كان الموضوع الأساسي لهذه الدورة هو تحدي الأفكار المسبقة حول كيفية استخدام الناس للبيتكوين في جميع أنحاء العالم. فقد ظهرت سلوكيات جديدة وتستخدم ثقافات أخرى الأصول بطريقة تكسر القوالب الراسخة سابقًا.
ومن بين الاتجاهات الرئيسية الناشئة عن هذه البيئة الفوضوية عودة ظهور نماذج الأمن التي لا تعتمد على البذور، والتي تتبنى نهجاً مختلفاً جذرياً لتأمين المفاتيح الخاصة لعملة البيتكوين. ويزعم المؤيدون أن ممارسات الأمن الراسخة تفشل في تلبية توقعات عدد متزايد من المستخدمين. وإلى جانب نضوج البدائل الحاضنة، فإن ظهور منتجات الصناديق المتداولة في البورصة يثير المخاوف بشأن احتمال لجوء المستخدمين في المستقبل إلى حلول حاضنة ذاتية أكثر تعقيداً.
وهذه ليست المرة الأولى التي يشير فيها خبراء الأمن بأصابع الاتهام إلى عبارات البذرة عندما سئلوا عن الصعوبات التي تواجهها عملية حفظ البيتكوين ذاتيا. فقد ناقش المخضرم في الصناعة جيمسون لوب لفترة طويلة التحديات التي يفرضها نموذج الأمن، ولا يزال يتحدث بصراحة عن عيوبه. وقد تأسست شركته، وهي شركة كاسا، وهي شركة تقدم خدمات المحفظة متعددة التوقيعات، جزئيا لمعالجة القضايا التي خلقتها طرق النسخ الاحتياطي التقليدية.
في محادثة مع مجلة Bitcoin، كرر الرئيس التنفيذي الحالي لشركة Casa، نيك نيومان، مخاوف زميله:
“نحن نحن بحاجة إلى التفكير بشكل أكثر دقة حول كيفية استخدامنا لها كصناعة لأن تجربة المستخدم في التعرض لعبارة أساسية في المرة الأولى التي تقوم فيها بإعداد المحفظة صعبة للغاية“.”
مخاطر العبارات البذرية
على الرغم من التقدم الكبير الذي أحرز في جودة منتجات وتطبيقات البيتكوين، فإن مشهد الحراسة الذاتية يظل محفوفاً بالمخاطر بالنسبة لأولئك الذين تقتصر راحتهم مع التكنولوجيا على هواتفهم الآيفون. ففي كل يوم آخر، تظهر تقارير عن هجمات تصيد ناجحة مختلفة تستهدف أموال الضحايا من خلال اختراق العبارات الأساسية لمحافظهم.
في وقت سابق من شهر يناير/كانون الثاني، أعلن مزود المحفظة الإلكترونية الشهير Trezor أن لديه أسبابًا للاعتقاد بأن معلومات حساسة للعملاء قد تسربت بسبب خرق في أنظمة مزود خدمة تابع لجهة خارجية. وفي الأشهر التالية، أبلغ مستخدمو X عن موجة جديدة من محاولات التصيد الاحتيالي التي تصل إلى صناديق الوارد الخاصة بهم.
وفي عام 2022، جاء تذكير آخر بالحالة الهشة لممارسات الأمن لدى الشخص العادي بعد ثغرة أمنية أثرت على مدير كلمات المرور الشهير LastPass.
بعد سلسلة من حوادث استنزاف المحفظة الغريبة التي أثرت على مستخدمي المحافظ المحمولة والأجهزة على حد سواء، اكتشف الباحثون في النهاية أن العبارات الأساسية المخزنة على خوادم الخدمة قد تعرضت للاختراق. ومنذ بضعة أشهر، قُدِّرت الخسائر بأكثر من 250 مليون دولار في العملات المشفرة المختلفة.
في حين أن مؤثري البيتكوين المشهورين قد طالبوا بتبني أنظمة أمان أكثر قوة تتضمن محافظ الأجهزة، إلا أن عددًا كبيرًا من المشاركين في السوق لم يتكيفوا بعد مع هذه الممارسة. يرى شهزان ماريديا، مؤسس شركة الخدمات المالية Bitcoin Lava، انقسامًا كبيرًا بين مطوري منتجات الأمان وقسم كبير من سوق Bitcoin.
