يقول خبراء أمن التشفير إن غالبية عمليات استغلال التشفير في العام المقبل لن تكون ناتجة عن خطأ يوم الصفر في بروتوكولك المفضل. بل ستكون بسببك أنت.
وذلك لأن عام 2025 أظهر أن غالبية عمليات الاختراق لا تبدأ بكود خبيث؛ بل تبدأ بمحادثة، كما أخبر نيك بيركوكو، مسؤول أمن الحساب الرئيسي في بورصة التشفير Kraken، موقع Cointelegraph.
من يناير إلى أوائل ديسمبر 2025، تظهر بيانات من Chainalysis أن صناعة التشفير شهدت سرقة أكثر من 3.4 مليار دولار، حيث شكل اختراق Bybit في فبراير ما يقرب من نصف هذا المجموع.
تم سرقة أكثر من 3.4 مليار دولار من قبل جهات فاعلة سيئة هذا العام. المصدر: Chainalysisخلال الهجوم، حصل الفاعلون السيئون على الوصول من خلال الهندسة الاجتماعية، وحقنوا حمولة JavaScript خبيثة سمحت لهم بتعديل تفاصيل المعاملات وسحب الأموال.
ما هي الهندسة الاجتماعية؟
الهندسة الاجتماعية هي طريقة هجوم إلكتروني تتلاعب بالناس للكشف عن معلومات سرية أو القيام بإجراءات تعرض الأمن للخطر.
قال بيركوكو إن ساحة المعركة لأمن التشفير ستكون في العقل، وليس في الفضاء الإلكتروني.
نصيحة 1: استخدم الأتمتة حيثما أمكن
ثبت أيضًا أن اختراقات سلسلة التوريد تمثل تحديًا رئيسيًا هذا العام، وفقًا لبيركوكو، حيث يمكن أن يكون الاختراق الطفيف ظاهريًا مدمرًا لاحقًا، لأنه "برج جينجا رقمي، وسلامة كل كتلة مهمة."
في العام المقبل، يوصي بيركوكو بتقليل نقاط الثقة البشرية من خلال إجراءات مثل أتمتة الدفاعات حيثما أمكن والتحقق من كل تفاعل رقمي من خلال المصادقة في "تحول من الدفاع التفاعلي إلى الوقاية الاستباقية."
"في مجال التشفير على وجه الخصوص، تظل الحلقة الأضعف هي الثقة البشرية، التي تتضخم بالجشع وFOMO. هذا هو الشرخ الذي يستغله المهاجمون في كل مرة. لكن لا توجد تقنية تحل محل العادات الجيدة"، أضاف.
نصيحة 2: عزل البنية التحتية
قالت ليزا، رئيسة عمليات الأمن من SlowMist، إن الجهات الفاعلة السيئة استهدفت بشكل متزايد النظم البيئية للمطورين هذا العام، والتي، جنبًا إلى جنب مع تسريبات بيانات اعتماد السحابة، خلقت فرصًا لحقن كود خبيث وسرقة الأسرار وتسميم تحديثات البرامج.
"يمكن للمطورين التخفيف من هذه المخاطر من خلال تثبيت إصدارات التبعية، والتحقق من سلامة الحزمة، وعزل بيئات البناء، ومراجعة التحديثات قبل النشر"، قالت.
بالانتقال إلى عام 2026، تتوقع ليزا أن التهديدات الأكثر أهمية ستنبع على الأرجح من عمليات سرقة بيانات الاعتماد والهندسة الاجتماعية المتطورة بشكل متزايد.
المصدر: SlowMist"يستفيد الجهات الفاعلة الخطرة بالفعل من التزييف العميق الذي ينتجه وكيل الذكاء الاصطناعي، والتصيد المخصص، وحتى اختبارات التوظيف المزيفة للمطورين للحصول على مفاتيح المحفظة، وبيانات اعتماد السحابة، ورموز التوقيع. أصبحت هذه الهجمات أكثر آلية وإقناعًا، ونتوقع استمرار هذا الاتجاه"، قالت.
للبقاء آمنًا، نصيحة ليزا للمؤسسات هي تنفيذ التحكم القوي في الوصول، وتدوير المفاتيح، والمصادقة المدعومة بالأجهزة، وتجزئة البنية التحتية، وكشف الشذوذ والمراقبة.
يجب على الأفراد الاعتماد على محافظ الأجهزة، وتجنب التفاعل مع الملفات غير المتحقق منها، والتحقق المتقاطع من الهويات عبر قنوات مستقلة، والتعامل مع الروابط أو التنزيلات غير المرغوب فيها بحذر.
نصيحة 3: إثبات الشخصية لمحاربة التزييف العميق بالذكاء الاصطناعي
يتوقع ستيفن والبروهل، المؤسس المشارك ومدير التكنولوجيا الرئيسي في شركة Halborn لأمن البلوكتشين الإلكتروني، أن الهندسة الاجتماعية المعززة بالذكاء الاصطناعي ستلعب دورًا مهمًا في كتيبات القراصنة المشفرة.
في مارس، أبلغ ما لا يقل عن ثلاثة مؤسسي تشفير عن إحباط محاولة من قراصنة كوريين شماليين مزعومين لسرقة بيانات حساسة من خلال مكالمات Zoom المزيفة التي استخدمت التزييف العميق.
