Facebook
YouTube
أعلنت خدمة MyEtherWallet الشهيرة بشكل لا يصدق أنها ستطلق تطبيقًا جديدًا للهاتف المحمول لزيادة أمان استخدام موقعهم الذي تعرض بالفعل للهجوم بنجاح عدة مرات. الهدف من التطبيق (بالاسم المؤسف اتصال MEW) ليس فقط لحماية المستخدمين من هجمات التصيد الاحتيالي ، ولكن أيضًا ليكون بمثابة محفظة أجهزة من نوع ما. بمعنى آخر ، لن يتطلب الأمر من المستخدمين إدخال مفتاحهم الخاص في الموقع ، وهو أمر محفوف بالمخاطر بشكل عام.
ميو خبير!
على الرغم من اختيارها السيئ للتسمية (ونعتقد أن أي شيء مشفر مرتبط بكلمة الاتصال فيها ربما يكون فكرة سيئة على الأقل للعقد القادم أو نحو ذلك) ، تأتي الفكرة في مرحلة حرجة في تاريخ التشفير حيث نشهد زيادة عدد الهجمات بمختلف أنواعها. تستهدف بشكل خاص أهدافًا بارزة مثل البورصات وخدمات المحفظة.
المتحدث السابق باسم BitConnect Carlos Matos يؤدي عمله المشهور الآن BitConnect! أصرخ ، وذكرنا جميعًا لماذا لا ينبغي أبدًا استخدام كلمة “اتصال” من قبل مشروع تشفير مرة أخرى
تمت مهاجمة MyEtherWallet في المقام الأول بثلاث طرق مختلفة.
كانت الطريقة الأولى هي مواقع التصيد الاحتيالي حيث يقوم المحتالون بإنشاء إعلانات Google أو إعلانات أخرى لصفحة مشابهة. المبتدئون المشفرون الأكثر عرضة لهذا النوع من الهجوم يمكنهم بعد ذلك الوصول إلى الموقع وإدخال مفاتيحهم الخاصة. هذا ، بالطبع ، أدى إلى خسارة كاملة لجميع محتويات حساباتهم مثل الرموز ether و ERC-20. استجابة لهذا النوع من النشاط ، وضعت معظم خدمات الويب الرئيسية حداً لجميع الإعلانات المتعلقة بالعملات المشفرة. ومع ذلك ، قد ينعكس هذا الاتجاه حيث تظهر إعلانات Coinbase الآن على Google و Instagram والخدمات الأخرى.
كان نوع الهجوم الرئيسي التالي الذي شاهده MyEtherWallet مستندًا إلى هجوم على خدمة DNS حيث تمت إعادة توجيه المستخدمين الذين كتبوا عنوان URL الصحيح أو قاموا بزيارته بطريقة احتيالية إلى موقع تصيد. ظل الهجوم نشطًا لساعات قليلة فقط ، لكن التقديرات تشير إلى أن المتسللين سرقوا مبلغًا لا بأس به من المال في المحاولة.
آخر متجه هجوم مثير للاهتمام سنذكره هنا هو الذي تلقى فيه مستخدمو خدمة Hola VPN جميع الطلبات لزيارة MyEtherWallet لمدة خمس ساعات مع توجيهها إلى موقع تصيد. إلى حد ما ، كان لهذا الهجوم نتيجة مماثلة لاختراق DNS.
في ضوء هذه الأنواع من الهجمات تدخل MEW Connect السوق.
إطلاق بيتا
لم يتم تفعيل الخدمة بعد ، وستدخل قريبًا إصدارًا تجريبيًا مغلقًا لمجموعة محظوظة من الأشخاص الذين تم اختيارهم للمشاركة. سيكون الإصدار التجريبي لنظام iOS فقط ، لكن الموقع يقول وسيصدر إصدار Android قريبًا.
