التمويل اللامركزي (DeFi) موجود هنا ليعيش مع إجمالي قيمة مقفلة (TVL) تزيد عن 100 مليار دولار، مما يؤكد التصويت على الثقة في هذه الأدوات المالية الجديدة. سيستمر هذا الاستثمار في النمو، ولكن يبدو أنه مقابل كل رقم قياسي جديد في TVL، يتم الإبلاغ عن هجوم إلكتروني مروع آخر.

انخفضت العملات المشفرة بنسبة 57% في عام 2020، لكن هجمات التمويل اللامركزي زادت بشكل كبير، مما كلف الشركات والمستثمرين خسائر بالمليارات. وفي شهر مارس وحده، وقعت عدة هجمات في 5 أيام فقط، وخسرت الشبكة المدفوعة 180 مليون دولار. في أواخر شهر مايو، خسرت PancakeBunny أكثر من 200 مليون دولار في عملية استغلال الائتمان السريع.

من الواضح أن هناك الكثير من الثغرات والثغرات في بروتوكولات أمان blockchain الحالية. من سحب السجاد إلى عمليات الاحتيال الاحتيالية، فإن الأمان والتكنولوجيا في هذا الفضاء ليس مثاليًا تمامًا كما تشير الأرقام. ومع ذلك، هناك ممارسات مهمة يمكن لكل من المطورين والمستخدمين اعتمادها لملء هذا الفراغ.

لا تزال التكنولوجيا اللامركزية مركزية

بغض النظر عن مدى لامركزية الإعلان عن البروتوكول، فإن البنية الأساسية لا تزال مركزية. قم بإلقاء نظرة على واحدة من أهم ميزات الإنترنت لدينا، وهي سجلات DNS. لا يزال كل اسم نطاق مملوكًا مركزيًا - مملوكًا للحكومة أو الولاية أو الشركة التي تتمتع بالسلطة المطلقة على النطاق ويمكنها إلغاء تنشيطه إذا رغبت في ذلك.

أحد الأمثلة على المركزية في اللامركزية هو العقود الذكية. يمتلك مؤلفو العقود الذكية في Ethereum أو Binance الكلمة الأخيرة بشأن ما هو موجود في الكود، وهناك طرق لتشفير المخططات الشائنة، مثل سحب السجاد، في العقود الذكية.

خلال ازدهار المزرعة الإنتاجية في صيف عام 2020، شهدنا ظهور العديد من السجلات للاستفادة من الأموال المتدفقة إلى التمويل اللامركزي، ويستمر هذا العام. في شهر مارس، أجرت TurtleDex عملية سحب للبساط، وهي في الواقع باب خلفي في عقد ذكي، مما أدى إلى سرقة 2.5 مليون دولار من المستثمرين. تسمح هذه الميزة المفترضة للمطورين ببرمجة عمليات الغش التي يتم تنفيذها بعد ذلك استجابةً لأحداث أخرى في الكود، ويعد TurtleDex أحد المشاريع العديدة هذا العام التي كسرت السجادة برمجيًا.

إتصال: الربح على لسان الجميع، لكن التمويل اللامركزي يعد بتغيير الطريقة التي نتعامل بها مع المال

تعد مراجعة العقود الذكية طريقة رائعة لمنع التلاعب، ولكن حتى ذلك الحين نرى حالات يقوم فيها المطورون بتسليم عقد ذكي تم اختباره إلى عقد غير مختبر. تُظهر قضية Compounder مشروعًا احتياليًا يستحوذ بسهولة على سمعة الأسماء المعروفة وذات السمعة الطيبة في الغرفة. لقد تمكنوا من الاستفادة من Harvest Finance وYearn.finance بسرعة قبل أن يسحبوا السجادة على مستخدميهم ويخرجوا بملايين الدولارات من العملات المشفرة.

إتصال: يعد التدقيق القياسي لمشاريع DeFi أمرًا ضروريًا لتطوير الصناعة

اتجاهات القرصنة الحالية

وبصرف النظر عن سحب السجاد، هناك العديد من الهجمات الشائعة التي يمكن أن تطيح بشركة بأكملها إذا لم تكن مستعدة لها. لا يزال هجوم 51٪ - أي عندما يتحكم مجموعة من القائمين بالتعدين بأكثر من 50٪ من معدل تجزئة التعدين للشبكة ويسمح لهم بحجز سجلات المعاملات أو معالجتها لمضاعفة الإنفاق أو كسر كتلة السلسلة - يحدث في كثير من الأحيان من قبل. عانى كل من Firo وGrin من هجمات بنسبة 51% مؤخرًا.

حتى بعض مشاريع التشفير ذات الحد الأقصى غير آمنة. في فبراير، تم الإبلاغ عن حذف 200 يوم من تداول XVG على شبكة Verge فيما يُسمى حرفيًا "الحدث الأكثر عمقًا على الإطلاق في أفضل 100 عملة مشفرة".

نحن نتقبل هذه الأخطاء كجزء من تجربة blockchain، ولكن ماذا سيكون رد الفعل إذا حدث نفس الشيء لبنك كبير، على سبيل المثال؟ من المحتمل أن يكون هناك الكثير من عناوين وسائل الإعلام وضجة بين المستخدمين والعملاء. تمر هذه الأحداث دون أن يلاحظها أحد إلى حد كبير في مجال العملات المشفرة نظرًا لوجود عدد أقل من المستخدمين، ولكن مع السوق الصاعدة الأخيرة، بدأ هذا يتغير. ومن المحتم أن يتم فحص أمن سلاسل الكتل العامة بشكل أكثر صرامة.