“لقد أدركت أن معظم الناس يبدأون في التشكيك في قدرتهم على الحفظ الذاتي عندما يتعلق الأمر بمحفظة الأجهزة والعبارات البذرية. نصفهم لن يقوموا بعمل جيد في اتباع التعليمات والنصف الآخر يفضل ببساطة استخدام أمناء الحفظ”، كما أشار.
ويؤكد خبراء الأمن أن المواد الأساسية الخاصة يجب أن تظل غير متصلة بالإنترنت في جميع الأوقات، لكن ماريديا يشير إلى أن الجيوب الآمنة الموجودة في الهواتف المحمولة الحديثة كافية لإحباط غالبية الهجمات التي تؤثر على المستخدمين اليوم.
“بالنظر إلى الأسباب الشائعة المسؤولة عن خسارة أموال المستخدمين، فمن النادر أن نجد أمثلة على اختراق مفاتيح الهاتف المحمول.” ويزعم أنه من المرجح أن يقوم المستخدمون بعمل رديء في تأمين نسخة احتياطية من عبارة البذرة الخاصة بهم أو أن يقدموها أثناء هجوم تصيد.
تحديات وفرص الزراعة بدون بذور
لقد شهدت منتجات البيتكوين الكثير من التحسينات منذ أن بدأت شركة كاسا في تطبيق نهج المحفظة الخالية من البذور قبل سنوات، ولكن قِلة قليلة من الشركات حتى الآن سارت على خطى الشركة. وفي حين أصبحت تطبيقات الحفظ الذاتي أكثر قوة من أي وقت مضى، فقد أدخلت بعض التغييرات خطوات إضافية إلى منحنى التعلم الكبير بالفعل. ومن الجدير أن نتساءل عما إذا كان الموقف العدمي تجاه الأمن قد صنف الممارسة في طقوس غير مستساغة للشخص العادي.
يظل نيومان متفائلاً. ويشير إلى أنه كان هناك تحول ملحوظ في الصناعة نحو مناهج أكثر واقعية، على الرغم من اعتقاده أن منتجات البيتكوين متأخرة عن
“لا يزال هناك عدد غير قليل من المحافظ المشابهة التي تجبرك على [save your seed phrase] “أعتقد أن هذا الأمر يتعلق بإدارة المخاطر من جانبهم، لكنه في الواقع يعمل ضد هدف مساعدة المستخدمين على الشعور بالراحة عند حمل مفاتيحهم الخاصة.”
على أية حال، يشير هذا الاتجاه إلى أن بقية الصناعة بدأت تدرك مخاطر تعامل المستخدمين مع المعلومات الحساسة. وتقدم التقنيات الحديثة مثل مفاتيح المرور، التي تم تنفيذها في “المحفظة الذكية” الجديدة لشركة Coinbase، بدائل مثيرة للاهتمام لهذا الجيل الجديد من المنتجات. وتشكل مفاتيح المرور معيارًا جديدًا تروج له شركات الإنترنت العملاقة مثل Apple وGoogle، والتي تهدف إلى استبدال كلمات المرور التقليدية بمفاتيح تشفير مرتبطة بجهاز المستخدم وهويته.
وفقًا لبحثنا، تشير شهادات المستخدمين الأوائل إلى أن التكنولوجيا لم تتمكن بعد من حل مشكلات التقييس المهمة. ويتفق ماريديا من شركة لافا على أن هناك مجالًا للتحسين. وقد أطلق مؤخرًا حلًا بدون بذور يعتقد أنه يحقق أفضل التنازلات الأمنية التي يمكن للمرء أن يتوقعها من الأجهزة المحمولة.
يستمد Lava Vault إلهامًا كبيرًا من مساهمات قديمة من مطور Spiral السابق Tankred Hase المسمى Photon SDK. ينفذ Photon نسخة احتياطية سحابية بدون بذور تشبه التنفيذ المبكر لـ Casa لمحفظة المفاتيح المحمولة ولكنه مفتوح المصدر بالكامل على الرغم من أنه لم يتم صيانته لبعض الوقت. Maredia مقتنع بأن حل 2 من 2 الذي تبناه من التصميمات الموجودة في النظام البيئي يمكنه الصمود في وجه معظم الهجمات المعروفة.
