- الموضوع
22 درجة الشعبية
28k درجة الشعبية
14k درجة الشعبية
11k درجة الشعبية
957 درجة الشعبية
5k درجة الشعبية
4k درجة الشعبية
11k درجة الشعبية
45k درجة الشعبية
152k درجة الشعبية
- تثبيت
22 درجة الشعبية
28k درجة الشعبية
14k درجة الشعبية
11k درجة الشعبية
957 درجة الشعبية
5k درجة الشعبية
4k درجة الشعبية
11k درجة الشعبية
45k درجة الشعبية
152k درجة الشعبية
خبير أمان Web3 يشرح حماية الحسابات في التبادل واستراتيجيات منع سرقة الأصول الشخصية
نظرة عامة على وجهات نظر SPACEKOL
تم تحليل مشكلة أمان حسابات البورصة من الناحية التقنية، وأشير إلى أن تعيين حقل التحقق في رأس الطلب يمكن أن يمنع سرقة الكوكيز بشكل فعال.
باعتبارك مطور عقود ذي خبرة، تم التأكيد على ضرورة وجود استراتيجيات أمان صارمة في عمليات الأصول، ومشاركة التجارب والملاحظات الشخصية حول استراتيجيات الأمان في البورصات.
تحدثت من خلال تجربتي الشخصية عن عملية الهجوم من قبل القراصنة، لتنبيه الجميع بشأن المخاطر المحتملة عند استخدام محافظ الويب 3.
بصفتك باحثًا في الأمن، قمت بتحليل آلية التداول المتبادل، واقترحت على المستخدمين توخي الحذر بشأن أذونات تحميل إضافات المتصفح لتجنب المخاطر الأمنية المحتملة.
شارك خبرته في العمل كمسؤول عن محتوى البحث في Manta، وأكد على أهمية المجتمع في حوكمة DAO.
في جلسة المناقشة الحرة، ناقش الخبراء بعمق القضايا التالية:
استعراض رائع للفضاء
في حادثة سرقة أصول مستخدمي Web3 في 24 مايو، حيث بلغ المبلغ المسروق 500w، تمكن المخترقون من سرقة جميع الأموال في حساب المستخدم دون الحصول على كلمات مرور حسابات أو معلومات التحقق الثانية من بعض البورصات. كانت النقطة الأساسية في هذه الحادثة هي استغلال المخترقين لثغرات في صفقات التداول المتزامن وإضافات المتصفح. فلماذا تمكنت صفقات التداول المتزامن وإضافات المتصفح من تسهيل أهداف اللصوص؟
استعراض الأحداث من منظور الأطراف المعنية
أنا في圈 منذ 17 عامًا، مررت بدورتين من الصعود والهبوط، وواجهت 5 مرات خسارة كاملة. بشأن حادثة السرقة هذه، لم أستخدم البورصة، بل استخدمت محفظة Web3.
قبل خمسة أيام في صباح أحد الأيام، بعد مغادرتي الفندق، تصفحت المعلومات الرسمية عن المشاريع التي استثمرت فيها. اكتشفت أنه تحت تغريدة الحساب الرسمي، كان هناك شخص يتظاهر بمعلومات إضافية رسمية، وكان اسم مستخدمه مشابهًا جدًا للرسمي - رغم أن الحساب مختلف. عادةً لا أقبل المكافآت غير المعروفة بشكل عشوائي، لكن في تلك المرة أردت أن أجرب. بعد العودة إلى المنزل، قمت بتسجيل الدخول إلى محفظتي ونسخت رابطًا. عندما فتحت الرابط في متصفح المحفظة، كان هناك زر واحد فقط "اتصل بالمحفظة". نظرًا لأنني لست على دراية كبيرة بالتكنولوجيا، اعتقدت أن هذه عملية عادية. بعد الاتصال، أدركت أنني بحاجة إلى تفويض لنقل الأصول، لكن عند الاتصال شعرت على الفور أن هناك شيئًا خاطئًا. بعد التحقق بعناية، اكتشفت أن اسم الرابط كان غير صحيح، في تلك اللحظة أدركت أنني قد أتعرض لسرقة. هذه هي تجربتي بالكامل. شكرًا.