طرق الوقاية من الاختراق مثل سحب السجاد kéo

لسوء الحظ، تعد القرصنة دائمًا خيارًا للمطورين عند العمل في مجال العملات المشفرة. السؤال ليس كيف تمنع الاختراق، بل كيف تمنع نفسك من التعرض للاختراق. تعد التطورات العديدة في محافظ الأجهزة - مثل المحفظة متعددة التوقيع الخاصة بـ Gnosis Safe - بمثابة محركات رئيسية لتحسين الأمان العام.

يتيح استخدام محفظة multisig لعدة مستخدمين الاحتفاظ بمفاتيح لنفس المحفظة ويتطلب المشاركة لاتخاذ إجراءات على الحساب. نظرًا لأن محفظة مثل هذه تتطلب إدخالات متعددة من المستخدمين لإجراء معاملة، فمن المستحيل تقريبًا سحب السجاد باستخدام هذا النوع من الخزنة.

طريقة أمنية أخرى لمنع سحب السجاد هي أقفال الوقت. تستخدم الكثير من التطبيقات اللامركزية المهلات، لذلك إذا حاول أحد المطورين الحصول على مستخدميه، فستتلقى تنبيهًا خلال حوالي 12 إلى 24 ساعة لمسح العملات المعدنية.

سيعمل هذا النوع من ممارسات السلامة على تعزيز ثقة أوسع في DeFi وإنشاء ثقافة أمان من شأنها تطوير صناعتنا.

تحسين أمان محفظة التشفير

يعتمد أمان المحفظة في النهاية على المطورين والمستخدمين الذين يستخدمون أساليب أكثر ذكاءً. يمكن أن تساعد المراجعات الأمنية المنتظمة وممارسات الأمان الداخلي في جعل المحافظ أكثر أمانًا.

في حين أن المراجعات الأمنية تعد حلاً جيدًا، إلا أن Uniswap وغيرها من منصات التبادل اللامركزية القائمة على صانع السوق الآلي (DEXs) غير مسموح بها، لذلك لا يمكن إجراء المراجعات الدورية. أفضل الممارسات هي فهم تفاصيل عملات "الإطلاق العادل" - المشاريع التي يتم إطلاقها من DEX. في حين أن العديد من هذه المشاريع ذات جودة عالية، إلا أن الكثير منها معروف بأداء رائع. تسهل التعليمات البرمجية مفتوحة المصدر على أي شخص اختبار العقد الذكي والتحقق من أنه آمن بالنسبة له، وتمنح المستخدمين المزيد من الأدوات لممارسة الأمان الجيد.

قد تبدو مطالبة المستخدمين بتنفيذ أمان جيد بمثابة إنجاز كبير، ولكنه مطلوب للوصول إلى المزايا العديدة للعملات المشفرة وDeFi على وجه الخصوص. في البنوك التقليدية، يكون البنك مسؤولاً عن الأمان، ولكن في العملات المشفرة، يعتمد الأمان على ممارسات المطورين والمستخدمين.

إذا نسيت كلمة مرور البنك الخاص بك أو أرسلت أموالاً إلى الشخص الخطأ، فيمكنك الاتصال بالمصرف الذي تتعامل معه لتخفيف المعاملة حتى يتم حلها. لكن في عالم العملات المشفرة لا يوجد خيار نسخ احتياطي في حالة فقدان مفتاحك أو إرسال أموال إلى عنوان خاطئ. أحد المزايا، بالطبع، هو أنه لا داعي للقلق بشأن توفر أموالك في العملات المشفرة بينما يمكن للبنوك إغلاق وفرض ضوابط على رأس المال، كما حدث خلال الأزمة المصرفية اليونانية عام 2015.

وفي الختام

كمطورين، نحتاج إلى إجراء اختبارات الأمان والتحقق المتبادل ومحاسبة بعضنا البعض لتطوير ممارسات الأمان المحسنة.

يجب على المستخدمين التفكير في تنفيذ بروتوكولات الأمان الخاصة بهم وفهم الفروق الدقيقة في التخزين وسيناريوهات الهجوم المحتملة. تتمثل الممارسة الجيدة لحاملي العملات المشفرة السلبية في فصل محافظ الأجهزة عن الإنترنت أو المحافظ الورقية غير المتصلة بالإنترنت بنسبة 100% ولا تتطلب المزامنة عبر الإنترنت لتحديثات البرامج الثابتة.

لا تزال هجمات التصيد الاحتيالي، وهي أحد الأشكال المبكرة للهجوم عبر الإنترنت، منتشرة على نطاق واسع وشائعة. إحدى طرق مكافحة محاولات التصيد الاحتيالي هي التحقق من صحة المرسل.

لا تدخل مفاتيحك الخاصة أو عباراتك الأولية على أي موقع ويب أو ترسلها إلى أي شخص عبر القنوات العامة أو الرسائل المباشرة. بشكل عام، يجب عليك إدخال العبارة الأولية فقط في المرة الأولى التي تقوم فيها بإعداد المحفظة. بالإضافة إلى ذلك، يجب عليك إدخال العبارة الأولية فقط إذا كنت بحاجة إلى استعادة محفظتك بعد نسيان كلمة المرور الخاصة بك، أو استيراد محفظة موجودة إلى جهاز جديد، أو استخدام برنامج محفظة متوافق. بشكل عام، يجب عليك استخدام أجهزة المحفظة الإلكترونية التي لن تمنحك أبدًا أي نوع من البرامج - ولا يمكن اختراق حتى تطبيق أو برنامج المحفظة الموثوق به.

بينما نواصل بناء اقتصادنا العالمي الجديد (في الغالب) DeFi، سيكون من المهم تحسين الأمان حتى يتمكن القبول العام ورأس المال من الاستمرار في التدفق إلى الفضاء حتى يتمكن الجيل القادم من الوصول إلى حدود جديدة للاستقلال المالي.