مؤسس CertiK يتحدث عن أمان البلوكتشين: خسائر 16.6 مليار دولار في الربع الأول، يجب أن تكون الأمان كقاعدة أساسية
مؤخراً، أجرت إحدى وسائل الإعلام التكنولوجية المعروفة مقابلة حصرية مع المؤسس المشارك والرئيس التنفيذي لشركة CertiK. وناقش الطرفان تقرير الأمان للربع الأول الذي أصدرته الشركة مؤخراً، حيث تم التطرق إلى تطور أساليب هجمات القراصنة وابتكارات تقنيات الدفاع الأمني.
أكد الرئيس التنفيذي أن الأمان لا ينبغي أن يُعتبر تدبيراً تراجعياً، بل يجب أن يُعتبر مبدأ أساسياً يجب مراعاته منذ بداية المشروع. وقد دعا إلى تبني تقنيات متطورة مثل التحقق الرسمي، وإثبات المعرفة الصفرية، والحساب متعدد الأطراف، لتعزيز أمان بروتوكولات البلوكتشين والعقود الذكية بشكل شامل. وهذا هو بالضبط السبب وراء تأسيسه للشركة ورؤيته - لبناء أساس أمان أكثر موثوقية لعالم Web3.0 من خلال تقنيات التحقق الرسمي الدقيقة.
إن هذا الإصرار على الأمان ليس نتاج اتجاهات السوق القصيرة الأجل، بل هو ناتج عن استكشافه وممارسته الطويلة للآمال التكنولوجية. من المشاركة في تطوير نظام التشغيل الذي يُعتبر "لا يُمكن انتقاده"، إلى تقديم الحماية الأمنية لأصول رقمية تزيد قيمتها عن 5300 مليار دولار، لقد كرّس نفسه لحماية أمان الصناعة وتعزيز مستوى الثقة العامة.
أكد الرئيس التنفيذي مرارًا وتكرارًا أن الأمان ليس ميزة تنافسية، بل هو مسؤولية مشتركة. لم يقم فقط بتحويل النتائج الأكاديمية إلى ممارسات صناعية، بل أدخل أيضًا مفهوم "المسؤولية المشتركة" في التعاون الصناعي. باعتباره قائدًا تقنيًا خرج من أفضل الأكاديميات، فإنه يستخدم قابلية التحقق من المنطق الرياضي لمواجهة عدم اليقين المرتبط بهجمات القراصنة، موضحًا الاتجاه نحو تطوير الأمان في عصر Web3.0.
الاكتشافات الرئيسية في تقرير الأمان للربع الأول
في الربع الأول من عام 2025، تسببت حوادث الاحتيال على البلوكتشين في خسائر تقدر بحوالي 1.66 مليار دولار، بزيادة مذهلة بلغت 303٪ مقارنة بالربع السابق. ويرجع ذلك بشكل رئيسي إلى هجوم هاكر على إحدى البورصات في نهاية فبراير، حيث تم سرقة أصول تقدر بحوالي 1.4 مليار دولار. لا يزال الإيثيريوم هو الهدف الرئيسي للهجمات، حيث تسببت 3 حوادث أمنية في خسائر إجمالية بلغت 1.54 مليار دولار. والأكثر قلقًا هو أنه في هذا الربع، تم استرداد 0.38٪ فقط من الأصول المسروقة بنجاح.
تحليل اتجاهات الهجوم
استمر الربع الأول من عام 2025 في الاتجاه الذي بدأ في نهاية عام 2024، حيث لا يزال الإيثيريوم منطقة رئيسية للهجمات. حدثت 99 حادثة أمان على الإيثيريوم في الربع الرابع من عام 2024، بينما كان الرقم في الربع الأول 93. كان هذا الاتجاه واضحًا طوال عام 2024، ومن المتوقع أن يستمر في عام 2025.
تعود أسباب تركيز الهجمات على الإيثريوم إلى وجود العديد من بروتوكولات DeFi في بيئته، بالإضافة إلى الحجم الكبير للأصول المقفلة؛ من ناحية أخرى، توجد العديد من الثغرات في العقود الذكية على الإيثريوم.