السؤال الأول: كيف تحمي الأصول الشخصية من هجمات القراصنة؟
أولاً، حسابات البورصة وآلية التحقق الثانوي تهدف فعليًا إلى الحصول على حالة تسجيل دخول المستخدم، وهي ما نعرفه باسم الكوكي. من خلال هذه الحالة، يمكن تجاوز تسجيل الدخول التقليدي باستخدام اسم المستخدم وكلمة المرور للوصول مباشرة إلى النظام، وهذا شائع جدًا في مجال الهجمات والدفاعات الإلكترونية.
من الناحية الفنية، تتمتع إضافات المتصفح بسلطات عالية جدًا، حيث يمكنها الوصول إلى جميع بيانات الموقع، بما في ذلك ملفات تعريف الارتباط الخاصة بالمستخدم. على سبيل المثال، يعد مدير كلمات المرور في المتصفح إضافة، حيث يمكنه استخدام كود JS لإدخال اسم المستخدم وكلمة المرور في حقول الإدخال المناسبة، وبالتالي يمكنه أيضًا الحصول على ملفات تعريف الارتباط الخاصة بالمستخدم. يجب على المستخدمين الأفراد تجنب تثبيت إضافات المتصفح من مصادر غير معروفة. وإذا كان من الضروري التثبيت، فمن الأفضل أولاً فحص الشيفرة المصدرية للتأكد من عدم وجود وظائف أو كلمات رئيسية مشبوهة لالتقاط ملفات تعريف الارتباط.
من الناحية الفنية، لا يعتبر هذا ثغرة، ولن تصنفه CVE كثغرة. لكن من الناحية التقنية، فإن البورصة لديها القدرة الكاملة على تجنب مشكلة استحواذ الحسابات بسبب تسرب ملفات تعريف الارتباط الخاصة بالمستخدمين. على سبيل المثال، يمكن إعداد رمز أو حقل تحقق آخر في رأس الطلب، واستخدام هذه الحقول كأدلة للمستخدم بدلاً من الاعتماد فقط على ملفات تعريف الارتباط، مما يمكن أن يمنع بشكل فعال سرقة ملفات تعريف الارتباط. هذه بعض من آرائي.
لقد قام Jim بتحليل شامل من الناحية التقنية، وسأشارك وجهة نظري من منظور استراتيجي. تمتلك العديد من البنوك المحلية استراتيجيات أمان صارمة في برامجها، مثل إعادة إدخال كلمة المرور بعد تغيير الشاشة، وهذا مهم بشكل خاص أثناء عمليات الأصول. على سبيل المثال، كانت إحدى البورصات في وقت مبكر تتطلب من المستخدمين تعيين كلمة مرور للأموال بعد تسجيل الدخول لفتح صلاحيات التداول القصير، على الرغم من أن العملية كانت معقدة، إلا أنها وفرت حماية إضافية. ومع ذلك، مع تزايد الطلب على سهولة التداول، ألغت إحدى البورصات هذه الاستراتيجية، مما جعلها غير كافية في مسائل الأمان مثل التداول المتداخل.
إن التداول المتلاعب به ليس ظاهرة جديدة، فقد عانى المستخدمون من خسائر بسبب هذه المشكلة منذ عام 2021. وهذا يذكرنا مرة أخرى بأن استراتيجيات الأمان في البورصات المركزية تحتاج إلى تعزيز عاجل. يجب أن توازن صياغة استراتيجيات الأمان بين سهولة الاستخدام وحماية الأصول، لمنع حدوث أحداث مشابهة للتداول المتلاعب. يجب على البورصات المركزية، كجزء مهم من حماية الأصول، أن تعطي أهمية وتستمر في تحسين آليات الأمان الخاصة بها.
