فريق أمن OKX Web3: حماية مفتاحك الخاص كحماية عينيك

المصدر: OKX

إذا لم تكن مفاتيحك، فليست عملاتك (Not Your Keys, Not Your Coins) — الحرية اللامركزية تأتي بتكلفة مطلقة وهي "أمن المفتاح الخاص".

يُظهر تقرير Chainalysis الصادر في يوليو 2025 أن 17%-23% من البيتكوين (BTC) في حالة خمول دائم بسبب فقدان المفتاح الخاص أو تلف الجهاز. بما أن المفتاح الخاص يمثل ملكية الأصول، فبمجرد فقدانه لا يمكن إعادة تعيينه، ولا توجد خدمة عملاء للمساعدة في استرداده. إذا تم اختراق المفتاح وسرقة الأموال، فإن الاسترداد يكاد يكون مستحيلاً. لقد منحتنا الشبكة العنكبوتية الحرية ولكنها أعادت أيضاً المسؤولية الكاملة إلى أيدينا. مع ازدهار النظام البيئي عبر الإنترنت، تكررت حوادث سرقة الأصول المختلفة. ومع ذلك، غالباً ما يدرك الأفراد ذلك بعد فوات الأوان ويكافحون لتحديد مكان حدوث المشكلة — هل تسرب المفتاح الخاص؟ هل نقروا على رابط تصيد؟ هل قاموا بتنزيل برامج ضارة؟ أم كان خطأ تشغيلياً آخر؟

يهدف فريق أمن Web3 في OKX إلى تعزيز وعي الجميع بأمن المفتاح الخاص من خلال هذا المحتوى التعليمي وتسليط الضوء مرة أخرى على تلك الثغرات الأمنية التي غالباً ما يتم تجاهلها.

1. لماذا قد يتسرب المفتاح الخاص أو عبارة الاسترداد (Mnemonic)؟

أولاً وقبل كل شيء، دعونا نصحح مفهوماً خاطئاً شائعاً. يعتقد العديد من المستخدمين أن تسرب المفتاح الخاص أو عبارة الاسترداد (يشار إليها فيما يلي بـ "تسرب المفتاح الخاص") يحدث عادةً أثناء استخدام المحفظة. في الواقع، إذا قمت بتنزيل واستخدام محفظة عبر القنوات الرسمية واستخدمت محفظة من علامة تجارية مرموقة، فإن المفتاح الخاص لا يتسرب عادةً أثناء الاستخدام العادي. تحدث تسريبات المفتاح الخاص في الغالب بسبب التخزين غير السليم والحصول عليه من قبل أطراف خبيثة. بمجرد أن يمتلك شخص ما مفتاحك الخاص، يمكنه استيراده إلى أي محفظة والتحكم في أصول الحساب.

في الواقع، هناك العديد من الأسباب لتسرب المفتاح الخاص، وغالباً ما يكون من الصعب تحديد المصدر الدقيق تماماً. ومع ذلك، من خلال تحليل العديد من حالات الصناعة والمساعدة في التحقيقات، قمنا بتجميع بعض السيناريوهات والأدلة النموذجية (كما هو موضح أدناه).

الصورة: تحديات تحليل سرقة المفتاح الخاص التي شاركها Xuandong من SlowMist

2. سيناريوهات تسرب المفتاح الخاص الشائعة وطرق التخفيف

(1) السيناريو الأكثر تجاهلاً: التسرب أثناء إنشاء المحفظة

دراسة حالة 1: المساعدة في إنشاء المحفظة من قبل الآخرين. بدأ السيد لي للتو في استكشاف Web3، وبمساعدة "مرشد متحمس"، أنشأ محفظة. ساعده المرشد في إنشاء المحفظة، وتعيين كلمة مرور المعاملة، وأرشده خلال عمليات الإيداع والمعاملات. على الرغم من تعيين كلمة مرور للمعاملة للمحفظة، إلا أنه أثناء عملية الإنشاء، كان المرشد قد حصل بالفعل على مفتاحه الخاص. بعد بضعة أيام، تم تحويل الـ 5 ETH التي أودعها السيد لي بسرعة. عندها فقط أدرك أن كلمة مرور المعاملة كانت للتحقق المحلي فقط، وأن أي شخص لديه المفتاح الخاص يمكنه استيراده إلى أي محفظة وتحويل أصوله مباشرة.

توصية أمنية: يجب إنشاء المحافظ بشكل مستقل دون السماح لأي شخص "بالمساعدة" أو "التصرف نيابة عنك". إذا كان هناك شك في أن المفتاح الخاص قد تم اختراقه، فيجب نقل الأصول فوراً إلى محفظة جديدة.