استراتيجيات الأمان لمواجهة الهجمات المعقدة
في مواجهة أساليب الهجوم المتزايدة التعقيد، تعمل صناعة أمان البلوكتشين بنشاط على التصدي. يستغل المهاجمون بشكل متزايد استراتيجيات معقدة مثل الهندسة الاجتماعية، وتقنيات الذكاء الاصطناعي، والتلاعب بالعقود الذكية لتجاوز آليات الأمان الحالية. مع توسع نطاق تطبيق الأصول الرقمية وزيادة قيمتها، يجب على الصناعة مواكبة العصر لضمان سلامة المشاريع وأمان أصول المستخدمين.
تعمل الصناعة على دفع تطوير تقنيات مبتكرة مثل إثبات المعرفة الصفرية (ZKP) والأمان على السلسلة. توفر هذه التقنيات حلولًا واعدة لمشكلات الأمان المتزايدة، حيث يمكن أن تحقق إمكانية التدقيق في المعاملات، وتتبع الهجمات، واسترداد الأصول مع حماية الخصوصية. تعزز الحوسبة متعددة الأطراف (MPC) من أمان إدارة المفاتيح من خلال توزيع السيطرة على المفاتيح الخاصة، مما يلغي مخاطر نقطة الفشل الفردية، ويزيد بشكل كبير من صعوبة الوصول غير المصرح به إلى المحفظة.
نصائح الأمان للمطورين
يجب أن تكون السلامة كأولوية قصوى مبدأً لا يمكن التنازل عنه. إن دمج اعتبارات السلامة في كل مرحلة من مراحل التطوير بدلاً من المعالجة اللاحقة يساعد على اكتشاف الثغرات المحتملة في وقت مبكر، مما يوفر الكثير من الوقت والموارد على المدى الطويل. تعتبر هذه الاستراتيجية النشطة "الأمان أولاً" ضرورية لبناء تطبيقات Web3.0 موثوقة.
بالإضافة إلى ذلك، فإن السعي للحصول على خدمات مؤسسات الأمان المهنية لإجراء تدقيق شامل وعادل من طرف ثالث، يمكن أن يوفر منظورًا مستقلًا، واكتشاف المخاطر المحتملة التي قد يغفلها الفريق الداخلي. توفر هذه التقييمات الخارجية مرحلة مراجعة حيوية، تساعد في التعرف على الثغرات وإصلاحها في الوقت المناسب، مما يعزز من أمان المشروع ككل، ويزيد من ثقة المستخدمين.
AI في البلوكتشين الأمني في الدور المزدوج
أصبحت الذكاء الاصطناعي أداة مهمة في نظام أمان البلوكتشين. تعتمد بعض الشركات على تقنيات الذكاء الاصطناعي لتحليل الثغرات والعيوب الأمنية المحتملة في العقود الذكية، مما يساعد في إتمام التدقيق الشامل بشكل أكثر كفاءة، ولكنها لا تستطيع استبدال الفرق الخبيرة البشرية بالكامل.
ومع ذلك، يمكن للمهاجمين أيضًا استخدام الذكاء الاصطناعي لتعزيز أساليب الهجوم. على سبيل المثال، يمكن استخدام الذكاء الاصطناعي لتحديد نقاط ضعف الكود، وتجنب آليات الإجماع، وأنظمة الدفاع. وهذا يعني أن عتبة مقاومة الأمان قد ارتفعت، ومع تزايد انتشار تطبيقات الذكاء الاصطناعي، يجب على الصناعة استثمار حلول أمان أكثر قوة.
دور التحقق الرسمي
التحقق الرسمي هو طريقة لإثبات أن البرامج الحاسوبية تعمل كما هو متوقع من خلال وسائل رياضية. يتم ذلك من خلال التعبير عن خصائص البرنامج كمعادلات رياضية والتحقق منها باستخدام أدوات آلية.
يمكن تطبيق هذه التقنية على نطاق واسع في مختلف مجالات صناعة التكنولوجيا، بما في ذلك تصميم الأجهزة، وهندسة البرمجيات، وأمن الشبكات، والذكاء الاصطناعي، وتدقيق العقود الذكية. ولكن من المهم التأكيد على أن التحقق الرسمي ليس بديلاً عن التدقيق اليدوي. بالنسبة للعقود الذكية، يعتمد التحقق الرسمي على الطرق الأوتوماتيكية لتقييم منطق وسلوك العقد، بينما يتم التدقيق اليدوي من قبل خبراء الأمان لإجراء فحص شامل للكود والتصميم والنشر لتحديد المخاطر الأمنية المحتملة. كلاهما يكمل الآخر، مما يعزز الأمان الشامل للعقود الذكية.