يحذر والبروهل من أن القراصنة يستخدمون الذكاء الاصطناعي لإنشاء هجمات مخصصة للغاية ومدركة للسياق تتجاوز التدريب التقليدي على الوعي الأمني.
لمكافحة هذا، يقترح تنفيذ إثبات التشفير للشخصية لجميع الاتصالات الحرجة، والمصادقة القائمة على الأجهزة مع الربط البيومتري، وأنظمة كشف الشذوذ التي تحدد أنماط المعاملات العادية، وإنشاء بروتوكولات التحقق باستخدام الأسرار أو العبارات المشتركة مسبقًا.
نصيحة 4: احتفظ بالتشفير الخاص بك لنفسك
كانت هجمات المفتاح الإنجليزي، أو الهجمات الجسدية على حاملي التشفير، أيضًا موضوعًا بارزًا في عام 2025، مع ما لا يقل عن 65 حالة مسجلة، وفقًا لقائمة GitHub الخاصة بـ Bitcoin OG وcypherpunk جيمسون لوبس. كانت ذروة السوق الصاعد الأخيرة في عام 2021 سابقًا أسوأ عام مسجل، بإجمالي 36 هجومًا مسجلاً
قال مستخدم X تحت اسم بو، وهو ضابط سابق في وكالة المخابرات المركزية، في منشور X بتاريخ 2 ديسمبر أن هجمات المفتاح الإنجليزي لا تزال نادرة نسبيًا، لكنه لا يزال يوصي مستخدمي التشفير باتخاذ الاحتياطات من خلال عدم التحدث عن الثروة أو الكشف عن حيازات التشفير أو أنماط الحياة الباهظة عبر الإنترنت كبداية.
المصدر: بوكما يقترح أن تصبح "هدفًا صعبًا" باستخدام أدوات تنظيف البيانات لإخفاء المعلومات الشخصية الخاصة، مثل عناوين المنازل، والاستثمار في دفاعات المنزل مثل كاميرات الأمن والإنذارات.
نصيحة 5: لا تبخل على نصائح الأمن المجربة والحقيقية
قال ديفيد شويد، خبير الأمن الذي عمل في Robinhood كمسؤول أمن المعلومات الرئيسي، إن أهم نصيحة له هي الالتزام بالشركات ذات السمعة الطيبة التي تظهر ممارسات أمنية يقظة، بما في ذلك عمليات التدقيق الأمني الصارمة والمنتظمة من طرف ثالث لمجموعتها الكاملة، من العقود الذكية إلى البنية التحتية.
ومع ذلك، بغض النظر عن التكنولوجيا، قال شويد إن المستخدمين يجب أن يتجنبوا استخدام نفس كلمة السر لحسابات متعددة، ويختارون استخدام توكن الأجهزة كطريقة مصادقة متعددة العوامل وحماية عبارة البذور عن طريق تشفيرها بشكل آمن أو تخزينها دون اتصال بالإنترنت في مكان مادي آمن.
كما ينصح باستخدام محفظة أجهزة مخصصة للممتلكات الكبيرة وتقليل الممتلكات في البورصات.
ذات صلة: التصيد بالرمح هو أفضل تكتيك للقراصنة الكوريين الشماليين: كيف تبقى آمنًا
"يعتمد الأمن على طبقة التفاعل. يجب أن يظل المستخدمون متيقظين للغاية عند توصيل محفظة الأجهزة بتطبيق ويب جديد ويجب أن يتحققوا بشكل كامل من بيانات المعاملة المعروضة على شاشة جهاز الأجهزة قبل التوقيع. هذا يمنع 'التوقيع الأعمى' للعقود الخبيثة"، أضاف شويد.
قالت ليزا إن أفضل نصائحها هي استخدام البرامج الرسمية فقط، وتجنب التفاعل مع عناوين URL غير المتحقق منها، وفصل الأموال عبر تكوينات ساخنة ودافئة وباردة.
لمواجهة التطور المتزايد في عمليات الاحتيال عبر الإنترنت مثل الهندسة الاجتماعية والتصيد، يوصي بيركوكو من Kraken بـ "الشك الجذري" في جميع الأوقات، من خلال التحقق من الأصالة وافتراض أن كل رسالة هي اختبار للوعي.
"وتبقى حقيقة عالمية واحدة: لن تطلب أي شركة أو خدمة أو فرصة شرعية عبارة البذور أو بيانات اعتماد تسجيل الدخول الخاصة بك. في اللحظة التي يفعلون فيها ذلك، فأنت تتحدث إلى محتال"، أضاف بيركوكو.
في غضون ذلك، يوصي والبروهل بإنشاء المفاتيح باستخدام مولدات الأرقام العشوائية الآمنة تشفيريًا، والفصل الصارم بين بيئات التطوير والإنتاج، وعمليات التدقيق الأمني المنتظمة وتخطيط الاستجابة للحوادث مع التدريبات المنتظمة.
مجلة: عندما تتعارض قوانين الخصوصية ومكافحة غسل الأموال: الاختيار المستحيل لمشاريع التشفير
المصدر: https://cointelegraph.com/news/crypto-security-human-layer-threats-2026-expert-tips?utm_source=rss_feed&utm_medium=feed&utm_campaign=rss_partner_inbound
