشكل خاص: المستخدم يعتمد على مزود الخدمة. يمكن أن يتعرض للاختراق، أو يختفي، أو يرفض الخدمة. في 14/10/2025، تم قطع اتصال مزود محفظة MPC لمدة ساعتين بسبب التحميل الزائد، مما منع مئات الآلاف من المستخدمين من تحويل الأموال.

النتيجة: الثقة تُستبدل بالاعتماد على البشر.

الجيل 4: محفظة Passkey (2024 - حتى الآن)

تغيير كامل في الهندسة المعمارية: المفتاح محصور داخل شريحة أمان في الجهاز (شريحة حماية Apple Pay، Google Pay)، لا يمكن استخراجها، وتعمل فقط عند التحقق البيومتري من المستخدم.

لا حاجة لعبارة تذكر. لا حاجة لجهاز مادي خاص. لا حاجة لطرف ثالث. فقط وجه أو بصمة.

ما هو Safe؟ الدرس من 1.6 مليار دولار

Safe هو حل محفظة متعددة التوقيعات مشهور، يثق به ملايين المستخدمين لتخزين الأصول. كشف هجوم Safe في فبراير 2025 عن حقيقة:

جميع حلول المحافظ الثلاثة الأجيال السابقة تشترك في عيب قاتل: رغم أن المفاتيح مخزنة بأمان (برمجياً، أو ماديًا، أو MPC)، إلا أن المستخدمين لا يزالون يحتاجون للوصول عبر واجهة ويب تقدمها خوادم مركزية.

• الواجهة الأمامية يمكن أن تُسيطر عليها
• DNS يمكن أن يُسرب (مما يؤدي إلى مواقع وهمية)
• أدوات المتصفح يمكن أن تُزرع فيها برمجيات خبيثة
• واجهة الويب يمكن أن تتعرض للهجمات الاحتيالية بشكل كامل

عندما يهاجم القراصنة Safe، فإنهم لا يهاجمون البلوكتشين أو المفاتيح - إنهم يغيرون الباب عندما يركز الجميع على القفل.

مثل مخزن ذهب لا يُخترق، لكنه يركب بابًا من الورق المقوى.

خمسة أنماط هجوم شائعة

1. هجوم على الواجهة الأمامية

السيطرة على واجهة المحفظة، زرع برمجيات خبيثة لتوقيع معاملات تلقائية وتحويل الأصول.

2. سرقة عبارة التذكر

برمجيات خبيثة تفحص، أو خداع اجتماعي، أو إنشاء عبارات سهلة الاختراق.

3. حملة التصيد الاحتيالي

نسخ الموقع بشكل مطابق، أو ترويج إيردروب عاجل، أو خداع المستخدمين لمنح صلاحيات غير محدودة.

4. التلوث بسلسلة التوريد

برمجيات خبيثة مخفية في مكتبات البرمجيات تؤثر على ملايين المحافظ في وقت واحد.

5. هجوم مادي

سرقة ورقة كتابة العبارة أو جهاز مادي.

Passkey: الحماية من خلال الهندسة المعمارية، لا من خلال الدفاع

Passkey ليست تكنولوجيا تشفير جديدة، بل نظام للتحقق من الهوية الرقمية المستقبلية استثمرت فيه Apple وGoogle وMicrosoft مليارات الدولارات. يحمي مليارات المعاملات اليومية - من فتح iPhone بواسطة Face ID إلى تسجيل الدخول للخدمات المالية.

كيف يغير Passkey الأمان:

• البيومترية: الوجه أو البصمة هي وسيلة الوصول الوحيدة
• مرتبط باسم النطاق: كل Passkey مرتبط بتشفير باسم نطاق، مما يجعل التصيد الاحتيالي رياضيًا شبه مستحيل
• لا مشاركة للأسرار: المفتاح لا يخرج أبدًا من الجهاز
• شريحة أمان: المفتاح موجود في Secure Enclave، مثل شريحة حماية الدفع

الهندسة المعمارية الكاملة لمحفظة Passkey:

الطبقة 1: Passkey داخل شريحة أمان الجهاز المفتاح الخاص يُولد هناك، ويظل دائمًا، ولا يمكن استخراجه أو نسخه.

الطبقة 2: واجهة أمامية غير قابلة للتغيير واجهة المحفظة تُنفذ على البلوكتشين، غير مقدمة من خادم ويب، ولا يمكن تعديلها أو استبدالها.

الطبقة 3: التنفيذ المباشر على السلسلة المعاملة تذهب مباشرة من الجهاز إلى البلوكتشين، بدون خادم وسيط، وبدون API مفتاح.

الحصانة المعمارية - القضاء على نقاط الاختراق

Passkey لا يقتصر على مقاومة الهجمات، بل يجعل معظم الهجمات مستحيلة:

الهجوم على الواجهة → غير ممكن، الواجهة على البلوكتشين، غير قابلة للتغيير سرقة العبارة → لم تعد هناك عبارة التصيد الاحتيالي → مستحيل، لأن Passkey مرتبط باسم نطاق محدد فيروس أو برمجيات خبيثة → غير ذات فائدة، المفتاح في الشريحة هجوم سلسلة التوريد → الواجهة من البلوكتشين، غير معتمد على سلسلة التوريد البرمجية

الأمان لا يأتي ببناء جدران عالية، بل بإزالة جميع طرق الهجوم تمامًا.

لحظة Tesla للعملات المشفرة

Tesla لا تصنع محرك بنزين أفضل - إنها تزيل البنزين تمامًا. بالمثل، فإن محفظة Passkey لا تحسن عبارة التذكر - بل تزيلها تمامًا.

الجدول الزمني للتبني:

• 1-2 سنة: تبدأ الشركات في اعتماد Passkey على نطاق واسع، وتستمر هجمات الاختراق على المحافظ التقليدية في الارتفاع، وتبدأ شركات التأمين في فرض استخدام Passkey
• 3-5 سنوات: الاعتماد الجماعي، وتُعتبر عبارة التذكر خطرة مثل كلمات المرور بدون التحقق الثنائي
• المستقبل: تختفي عبارات التذكر، تمامًا مثل مودم الاتصال الهاتفي أو الأقراص المرنة

كل ثورة تكنولوجية تتبع نموذج: مقاومة → قبول → سيطرة. التكنولوجيا المتفوقة لا تنتصر بالتدريج، بل بجعل التكنولوجيا القديمة عتيقة تمامًا.

لحظة الاختيار

بعد خسارة 50 مليار دولار، يقف قطاع العملات المشفرة أمام ثلاثة مسارات:

• تكرار نفس الهيكل المعرض للهجمات
• تركيب قفل أكثر متانة على باب من الورق المقوى
• قبول تغيير الهندسة المعمارية - باستخدام Passkey

محفظة Passkey ليست تحسينًا محليًا، بل إصلاح شامل.

المشكلة ليست فيما إذا كانت محفظة Passkey ستصبح المعيار، بل متى ستصبح كذلك.

لقد حانت لحظة Tesla للعملات المشفرة. السؤال الوحيد هو: هل أنت مستعد؟