التحديات الأمنية الناجمة عن دخول المؤسسات المالية التقليدية
مع دخول المؤسسات المالية التقليدية إلى مجال البلوكتشين، تتغير أنواع ودرجة تعقيد التهديدات الأمنية. في المرحلة المبكرة من Web3.0 وصناعة البلوكتشين، كان المهاجمون عادةً يستهدفون المستخدمين الأفراد أو المشاريع الصغيرة، وكانت الأساليب تشمل هجمات التصيد، والـRugPull، واستغلال ثغرات المحافظ. لا تزال هذه التحديات قائمة، ولكن مع دخول المؤسسات الكبيرة، ستدخل المخاطر الأمنية لسلامة الشبكة مرحلة جديدة.
لا تتعلق هذه التحولات فقط بنمو حجم أصول المشروع، بل تشمل أيضًا المتطلبات الأمنية الخاصة بالتطبيقات على مستوى المؤسسات، والمتطلبات التنظيمية، والتحديات الناتجة عن التكامل العميق بين البلوكتشين والنظام المالي التقليدي.
نظرًا لأن معظم المؤسسات التقليدية لديها خبرة في مواجهة التهديدات السيبرانية، من المتوقع أن يقوم الفاعلون الخبيثون أيضًا بزيادة تعقيد أساليب الهجوم. قد تتغير أهداف الهجوم من ثغرات المحافظ العامة إلى نقاط الضعف المستهدفة على مستوى المؤسسات، مثل الأخطاء في التكوين، وثغرات العقود الذكية المخصصة، وعيوب الأمان في واجهات تكامل الأنظمة التقليدية.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 16
أعجبني
16
8
مشاركة
تعليق
0/400
TommyTeacher1
· 08-03 06:44
خسرت بهذا الشكل وما زلت هنا
شاهد النسخة الأصليةرد0
FreeRider
· 08-02 15:07
لا تقل ذلك، لقد خسرت مبلغًا كبيرًا مرة أخرى.
شاهد النسخة الأصليةرد0
GateUser-ccc36bc5
· 08-01 14:10
لقد خسرنا كثيرًا، ماذا تفعل هذه المشاريع المسروقة؟
شاهد النسخة الأصليةرد0
rekt_but_not_broke
· 07-31 12:40
أشعر أنني خسرت الكثير
شاهد النسخة الأصليةرد0
GateUser-3824aa38
· 07-31 12:38
أولئك الذين يهربون ليسوا آمنين
شاهد النسخة الأصليةرد0
RektRecorder
· 07-31 12:29
مرة أخرى 16 مليار تذهب سدى
شاهد النسخة الأصليةرد0
BridgeNomad
· 07-31 12:27
يوم آخر، استغلال آخر... متعب من كوني الشخص الذي توقع ذلك بصراحة
مؤسس CertiK يفسر تقرير الأمان: خسارة 16.6 مليار دولار في الربع الأول يجب أن تكون الأمان حجر الأساس للمشاريع
مؤسس CertiK يتحدث عن أمان البلوكتشين: خسائر 16.6 مليار دولار في الربع الأول، يجب أن تكون الأمان كقاعدة أساسية
مؤخراً، أجرت إحدى وسائل الإعلام التكنولوجية المعروفة مقابلة حصرية مع المؤسس المشارك والرئيس التنفيذي لشركة CertiK. وناقش الطرفان تقرير الأمان للربع الأول الذي أصدرته الشركة مؤخراً، حيث تم التطرق إلى تطور أساليب هجمات القراصنة وابتكارات تقنيات الدفاع الأمني.
أكد الرئيس التنفيذي أن الأمان لا ينبغي أن يُعتبر تدبيراً تراجعياً، بل يجب أن يُعتبر مبدأ أساسياً يجب مراعاته منذ بداية المشروع. وقد دعا إلى تبني تقنيات متطورة مثل التحقق الرسمي، وإثبات المعرفة الصفرية، والحساب متعدد الأطراف، لتعزيز أمان بروتوكولات البلوكتشين والعقود الذكية بشكل شامل. وهذا هو بالضبط السبب وراء تأسيسه للشركة ورؤيته - لبناء أساس أمان أكثر موثوقية لعالم Web3.0 من خلال تقنيات التحقق الرسمي الدقيقة.