دراسة حالة 2: إنشاء المحفظة عبر مشاركة الشاشة في مؤتمر فيديو. قامت السيدة تشانغ، تحت إشراف عن بعد من "معلم"، بإنشاء محفظة عبر مشاركة الشاشة في مؤتمر فيديو. أظهر المعلم خطوة بخطوة: تنزيل المحفظة، وإنشاء عبارة الاسترداد، وشحن رسوم الغاز (Gas)، وشراء الرموز. بدت العملية برمتها "حميمية" للغاية، وفي النهاية تم تذكيرها: "لا تسربي مفتاحك الخاص لأي شخص أبداً". ومع ذلك، دون علمها، في لحظة مشاركة الشاشة، ربما تم تسجيل عبارة الاسترداد. بعد أسبوعين، تم تحويل ما قيمته حوالي 12,000 دولار من USDT في حسابها.

توصية أمنية: عند إنشاء محفظة، قم بتعطيل مشاركة الشاشة أو تسجيل الشاشة أو وظائف مشاركة الشاشة. إذا كان هناك شك في أن المفتاح الخاص قد تم اختراقه، فيجب نقل الأصول فوراً إلى محفظة جديدة. بالإضافة إلى ذلك، في صفحة محفظة OKX التي تعرض المفتاح الخاص وعبارة الاسترداد، لا يُسمح بأخذ لقطة شاشة أو التسجيل أو مشاركة الشاشة، مما يعزز الأمان بشكل فعال.

الصورة: عند اكتشاف مشاركة الشاشة، تقوم محفظة OKX تلقائياً بإخفاء عبارة الاسترداد والمفتاح الخاص، مما يمنع الآخرين من رؤية النص

(II) السيناريو الأكثر شيوعاً: التخزين غير السليم للمفتاح الخاص يؤدي إلى التسرب

دراسة حالة 3: تطبيق مزيف، كابوس مستخدم أندرويد. قام السيد وانغ، وهو مستخدم حذر، بأخذ لقطة شاشة لعبارة الاسترداد بعد إنشاء محفظة وتخزينها في معرض الصور المحلي الخاص به، ولم يقم أبداً بتحميلها على السحابة، معتقداً أن هذا أكثر أماناً. ومع ذلك، قام بتنزيل ما يسمى "نسخة محسنة من تليجرام" من منتدى، وهو تطبيق كان أيقونته وواجهته متطابقة تقريباً مع النسخة الرسمية. في الواقع، كان يقوم بمسح معرض الهاتف باستمرار في الخلفية، ويستخدم تقنية التعرف الضوئي على الحروف (OCR) لتحديد عبارة الاسترداد، ويقوم بتحميلها تلقائياً إلى خادم المتسلل. بعد ثلاثة أشهر، تم إفراغ جميع الأصول في حساب السيد وانغ، مما أدى إلى خسارة تجاوزت 50,000 دولار. كشف التحليل الفني أن هاتفه يحتوي أيضاً على تطبيقات imToken وMetaMask وGoogle Authenticator مزيفة وتطبيقات ضارة أخرى.

الحالة الرابعة: تطبيق BOM الضار يؤدي إلى تسرب عبارة الاسترداد. في 14 فبراير 2025، شهد العديد من المستخدمين حوادث سرقة أصول المحفظة بشكل مركز. من خلال تحليل البيانات على السلسلة، أظهرت جميع حالات السرقة هذه خصائص نموذجية لتسرب عبارة الاسترداد/المفتاح الخاص. كشفت إعادة فحص المستخدمين المتأثرين أن معظمهم قاموا سابقاً بتثبيت واستخدام تطبيق يسمى BOM. أظهر التحقيق المتعمق أن هذا التطبيق كان في الواقع برنامج احتيال مموه بعناية. قام الممثلون الخبيثون، من خلال التلاعب بتفويض المستخدم، بالحصول بشكل غير قانوني على أذونات عبارة الاسترداد/المفتاح الخاص، مما مكن من نقل الأصول بشكل منهجي ومحاولة إخفاء أفعالهم.

نصيحة أمنية: العديد من المستخدمين، من أجل "الراحة"، يطورون عادات هي في الواقع الأكثر خطورة. لذلك، يوصى بأن يقوم الجميع بما يلي: 1) لا تأخذ لقطة شاشة لعبارة الاسترداد! يُقترح نسخها يدوياً على الورق وتخزينها في مكان آمن. 2) عند تنزيل تطبيق، تأكد من استخدام القنوات الرسمية فقط، ولا تجرب بسهولة النسخ "المحسنة" غير المعروفة أو تعديلات الطرف الثالث. 3) إذا تم اكتشاف أي شذوذ في الجهاز أو إذا تم أخذ لقطة شاشة للمفتاح الخاص من قبل، فلا تعتمد على الحظ وانقل الأصول فوراً إلى محفظة جديدة. 4) ماذا فعلت OKX؟ لمنع المستخدمين من أخذ لقطات شاشة في صفحات النسخ الاحتياطي للمفتاح الخاص وعبارة الاسترداد، قمنا بتعطيل وظيفة لقطة الشاشة في هذه الصفحات الحساسة.

