التهديد الداخلي: كيف أصبح الفاعلون الداخليون أضعف حلقة في مجال العملات الرقمية - برايف نيو كوين

تم الكشف هذا الأسبوع أنه في أبريل 2024، قام موظف سابق في شركة تدقيق العقد الذكي Fuzzland بإساءة استخدام الوصول الداخلي للاختراق لبروتوكول UniBTC الخاص بـ Bedrock بمبلغ 2 مليون دولار.

تكشف تقرير أن المهاجم كان مثابرا واستخدم العديد من الطرق المختلفة. قام الجاسوس بإدخال أبواب خلفية في محطات العمل الهندسية أثناء عمله في الشركة، والتي لم تُكتشف لأسابيع. كما استخدموا الهندسة الاجتماعية، وهجمات سلسلة التوريد. تذكرنا الحادثة بحادثة أخرى حديثة "داخلية" في Coinbase حيث باع موظفو الدعم الفني بيانات العملاء السرية للغاية لعصابات إجرامية. وهذا يسلط الضوء على حقيقة مزعجة: حتى الأنظمة المدققة جيدا يمكن أن تتعرض للاختراق من الداخل.

يظهر المطلعون كتهديد وجودي محتمل للبنية التحتية للعملات المشفرة. هؤلاء هم المطورون والموظفون وحتى المتعاقدون من الأطراف الثالثة الذين لديهم وصول مميز إلى الأنظمة ويمكنهم استغلال هذا الوصول لتحقيق مكاسب خبيثة.

هل مطوروك هم الحلقة الأضعف؟

تتجنب الهجمات الداخلية غالبًا التدابير الأمنية التقليدية. تعتمد طريقة دخولها على تسليم مفاتيح القلعة. يتمتع المطورون والمدققون بالوصول إلى بيئات الإنتاج، وامتيازات الالتزام، والمعرفة الفورية بضعف النظام.

تعتمد طريقة دخولهم على منحهم مفاتيح القلعة، وليس من خلال الاختراقات بالقوة الغاشمة أو استغلال الثغرات، ولكن عن طريق تأمين الوصول الشرعي كأعضاء موثوقين في الفريق. بمجرد دخولهم، يمكن لهؤلاء المطلعين التحرك بشكل جانبي عبر الأنظمة الداخلية، وزرع أبواب خلفية، واستخراج المفاتيح الحساسة، أو التلاعب في نشر العقود الذكية، كل ذلك تحت ستار النشاط الطبيعي للمطورين. وهذا يجعلهم أكثر صعوبة في الاكتشاف مقارنة بالمهاجمين الخارجيين، ويزيد بشكل كبير من الإمكانيات للتعرض للاختراق على المدى الطويل دون اكتشاف.

في العديد من النواحي، أصبح الثقة في أعضاء الفريق عبئًا أمنيًا. وفي صناعة تستخدم الأسماء المستعارة حيث قد لا يلتقي المساهمون في المصادر المفتوحة أبدًا شخصيًا، تكون تحديات التحقق من النية والهوية معقدة بشكل خاص.

جيش كوريا الشمالية السيبراني واختراق فرق Web3

أكثر الاتجاهات المثيرة للقلق في هذا الاتجاه هو استخدام العمل عن بعد من قبل الدول. وفقًا لتقارير الحكومة الأمريكية وشركة الأمن السيبراني DTEX، قامت كوريا الشمالية بنشر عملاء نائمين في منظمات Web3 من خلال التظاهر بأنهم مطورون مستقلون وموظفو تكنولوجيا المعلومات. يستخدم هؤلاء العملاء هويات مزيفة، ومساهمات مقنعة على GitHub، وملفات تعريف احترافية على LinkedIn لتأمين عقود في شركات التشفير وDAOs.

بمجرد دخولهم، إما أن يسرقوا بيانات الاعتماد الحساسة مباشرة أو يقوموا بإدراج أبواب خلفية في قاعدة الشيفرة. هذه الهجمات من الصعب جداً اكتشافها، خاصة في الفرق العالمية الموزعة التي تملك تحققاً شخصياً محدوداً.

أصدرت مكتب التحقيقات الفيدرالي ووزارة الخزانة ووزارة العدل إعلانات مشتركة تحث مشاريع العملات المشفرة على تدقيق العمال عن بُعد بشكل أكثر دقة. اعتبارًا من أواخر عام 2024، تم ربط أكثر من مليار دولار أمريكي من سرقات العملات المشفرة بجهات فاعلة مدعومة من الدولة الكورية الشمالية.

هل تشكل الثقافة المستعارة في عالم التشفير خطرًا أمنيًا؟

الأمان ليس مجرد كود، بل هو عن الناس. واحدة من القيم الأساسية للعملة المشفرة هي القدرة على العمل بشكل مستعار؛ الصناعة مبنية على احترام الخصوصية الفردية. ومع ذلك، فإن هذه الميزة تجعل من الصعب تطبيق ممارسات الموارد البشرية والأمان التقليدية. في حين أن الاستعارية قد منحت القوة للمبلغين عن المخالفات، والمساهمين في المصادر المفتوحة، والمجتمعات في المناطق القمعية، إلا أنها تفتح أيضًا الباب للإساءة.

هل القيم المتعلقة باللامركزية متوافقة مع نماذج الثقة المطلوبة لبناء أنظمة آمنة؟ الحل المحتمل هو نهج هجين، حيث يعمل المساهمون المجهولون في أدوار محجوزة، بينما يقتصر البنية التحتية الأساسية على أعضاء الفريق الموثقين.

الخاتمة

تشير ثغرة Bedrock والاتجاه الأوسع المرتبط بالدولة إلى أن الصناعة لم تعد قادرة على الاعتماد فقط على عمليات التدقيق الخارجية ومكافآت الأخطاء. في قطاع مبني على الشفافية والشيفرة، قد تكون الثقة البشرية هي السطح الأكثر وضوحًا للهجوم.

لكي يتوسع Web3 بشكل آمن، يجب أن يتعامل مع حقيقة غير مريحة: قد لا يكون التهديد الأكثر خطورة في الخارج، بل قد يكون بالفعل داخل الجدران.