إن هذا الإصرار على الأمان ليس نتاج اتجاهات السوق القصيرة الأجل، بل هو ناتج عن استكشافه وممارسته الطويلة للآمال التكنولوجية. من المشاركة في تطوير نظام التشغيل الذي يُعتبر "لا يُمكن انتقاده"، إلى تقديم الحماية الأمنية لأصول رقمية تزيد قيمتها عن 5300 مليار دولار، لقد كرّس نفسه لحماية أمان الصناعة وتعزيز مستوى الثقة العامة.
أكد الرئيس التنفيذي مرارًا وتكرارًا أن الأمان ليس ميزة تنافسية، بل هو مسؤولية مشتركة. لم يقم فقط بتحويل النتائج الأكاديمية إلى ممارسات صناعية، بل أدخل أيضًا مفهوم "المسؤولية المشتركة" في التعاون الصناعي. باعتباره قائدًا تقنيًا خرج من أفضل الأكاديميات، فإنه يستخدم قابلية التحقق من المنطق الرياضي لمواجهة عدم اليقين المرتبط بهجمات القراصنة، موضحًا الاتجاه نحو تطوير الأمان في عصر Web3.0.
الاكتشافات الرئيسية في تقرير الأمان للربع الأول
في الربع الأول من عام 2025، تسببت حوادث الاحتيال على البلوكتشين في خسائر تقدر بحوالي 1.66 مليار دولار، بزيادة مذهلة بلغت 303٪ مقارنة بالربع السابق. ويرجع ذلك بشكل رئيسي إلى هجوم هاكر على إحدى البورصات في نهاية فبراير، حيث تم سرقة أصول تقدر بحوالي 1.4 مليار دولار. لا يزال الإيثيريوم هو الهدف الرئيسي للهجمات، حيث تسببت 3 حوادث أمنية في خسائر إجمالية بلغت 1.54 مليار دولار. والأكثر قلقًا هو أنه في هذا الربع، تم استرداد 0.38٪ فقط من الأصول المسروقة بنجاح.
تحليل اتجاهات الهجوم
استمر الربع الأول من عام 2025 في الاتجاه الذي بدأ في نهاية عام 2024، حيث لا يزال الإيثيريوم منطقة رئيسية للهجمات. حدثت 99 حادثة أمان على الإيثيريوم في الربع الرابع من عام 2024، بينما كان الرقم في الربع الأول 93. كان هذا الاتجاه واضحًا طوال عام 2024، ومن المتوقع أن يستمر في عام 2025.
تعود أسباب تركيز الهجمات على الإيثريوم إلى وجود العديد من بروتوكولات DeFi في بيئته، بالإضافة إلى الحجم الكبير للأصول المقفلة؛ من ناحية أخرى، توجد العديد من الثغرات في العقود الذكية على الإيثريوم.
استراتيجيات الأمان لمواجهة الهجمات المعقدة
في مواجهة أساليب الهجوم المتزايدة التعقيد، تعمل صناعة أمان البلوكتشين بنشاط على التصدي. يستغل المهاجمون بشكل متزايد استراتيجيات معقدة مثل الهندسة الاجتماعية، وتقنيات الذكاء الاصطناعي، والتلاعب بالعقود الذكية لتجاوز آليات الأمان الحالية. مع توسع نطاق تطبيق الأصول الرقمية وزيادة قيمتها، يجب على الصناعة مواكبة العصر لضمان سلامة المشاريع وأمان أصول المستخدمين.
تعمل الصناعة على دفع تطوير تقنيات مبتكرة مثل إثبات المعرفة الصفرية (ZKP) والأمان على السلسلة. توفر هذه التقنيات حلولًا واعدة لمشكلات الأمان المتزايدة، حيث يمكن أن تحقق إمكانية التدقيق في المعاملات، وتتبع الهجمات، واسترداد الأصول مع حماية الخصوصية. تعزز الحوسبة متعددة الأطراف (MPC) من أمان إدارة المفاتيح من خلال توزيع السيطرة على المفاتيح الخاصة، مما يلغي مخاطر نقطة الفشل الفردية، ويزيد بشكل كبير من صعوبة الوصول غير المصرح به إلى المحفظة.
نصائح الأمان للمطورين
يجب أن تكون السلامة كأولوية قصوى مبدأً لا يمكن التنازل عنه. إن دمج اعتبارات السلامة في كل مرحلة من مراحل التطوير بدلاً من المعالجة اللاحقة يساعد على اكتشاف الثغرات المحتملة في وقت مبكر، مما يوفر الكثير من الوقت والموارد على المدى الطويل. تعتبر هذه الاستراتيجية النشطة "الأمان أولاً" ضرورية لبناء تطبيقات Web3.0 موثوقة.