الصورة: محفظة OKX تحظر لقطات الشاشة في صفحات المفتاح الخاص وعبارة الاسترداد

في الوقت نفسه، لتقليل مخاطر تثبيت المستخدمين لتطبيقات مزيفة، توفر نسخة أندرويد وظيفة مسح التطبيقات الضارة.

الصورة: محفظة OKX على أندرويد توفر وظيفة مسح التطبيقات الضارة

(III) السيناريو الأكثر شيوعاً وسهولة في الخداع: تصيد المفتاح الخاص

الحالة الخامسة: تصيد الإيردروب (Airdrop) المزيف. أعلن مشروع NFT معروف على تويتر أنه سيقوم بتوزيع رمز جديد على الحاملين. في غضون 10 دقائق فقط بعد الإعلان، ظهرت العديد من مواقع التصيد في أعلى نتائج بحث جوجل (يتم الترويج لها عبر إعلانات مدفوعة). كانت مواقع التصيد هذه تحتوي على أسماء نطاقات تختلف بحرف واحد فقط (على سبيل المثال، opensae.io بدلاً من opensea.io)، مع تصميمات صفحات متطابقة تقريباً مع الموقع الرسمي. عندما قام المستخدمون بتوصيل محافظهم، عرضت الصفحة مطالبة: "ازدحام الشبكة، فشل الاتصال، يرجى إدخال عبارة الاسترداد يدوياً للمطالبة بالإيردروب". في ذلك اليوم، وقع أكثر من 50 مستخدماً في فخ الاحتيال، مما أدى إلى خسارة إجمالية تجاوزت 200,000 دولار. قام أسرع ضحية بتحويل أصوله في غضون 3.7 ثانية من إدخال عبارة الاسترداد.

الحالة السادسة: هجوم الهندسة الاجتماعية. واجهت السيدة تشاو مشكلة تشغيلية في مجموعة ديسكورد الخاصة بمشروع ما. قام مسؤول لديه صورة رمزية ولقب يبدو "رسمياً" جداً بمراسلتها بشكل استباقي، مدعياً أنه دعم العملاء ويريد مساعدتها في حل المشكلة. أرسلوا لها رابطاً إلى "صفحة التحقق". وبثقة في المسؤول، نقرت السيدة تشاو على الرابط وأدخلت عبارة الاسترداد كما هو مطلوب. بدت الصفحة تماماً مثل الموقع الرسمي. بعد بضع دقائق، تم تحويل أصول متعددة باستمرار من محفظتها. عندها فقط أدركت أن ما يسمى بالمسؤول كان في الواقع محتالاً، وأن أي "دعم عملاء" يطلب من المستخدمين إدخال عبارة الاسترداد أو المفتاح الخاص على موقع ويب هو بلا شك عملية احتيال. تجدر الإشارة إلى أنه بالإضافة إلى انتحال صفة المسؤولين الرسميين، قد ينتحل المحتالون أيضاً صفة الأصدقاء أو أعضاء فريق المشروع أو هويات أخرى موثوقة.

نصيحة أمنية: لن يطلب منك DApp شرعي مفتاحك الخاص أبداً، ولن يطلب منك شخص موثوق مفتاحك الخاص أبداً. تذكر: مفتاحك الخاص هو مفتاح أصولك، لذا تأكد من تخزينه بأمان ولا تكشف عنه بسهولة.

III. لماذا لا يستطيع مزودو المحافظ فعل الكثير بمجرد اختراق المفتاح الخاص؟

بعض المستخدمين، عند اكتشاف تسرب محتمل للمفتاح الخاص ونقل الأصول، سيتصلون فوراً بفريق المحفظة، على أمل أن نتمكن من تقديم المزيد من المساعدة. ومع ذلك، في الواقع، بمجرد كشف المفتاح الخاص، تكون المساحة التي يمكن لمزودي المحافظ التدخل فيها محدودة للغاية.