“لقد نظرنا إلى أشياء مثل مفاتيح المرور، لكننا لا نعتقد أنها مصممة لتأمين مواد أساسية مهمة مثل البيتكوين. فهي في الأساس تستبدل قطعة من المعلومات الحساسة بقطعة أخرى وعادة ما يتم تخزينها في مدير كلمات المرور. في الممارسة العملية، لا يقوم معظم مديري كلمات المرور بعمل جيد في التعامل معها، ويمكن حذفها بسهولة شديدة حتى على iCloud.”
تعمل Lava على تأمين عبارات المستخدمين باستخدام مفتاح عالي الإنتروبيا يتم تخزينه على خادم مختلف. بمجرد تشفير البذرة، يتم حفظ البذرة في دليل خاص على سحابة المستخدم والذي يمكن أن يساعد في منع الحذف العرضي أو الوصول الضار. يقوم المستخدمون بالمصادقة باستخدام خادم مفتاح، والذي يفرض حدًا للسرعة، باستخدام رقم تعريف شخصي مكون من 4 أرقام من اختيارهم. لا تتطلب Lava إنشاء أي حساب يحافظ على خصوصية المستخدمين من الخدمة وخوادمها. للعمليات اليومية، تستخدم المحفظة مفتاحًا آخر يتم تخزينه في الجيب الآمن للجهاز.
“حتى إذا تمكن أحد الأطراف من الوصول إلى معلومات مشفرة، فلا توجد نقطة فشل واحدة لأنه يتعين عليه معرفة مفتاح التشفير. يمكن للمستخدمين النسيان إعداد طريقة استرداد رقم التعريف الشخصي والتي تسمح لهم بتغيير رقم التعريف الشخصي الخاص بهم بعد تأخير لمدة 30 يومًا.”
ويتوقع ماريديا أن يتطور بروتوكول الأمان الخاص به وفقًا لاحتياجات المستخدمين وأنماط المخاطر المختلفة. كما أن سياسات المحفظة مثل المصادقة الثنائية وحدود السحب أو الإنفاق والعناوين المدرجة في القائمة البيضاء في طريقها بالفعل. ويوضح قائلاً: “يعد Lava Smart Key حلاً مرنًا للغاية. يمكن للمستخدمين ترقية إعدادات الحفظ الذاتي بسهولة، ونحن منفتحون على تلبية احتياجات المستخدمين الذين لديهم مطالب محددة”.
على الرغم من تعرض النسخ الاحتياطية بدون بذور لانتقادات بسبب تعريض الأفراد لمخاطر غير مبررة من قبل أطراف ثالثة، فإن التنفيذات مفتوحة المصدر مثل Photon SDK ونموذج Vault الخاص بـ Lava تشير إلى أن المزيد من البائعين ومقدمي الخدمات يمكنهم تنفيذ معايير مماثلة وتخفيف هذه المشكلة.
تظل العبارات البذرية مكونًا مهمًا من مكونات مجموعة الأمان، لكن كلا من رواد الأعمال الذين تمت استشارتهم في هذه المقالة يعتقدون أنه من الضروري تجريدها من معظم المستخدمين في المستقبل.
يقول نيك نيومان، الرئيس التنفيذي لشركة Casa: “أعتقد أن عبارات البذور بشكل عام هي أداة مفيدة للغاية لجعل مفاتيحك أكثر قابلية للنقل بين المحافظ وتمنحك خيار الخروج في حالة حدوث أي شيء لبرنامج المحفظة الذي تستخدمه”.
من أجل التخلص من نقاط الفشل الفردية، تشجع Casa مجموعة من خطط التوقيع المتعددة التي تنطوي على أجهزة ولكنها تصر على الالتزام بمبادئها الخالية من البذور حيثما أمكن ذلك.
“تم تصميم برامج المحفظة لإدارة المفاتيح الخاصة. البشر غير مؤهلين لإدارة المفاتيح الخاصة. لذا يجب أن نترك هذه المهمة للمحافظ.”
روابط قد تهمك
مؤسسة اشراق العالم خدمات المواقع والمتاجر باك لينكات باقات الباك لينك
اكتشاف المزيد من في بي دبليو الشامل
اشترك للحصول على أحدث التدوينات المرسلة إلى بريدك الإلكتروني.