تتضمن بعض الميزات المتوفرة في الخدمة التشفير من جانب العميل ، والتحقق من المعاملات ، والنسخ الاحتياطي للحساب ، وبالطبع الحماية من المتسللين والتصيد الاحتيالي.
وفقًا لـ TechCrunch, يعمل النظام بطريقة مألوفة لمعظم مستخدمي التشفير المحمول. نظرًا لأنه يستخدم رموز QR الممسوحة ضوئيًا بدلاً من الحاجة إلى إدخال مفاتيح خاصة. من المفترض أن يقوم المستخدم بإدخال مفاتيحه الخاصة في تطبيق الهاتف المحمول ، ومن ذلك الحين فصاعدًا لن يحتاج أبدًا إلى إدخال مفاتيح خاصة في جهاز كمبيوتر أو متصفح.
تؤكد مقالة TechCrunch أن MEW Connect ستستخدم “خدمات سلسلة مفاتيح Apple لتشفير التطبيق – الذي قالت إنه يحتفظ بالبيانات على الجهاز – وإقرانه بالنظير المستند إلى الويب.”
عالم خالٍ من المفاتيح
إحدى الخطوات المهمة نحو التبني العام للعملات المشفرة هي أن التفاعل مع المحفظة يجب أن يكون سهلاً ومضمونًا. بمعنى آخر ، يجب تصميم المحافظ بحيث يصعب على شخص عديم الخبرة ارتكاب خطأ جسيم ويفقد كل أمواله نتيجة لذلك..
على سبيل المثال ، من المرجح ألا يحتاج المستخدم العادي أبدًا إلى التفاعل مع مفاتيحه الخاصة. هذا لأن المفتاح الخاص هو أكثر نقاط الهجوم عرضة للخطر. إذا اقتنع مستخدم جديد أو خدع بطريقة ما للتخلي عن مفتاحه الخاص دون معرفة ماهيته ، فستستمر هذه الأنواع من الاختراقات. هذا لا يعني أن المحفظة يجب بالضرورة أن تمنع المستخدم من الحصول على مفتاحه الخاص إذا فهم ما هو أو ما الغرض منه ، ولكن بالنسبة لمعظم المستخدمين غير التقنيين ، يجب أن يكون الوصول المباشر أو التفاعل مع مفتاح خاص غير ضروري حسب التصميم.
على سبيل المثال ، يجب أن تتعامل محفظة الهاتف المحمول المصممة جيدًا بشكل عام فقط مع العناوين العامة للمستخدمين ورموز QR للإرسال والاستلام. تتيح خدمات مثل MyEtherWallet قدرًا كبيرًا من المرونة في التفاعل مع Ethereum blockchain. ولكن نظرًا لأننا تعلمنا بالطريقة الصعبة من خلال احتمال خسارة ملايين الدولارات من خلال عمليات اختراق لتلك الخدمة فقط ، فإن الطريقة التي يتم بها إعداد الأشياء الآن لا تعمل ببساطة مع المستخدم العادي ومن المحتمل أن يكون عديم الخبرة.
السبب وراء استخدام الناس اليوم لخدمات مثل بطاقات الائتمان والخدمات المصرفية عبر الإنترنت هو شعورهم بالأمان عند القيام بذلك. ويرجع ذلك جزئيًا إلى أن هذه الأنظمة تم تصميمها مع وضع المستخدمين غير التقنيين في الاعتبار. ويرجع ذلك جزئيًا أيضًا إلى أنه في حالة حدوث سرقة ، يوجد بنك مؤمن عليه سيغطي أي خسائر. لا تحتوي Crypto على بنوك مؤمنة لتغطية الخسائر ، ومن أجل إقناع المستخدم العادي بأن العملة المشفرة آمنة ، يجب أن يكون البرنامج الذي نستخدمه للتفاعل معها مضادًا للرصاص تمامًا.
ربما يكون MEW Connect خطوة نحو هذا الهدف النبيل والأساسي.