بالإضافة إلى ذلك، فإن السعي للحصول على خدمات مؤسسات الأمان المهنية لإجراء تدقيق شامل وعادل من طرف ثالث، يمكن أن يوفر منظورًا مستقلًا، واكتشاف المخاطر المحتملة التي قد يغفلها الفريق الداخلي. توفر هذه التقييمات الخارجية مرحلة مراجعة حيوية، تساعد في التعرف على الثغرات وإصلاحها في الوقت المناسب، مما يعزز من أمان المشروع ككل، ويزيد من ثقة المستخدمين.
AI في البلوكتشين الأمني في الدور المزدوج
أصبحت الذكاء الاصطناعي أداة مهمة في نظام أمان البلوكتشين. تعتمد بعض الشركات على تقنيات الذكاء الاصطناعي لتحليل الثغرات والعيوب الأمنية المحتملة في العقود الذكية، مما يساعد في إتمام التدقيق الشامل بشكل أكثر كفاءة، ولكنها لا تستطيع استبدال الفرق الخبيرة البشرية بالكامل.
ومع ذلك، يمكن للمهاجمين أيضًا استخدام الذكاء الاصطناعي لتعزيز أساليب الهجوم. على سبيل المثال، يمكن استخدام الذكاء الاصطناعي لتحديد نقاط ضعف الكود، وتجنب آليات الإجماع، وأنظمة الدفاع. وهذا يعني أن عتبة مقاومة الأمان قد ارتفعت، ومع تزايد انتشار تطبيقات الذكاء الاصطناعي، يجب على الصناعة استثمار حلول أمان أكثر قوة.
دور التحقق الرسمي
التحقق الرسمي هو طريقة لإثبات أن البرامج الحاسوبية تعمل كما هو متوقع من خلال وسائل رياضية. يتم ذلك من خلال التعبير عن خصائص البرنامج كمعادلات رياضية والتحقق منها باستخدام أدوات آلية.
يمكن تطبيق هذه التقنية على نطاق واسع في مختلف مجالات صناعة التكنولوجيا، بما في ذلك تصميم الأجهزة، وهندسة البرمجيات، وأمن الشبكات، والذكاء الاصطناعي، وتدقيق العقود الذكية. ولكن من المهم التأكيد على أن التحقق الرسمي ليس بديلاً عن التدقيق اليدوي. بالنسبة للعقود الذكية، يعتمد التحقق الرسمي على الطرق الأوتوماتيكية لتقييم منطق وسلوك العقد، بينما يتم التدقيق اليدوي من قبل خبراء الأمان لإجراء فحص شامل للكود والتصميم والنشر لتحديد المخاطر الأمنية المحتملة. كلاهما يكمل الآخر، مما يعزز الأمان الشامل للعقود الذكية.
التحديات الأمنية الناجمة عن دخول المؤسسات المالية التقليدية
مع دخول المؤسسات المالية التقليدية إلى مجال البلوكتشين، تتغير أنواع ودرجة تعقيد التهديدات الأمنية. في المرحلة المبكرة من Web3.0 وصناعة البلوكتشين، كان المهاجمون عادةً يستهدفون المستخدمين الأفراد أو المشاريع الصغيرة، وكانت الأساليب تشمل هجمات التصيد، والـRugPull، واستغلال ثغرات المحافظ. لا تزال هذه التحديات قائمة، ولكن مع دخول المؤسسات الكبيرة، ستدخل المخاطر الأمنية لسلامة الشبكة مرحلة جديدة.
لا تتعلق هذه التحولات فقط بنمو حجم أصول المشروع، بل تشمل أيضًا المتطلبات الأمنية الخاصة بالتطبيقات على مستوى المؤسسات، والمتطلبات التنظيمية، والتحديات الناتجة عن التكامل العميق بين البلوكتشين والنظام المالي التقليدي.
نظرًا لأن معظم المؤسسات التقليدية لديها خبرة في مواجهة التهديدات السيبرانية، من المتوقع أن يقوم الفاعلون الخبيثون أيضًا بزيادة تعقيد أساليب الهجوم. قد تتغير أهداف الهجوم من ثغرات المحافظ العامة إلى نقاط الضعف المستهدفة على مستوى المؤسسات، مثل الأخطاء في التكوين، وثغرات العقود الذكية المخصصة، وعيوب الأمان في واجهات تكامل الأنظمة التقليدية.