أود أن أضيف بعض المعلومات حول أهمية كلمة مرور الأموال في البورصة. يمكن أن تساعد كلمة مرور الأموال إلى حد ما في منع سرقة الأصول. حتى لو تمكن المخترق من تسجيل الدخول إلى حساب البورصة من خلال سرقة الكوكيز، فلن يتمكن من إجراء أي معاملات بدون كلمة مرور الأموال.
تعد معاملات "الضغط على السوق" تقنية شائعة، حيث قد يختار القراصنة عملات ذات سيولة منخفضة، من خلال وضع أوامر من حساب الضحية، ثم شراءها بحسابهم الخاص بسعر منخفض، مما يؤدي إلى تحويل الأموال إلى حساباتهم، مما يتسبب في خسائر.
بالإضافة إلى ذلك، أود أن أؤكد على أمان ملحقات المتصفح. تتمتع ملحقات متصفح Chrome بصلاحيات كبيرة، بعد التنزيل سيقوم المتصفح بإخطار المستخدم بصلاحيات الملحق المطلوبة. أنصح شخصيًا بأنه بالنسبة لأي ملحق يبدو أنه يتطلب صلاحيات كبيرة أو غير واضحة، من الأفضل قراءة وصف الصلاحيات أولاً، وإذا لم تكن متأكدًا من أمانه، يجب اختيار إلغاء التثبيت لتجنب الاستخدام. هذه طريقة فعالة للوقاية من حوادث الأمان المماثلة.
لقد غطى الضيوف السابقون العديد من النقاط. أود أن أضيف أنه يجب علينا أولاً تجنب تنزيل المكونات الإضافية من مصادر غير موثوقة، حتى لو كانت بعض المكونات الإضافية موصى بها من قبل KOL، يجب أن نكون حذرين من تلك التي روج لها KOL الأجانب سابقًا. في بعض الأحيان، قد يقوم KOL أو الجهة الرسمية للمشروع بإصدار معلومات حول مكافآت مثل الإيجابيات، لكن حتى في هذه الحالة، أنصح الجميع بالانتظار بصبر وعدم الاستعجال في المشاركة. لأن هذه المعلومات قد تأتي من حسابات مخترقة، وتصدر معلومات مزيفة. باختصار، الحذر هو المفتاح، شكرًا للجميع.
السؤال الثاني: كيف يمكن التغلب على تحديات الأمان في تقنية تغيير الوجه بالذكاء الاصطناعي؟
تكنولوجيا الديب فيك أصبحت وسيلة شائعة للهجمات الإلكترونية. يستغل الجناة هذه التكنولوجيا لإنشاء مواد مزيفة، وشن هجمات جماعية، ويتجاوزون وسائل التحقق من خلال طرق مثل استخدام العيوب لإنشاء وجوه مزيفة، للقيام بالهجمات.
في مجال الأمان، لا يمكن لجدران الحماية منع هذه الأنواع من هجمات تجاوز المصادقة. على سبيل المثال، قد تعتمد بعض البورصات فقط على مصادقة الوجه عندما ينسى المستخدم كلمة المرور، مما يفتقر إلى نظام دفاع متعمق، مما قد يؤدي إلى ثغرات أمنية. في السيناريوهات ذات المتطلبات الأمنية العالية، وخاصة عند تسجيل الدخول لأول مرة أو في بيئات غير طبيعية، لا يُوصى باستخدام OCR ومصادقة الوجه فقط، بل يجب دمجها مع مصادقة ثنائية مثل الرسائل النصية.