هنا، دعونا نشرح بإيجاز العملية الأساسية التي نتبعها عند تلقي تقارير عن "سرقة الأصول"، ونشرح أيضاً لماذا لا يمكننا في كثير من الأحيان "استرداد" الأصول على السلسلة مباشرة:

أولاً، سنساعد المستخدم في تتبع تدفق الأموال، وتحليل ما إذا كانت الأموال على السلسلة قد تكون مرتبطة بمجموعات متسللين معروفة أو مجموعات عناوين. في الوقت نفسه، سننصح المستخدم بنقل أي أصول لم تتم سرقتها بسرعة لتقليل مخاطر المزيد من الخسائر. في حالات السرقة الكبيرة، سنوصي المستخدمين بالاتصال فوراً بجهات إنفاذ القانون المحلية للحصول على المساعدة عبر القنوات القانونية. سيقوم فريقنا الداخلي أيضاً بإجراء تحليل شامل للحادث، وتلخيص أسلوب عمل المتسلل، وتقديم رؤى لحماية المستخدم في المستقبل.

كمزود أدوات، لا يمكن للمحافظ نفسها تجميد أو استرجاع الأصول على السلسلة. بمجرد حصول المتسلل على المفتاح الخاص، فإنه يستخدم عادةً نصوصاً برمجية آلية لإكمال تحويل الأموال في غضون ثوانٍ، بسرعة كبيرة يصعب التدخل فيها. فقط عندما تتدفق الأموال المسروقة في النهاية إلى منصة تداول مركزية، يمكن التقدم بطلب للتجميد المؤقت عبر القنوات القانونية.

عندما يرتبط مسار الأموال بمجموعات متسللين معروفة ندركها، سنبدأ من أسلوب عملهم المشترك لمساعدة المستخدمين على تذكر ما إذا كانوا قد شاركوا مؤخراً في أي عمليات عالية المخاطر، وبالتالي تحديد النقطة التي قد يكون فيها المفتاح الخاص قد انكشف.

لطالما أعطت OKX الأولوية لأمن أموال المستخدمين، حيث استثمرت بكثافة على مر السنين لبناء نظام للتحكم في المخاطر وتصميم آليات مصادقة متعددة العوامل. على الرغم من أن هذه العمليات قد تبدو مرهقة، إلا أنها تهدف جميعاً إلى حماية أمن أصول المستخدم بشكل أفضل. يمكن القول إننا أيضاً أحد الفرق في الصناعة التي استثمرت أكثر في الأمن.

الصورة: درجة أمان محفظة OKX تحتل المرتبة الأولى

كما ذكرنا سابقاً، إذا كان المستخدمون يفتقرون إلى الوعي الأمني أو يستخدمون الممارسات بشكل غير صحيح، فقد يظلون يعانون من خسائر لأسباب مثل التصيد أو تسرب المفتاح الخاص، بغض النظر عن المحفظة التي يستخدمونها. لذلك، يظل الحفاظ على المفتاح الخاص بشكل صحيح هو الأساس الأمني الأكثر أهمية. بالإضافة إلى تعزيز القدرات الأمنية للمنتج نفسه باستمرار، فإننا نقوم أيضاً بتعزيز تحليل الحالات باستمرار ومشاركة نصائح الأمان لمساعدة المستخدمين على تحديد سيناريوهات المخاطر المحتملة بشكل أفضل.

4. باختصار، نصائح أمان المفتاح الخاص

إخلاء المسؤولية:

هذا المقال مرجعي فقط. لا يهدف هذا المقال إلى تقديم (1) نصيحة استثمارية أو توصيات استثمارية، (2) عرض أو طلب أو حث على شراء أو بيع أو الاحتفاظ بأصول رقمية، أو (3) نصيحة مالية أو محاسبية أو قانونية أو ضريبية. تخضع الأصول الرقمية (بما في ذلك العملات المستقرة وNFTs) لتقلبات السوق، وتنطوي على مخاطر عالية، وقد تنخفض قيمتها. للأسئلة المتعلقة بما إذا كان تداول أو الاحتفاظ بالأصول الرقمية مناسباً لك، يرجى استشارة متخصص قانوني/ضريبي/استثماري. محفظة OKX Web3 هي مجرد نوع من خدمات برمجيات المحفظة ذاتية الحضانة التي تسمح لك باكتشاف منصات الطرف الثالث والتفاعل معها، ولا يمكن لمحفظة OKX Web3 التحكم في خدمات منصات الطرف الثالث هذه ولن تكون مسؤولة عنها. ليست كل المنتجات متاحة في جميع المناطق. أنت مسؤول عن فهم والامتثال للقوانين واللوائح المحلية ذات الصلة. لا يتم توفير محفظة OKX Web3 وخدماتها ذات الصلة من قبل منصة OKX وتخضع لشروط خدمة نظام OKX Web3 البيئي.

هذا المقال محتوى مساهم ولا يمثل آراء BlockBeats.