بيانات KYC الخاصة بك هدف للمجرمين وهجمات "المفتاح" في ازدياد

قضيت سنوات في مراقبة سوق الكريبتو، وبينما ينشغل الجميع بتدفقات صناديق ETF أو ما إذا كان البيتكوين قد وصل إلى سقف هيمنة بنسبة 60%، يتجاهلون اتجاهًا أكثر رعبًا. نحن نتحدث عن "الاختراق" وكأنه مجرد مراهق في قبو يستخدم كودًا برمجيًا، لكن هناك جانب مادي لهذا الأمر لا يحصل على الاهتمام الكافي. أنا أتحدث عن "هجمة المفتاح" (Wrench Attack)، حيث لا يحتاج المهاجم لكسر تشفيرك لأنه يملك أداة مادية وعنوان منزلك. إذا كنت تبحث عن طريقة آمنة لتخزين مفاتيح الكريبتو الخاصة، عليك أن تدرك أن أكبر ثغرة لديك قد لا تكون خطأً في عقد ذكي، بل هي بيانات KYC التي سلمتها لكل منصة تداول استخدمتها. لقد غطينا سابقًا موقف بلانش من الكريبتو لمزيد من الخلفية.

خطر تتبع بيانات KYC

معظمنا يتعامل مع إجراءات "اعرف عميلك" (KYC) كعقبة إدارية مملة. ترفع صورة جواز سفرك، تلتقط سيلفي، وتحصل على وصول لحسابك. لكن من تجربتي، نحن في الواقع بنينا قاعدة بيانات عالمية مسربة توضح بالضبط من يملك ماذا. عندما يتم اختراق منصة تداول، لا تسرب كلمات المرور فقط، بل تسرب الأسماء الكاملة، والعناوين، وأرقام الهواتف.

أضف ذلك إلى البيانات الموجودة على الشبكة (on-chain)، وستحصل على خريطة كاملة. إذا استطاع شخص سيئ ربط محفظة ذات قيمة عالية بهوية حقيقية عبر قاعدة بيانات KYC مسربة، فهو لا يحتاج للبحث عن ثغرة في البلوكشين. كل ما يحتاجه هو معرفة أين تسكن. هنا يأتي دور "هجمة المفتاح". إنها أبسط أشكال الاختراق: الابتزاز المادي. أنت لا تحارب "بوت"، بل تحارب شخصًا يعرف أن لديك مالاً ويعرف أين تنام. وبالنسبة لنا في المنطقة العربية، خاصة في الخليج، حيث تتركز الثروات الرقمية بشكل كبير، يصبح هذا التهديد واقعيًا أكثر لأن الخصوصية هنا لها قيمة عالية جدًا.

لماذا لا يقتصر تخزين مفاتيح الكريبتو الآمن على البرمجيات فقط

رأيت أشخاصًا يقضون ساعات في الجدال حول أي محفظة برمجية هي الأكثر أمانًا، ثم يتركون عبارة الاسترداد (seed phrase) في ملف نصي بسيط على سطح المكتب، أو الأسوأ، كصورة في التخزين السحابي. هذه كارثة تنتظر الوقوع. وحتى ورقة مادية في درج المكتب تمثل مخاطرة إذا عرف شخص ما أنها هناك.

المشكلة هي أننا تعودنا على التفكير في الأمان كجدار رقمي. ننسى أن لهذا الجدار بابًا. إذا كنت تستخدم منصة تداول مركزية، فأنت تأتمنهم على هويتك وأموالك. إذا تعرضوا للاختراق، تصبح هويتك بمثابة منارة لأي شخص يبحث عن هدف. لهذا السبب كنت دائمًا أدفع باتجاه الحفظ الذاتي (self-custody).

لحماية نفسك فعليًا، تحتاج إلى جهاز توقيع صلب (hardware signer) يحفظ مفاتيحك خارج الإنترنت. أنا شخصيًا أفضل Ledger Nano Gen5 إذا كانت ميزانيتك محدودة لأنها توفر شاشة E Ink تعمل باللمس بسعر 99 دولارًا. وجود شريحة Secure Element (CC EAL6+) يعني أن مفاتيحك الخاصة لا تلمس الإنترنت أبدًا. لكن الجهاز هو نصف المعركة فقط. الأمان الحقيقي يكمن في كيفية تعاملك مع عبارة استرداد النسخ الاحتياطي.

أين يخطئ الناس

أكبر خطأ أراه هو "مسرحية الأمان". يشتري الناس محفظة فاخرة ثم يخزنون عبارة الاسترداد المكونة من 24 كلمة بطريقة يسهل اكتشافها. إذا عرف المجرم أنك تملك Ledger، فلن يحاول اختراق الجهاز. سيبحث عن ورقة الملاحظات التي خبأتها تحت المرتبة.

لاحظت توجهًا حيث يعتقد الناس أن استخدام VPN أو متصفح خاص كافٍ. وبينما غطينا سابقًا كيف زادت مخاطر تداول P2P في المملكة المتحدة بسبب مداهمات الحكومة، فإن التهديد القادم من الجريمة المنظمة مختلف. هم لا يبحثون عن التهرب الضريبي؛ هم يبحثون عن غنيمة سريعة.

إذا كنت تريد أمانًا حقيقيًا، يجب أن تفصل هويتك عن ثروتك. هذا يعني استخدام خدمات غير حضانية (non-custodial) قدر الإمكان، وأن تكون حذرًا جدًا في مشاركة معلوماتك الشخصية.

رأيي في الطريق للمضي قدمًا

أنا لا أقول إنه يجب ألا تستخدم المنصات أبدًا. فهي مريحة، وللبعض هي الطريقة الوحيدة للدخول للسوق. لكن الاحتفاظ بمدخرات حياتك على منصة تتطلب مسحًا لجواز سفرك هو مقامرة. أنت تراهن على أن أمان المنصة أقوى من دافع مجرم وجد عنوانك في تسريب بيانات.

أعتقد أن الحل الوحيد الحقيقي هو الجمع بين الأمان المادي والسرية التشغيلية المطلقة. لا تخبر الناس كم تملك. لا تنشر أرباحك على وسائل التواصل الاجتماعي. ولأجل كل شيء، انقل أصولك من المنصة إلى محفظة باردة (cold wallet).

إذا كنت قد سئمت من دوامة KYC وتريد فقط تبديل أصولك دون ترك أثر ورقي دائم، وجدت أن StealthEX خيار جيد. إنها خدمة تبديل غير حضانية لا تتطلب تسجيل حساب أو KYC للعمليات القياسية. إنها طريقة بسيطة للحفاظ على مستوى من الخصوصية في عالم يحاول فهرسة كل "ساتوشي" تملكه.

تداول الأخبار عبر منصتنا المختارة تحريريًا: Gate