في مجال التعرف على الوجه، تعتبر المواجهة بين الهجوم والدفاع شديدة للغاية بسبب وجود العديد من الخصائص المتغيرة والأدوات، ولا يمكن الاعتماد فقط على خوارزمية واحدة. يجب علينا إنشاء نظام دفاع كامل ضد التعرف على الوجه، كما فعلت شركة علي باي، من خلال دمج أمان الطرف النهائي، ومواجهة خوارزميات منظمة، والاستجابة بسرعة بناءً على الوضع الحالي للهجوم والدفاع.
إذا واجه الأفراد مثل هذه الهجمات وكان من الصعب التحقيق فيها، يجب عليهم الاتصال بالبورصة على الفور للإبلاغ عن سرقة الحساب، وتجميد الحساب قدر الإمكان، وتغيير معلومات الوصول، وتفعيل المصادقة الثنائية. في الوقت نفسه، يجب الاحتفاظ بالأدلة ذات الصلة ومحاولة استعادة الأصول.
على الرغم من أن تقنية Deepfake متقدمة، إلا أنه قد تحدث أخطاء أثناء عملية الإنتاج، مثل تشويه الميزات الوجهية. حاليًا، يجب أن تكون تدابير التحقق من الأمان على مستوى Alipay كافية للتعامل مع هذه الأنواع من المشكلات. ومع ذلك، من وجهة نظر حماية الأفراد، من الصعب جدًا تقديم نصائح محددة للحماية.
توجد مشكلات مثل تسرب المعلومات الشخصية بشكل شائع، ويصعب على المستخدمين الأفراد الوقاية منها بشكل مستقل. أعتقد أنه يجب الدعوة إلى تحسين أمن التعرف على الوجه ومعايير الاعتماد من قبل البورصات وغيرها من المؤسسات، لحل المشكلة من جذورها، بدلاً من ترك المستخدمين يبحثون بأنفسهم عن كيفية الحماية. قدرة الحماية الشخصية محدودة، وتحتاج إلى تعاون شركات الأمن ودعم التقنية المتخصصة، وهذا هو أفضل حل.
أود أن أشارك وجهة نظري من منظور مستخدم عادي. على الرغم من أن إخطار البورصة بتجميد الحسابات المشبوهة في الوقت المناسب هو وسيلة فعالة، إلا أن هذه الطريقة ليست مثالية. غالبًا ما يكون المتسللون منظمين، وينقلون الأصول بسرعة كبيرة. لقد عايشت مثل هذه الحالة شخصيًا، عندما تم سرقة أصولي، قام المتسلل بنقل الأصول بسرعة، وعندما اتصلت بالبورصة لتجميد حساب الطرف الآخر، كانت الأصول في الحساب قد تم سحبها بالفعل.
هذا يشير إلى أنه من الصعب علينا مواكبة القراصنة عند استعادة الأصول المسروقة. عملية حماية الحقوق صعبة جداً لأننا غالباً ما نكون في وضع ضعيف.
بالنسبة لحدث الذكاء الاصطناعي، أعتقد أن المشكلة تكمن في عدم كفاية إعدادات أمان البورصة. أمان البريد الإلكتروني منخفض نسبيًا، وعادة ما يتطلب تعديل كلمة المرور رمز التحقق من البريد الإلكتروني أو رمز التحقق من الهاتف المحمول أو التحقق المزدوج. ومع ذلك، في هذا الحدث، تمكن القراصنة من تجاوز التحقق الأمني الآخر ببساطة من خلال تحميل بطاقة الهوية وفيديو الذكاء الاصطناعي، مما يدل على فشل تدابير التحكم في المخاطر.
عندما يتم إعادة تعيين إعدادات الأمان، يجب على البورصة تقييد العمليات ذات الصلة لمدة 24 ساعة على الأقل، وإبلاغ المستخدمين بحالة إعادة التعيين، ليتمكن المستخدمون من اتخاذ الوقت الكافي للرد وحماية حساباتهم. ولكن في هذه الحالة، قام المتسلل بتحويل الأصول في أقل من 24 ساعة، وهذا غير مقبول.
لقد عانيت أيضًا من شراء عملة مستقرة معينة من خلال C2C في إحدى البورصات دون أي قيود على السحب، مما يمثل خطرًا على غسيل الأموال. يبدو أن تدابير إدارة المخاطر في البورصة بحاجة إلى تحسين. فيما يتعلق بتتبع الأصول المسروقة، فإن استجابة البورصة تكون بطيئة أو تطلب تقديم كميات كبيرة من الوثائق قبل تجميد الحساب، مما يجعل عملية تتبع واستعادة الأصول المسروقة صعبة للغاية. على الرغم من أننا نحاول التعاون والتواصل مع البورصة، إلا أن هذه لا تزال مشكلة معقدة.
أنا أوافق بشدة على وجهة النظر التي طرحها الضيوف السابقون. أولاً، أعتقد أنه يجب على البورصة تعديل إعدادات الأمان على الفور، وتقييد عمليات السحب خلال 24 ساعة. بالإضافة إلى ذلك، فإن إيداع الأصول في البورصة يعتمد في الأساس على فرضية الأمان. إذا كان هناك شخص داخل البورصة يبيع معلومات المستخدمين، فإن من الصعب جداً الوقاية من ذلك. كمستخدمين عاديين، كل ما يمكننا القيام به هو الاحتفاظ بالأدلة، وتقديم الشكاوى إلى البورصة والدفاع عن حقوقنا، على أمل أن نحصل على تعويض.
علاوة على ذلك، بالنسبة للمستخدمين العاديين، بما في ذلك نفسي، أوصي بعدم التفاخر بالثروة في الأماكن العامة أو على وسائل التواصل الاجتماعي، لتجنب تسريب المعلومات الشخصية. على سبيل المثال، علمت أن هناك أصدقاء في عالم العملات الرقمية تعرضوا لسرقة هواتفهم أثناء السفر إلى بالي، بسبب استخدامهم للهاتف أثناء السير، مما أدى إلى فتح تطبيق محفظتهم وسرقة الأصول. لذلك، ينبغي علينا تجنب كشف حالتنا المالية في الأماكن العامة.
أيضًا، حدث سابقًا أن قراصنة قاموا بنشر برامج خبيثة من خلال تجربة المشاريع عن طريق مسح الرموز في الفعاليات. لذا، نذكّر الجميع أنه يجب أن يبقوا حذرين عند المشاركة في الأنشطة المختلفة، وعدم المسح بسهولة أو تحميل تطبيقات من مصادر غير معروفة. هذه هي الأمور المهمة التي نحتاج إلى الانتباه إليها لحماية الأصول الشخصية. شكرًا.
السؤال الثالث: هل من الأكثر أمانًا الاحتفاظ بأصول المستخدم الشخصية في المحفظة أم في البورصة؟
فيما يتعلق باختيار تخزين الأصول، أعتقد أنه يجب أن يعتمد على تفضيلات المخاطر الشخصية، وحجم الأصول، وتكرار المعاملات. تعتبر المحفظة التي تحتفظ بالمفاتيح الخاصة هي الأكثر أمانًا، على الرغم من أنه قد يتم التضحية ببعض الراحة. في الوقت نفسه، فإن إدارة المفاتيح الخاصة أمر بالغ الأهمية، ويجب الحذر من هجمات التصيد الاحتيالي وغيرها من هجمات الهندسة الاجتماعية.
بالنسبة للمستخدمين الذين يمتلكون أصولًا كبيرة ولا يتداولون بشكل متكرر، قد يكون استخدام المحفظة أكثر ملاءمة. بينما يعني اختيار تخزين الأصول في البورصة تسليم المفاتيح الخاصة إلى البورصة، مما يجعل الأمان يعتمد بالكامل على نظام الأمان الخاص بالبورصة. حاليًا، تعاني العديد من البورصات من نقص في الأمن السيبراني ونظام إدارة المخاطر، مما يفتقر إلى