أمان حساب البورصة: دليل الحماية الشامل
تحتفظ بورصات العملات المشفرة بمليارات الدولارات من أموال المستخدمين وتعتبر من بين المنصات الأكثر استهدافاً على الإنترنت. بخلاف المحافظ المراقبة بنفسك حيث يعتمد الأمان على حماية عبارة البذرة الخاصة بك، يتضمن أمان البورصة حماية حساب عبر الإنترنت — بيانات اعتماد تسجيلك الدخول والمصادقة الثنائية ومفاتيح API وحساب البريد الإلكتروني المرتبط بالبورصة.
بينما التخزين الأطول أماناً على المدى الطويل هو محفظة باردة تتحكم بها بنفسك، يحتاج معظم مستخدمي العملات المشفرة إلى حسابات البورصة للتداول وتحويل العملات والدخول/الخروج من العملات الورقية. يغطي هذا الدليل كل طبقة من طبقات الأمان التي يجب عليك تنفيذها لحماية حسابات البورصة الخاصة بك.
نموذج تهديد أمان البورصة
لماذا يتم استهداف البورصات
- القيمة المركزة — قد يحتفظ حساب البورصة الواحد على آلاف أو ملايين الدولارات.
- الأصول السائلة — يمكن نقل العملات المشفرة وتبييضها في دقائق.
- المعاملات التي لا يمكن عكسها — بمجرد السحب، لا يمكن عكس معاملات العملات المشفرة.
- سطح الهجوم العالمي — يمكن للمهاجمين في أي مكان في العالم استهداف أي بورصة.
- العائد على الاستثمار العالي للمهاجمين — قد يحقق حل واحد ناجح أرباحاً ضخمة.
متجهات الهجوم
| المتجه | الوصف | الصعوبة |
|---|---|---|
| اختراق كلمة المرور | كلمة مرور ضعيفة أو معاد استخدامها أو محفوظة | منخفضة |
| مبادلة بطاقة SIM | اختطاف رقم الهاتف للمصادقة الثنائية عبر SMS | متوسطة |
| اختراق البريد الإلكتروني | تولي السيطرة على حساب البريد الإلكتروني المرتبط | متوسطة |
| التصيد الاحتيالي | صفحات تسجيل دخول مزيفة تلتقط بيانات الاعتماد | منخفضة |
| اختطاف الجلسة | سرقة ملفات تعريف الارتباط الخاصة بالجلسة النشطة | متوسطة |
| سرقة مفاتيح API | اختراق مفاتيح API بصلاحيات السحب | متوسطة |
| الهندسة الاجتماعية | خداع دعم البورصة لمنح حق الوصول | متوسطة |
| البرمجيات الخبيثة | مسجلات لوحة المفاتيح والتقاط الشاشة واختطاف الحافظة | متوسطة |
| اختراق البورصة | يتم اختراق البورصة نفسها | غير قابل للتحكم |
يجب أن تعالج استراتيجية أمانك جميع هذه المتجهات وليس واحداً فقط.
أساسيات أمان الحساب
1. استخدم كلمة مرور قوية وفريدة من نوعها
يجب أن يكون لكل حساب بورصة كلمة مرور فريدة غير مستخدمة في أي خدمة أخرى. إذا أعدت استخدام كلمات المرور وتم اختراق أي من تلك الخدمات، فسيتم اختراق حساب البورصة الخاص بك.
متطلبات كلمة المرور:
- 16 حرفاً على الأقل (يفضل 20 حرفاً فما فوق).
- تم إنشاؤها بواسطة مدير كلمات مرور (لا تختارها بنفسك).
- مخزنة فقط في مدير كلمات مرور حسن السمعة (1Password, Bitwarden).
- لا تكتبها أبداً بنص عادي أو تخزنها في ملاحظة أو تشاركها عبر البريد الإلكتروني/المراسلة.
لماذا لا تختار كلمة مرور يدوياً؟ البشر يمكن التنبؤ بهم. حتى كلمات المرور التي تبدو عشوائية قد تكون قابلة للتخمين من خلال الأنماط الشائعة أو هجمات القاموس أو جمع المعلومات الشخصية. ينشئ مدير كلمات المرور كلمات مرور عشوائية حقيقية.
2. تفعيل المصادقة الثنائية (2FA)
تضيف المصادقة الثنائية طبقة ثانية بعد كلمة المرور الخاصة بك. أنواع 2FA مرتبة من الأكثر أماناً إلى الأقل أماناً:
مفتاح الأمان على الأجهزة (FIDO2/WebAuthn) — الأفضل
مفاتيح الأجهزة مثل YubiKey أو Google Titan Key أو Thetis FIDO2:
- يتطلب مفتاح فعلي موجود للمصادقة.
- مرتبط بشكل تشفيري بموقع ويب محدد — لا يمكن التصيد به.
- محصنة ضد مبادلة بطاقة SIM واختراق البريد الإلكتروني وهجمات التصيد الاحتيالي في الوقت الفعلي.
- مدعومة من قبل Coinbase و Binance و Kraken و Gemini ومعظم البورصات الرئيسية.
التوصية: اشترِ مفتاحي أجهزة. سجل كليهما مع كل حساب. احتفظ بأحدهما في المحفظة والآخر في مكان نسخ احتياطي آمن.
تطبيق المصادقة (TOTP) — جيد
تطبيقات مثل Google Authenticator أو Authy أو 1Password TOTP:
- ينشئ كلمة مرور لمرة واحدة بناءً على الوقت (TOTP) تتغير كل 30 ثانية.
- غير عرضة لهجمات مبادلة بطاقة SIM.
- عرضة للتصيد الاحتيالي في الوقت الفعلي (المهاجم يعيد توجيه الكود إلى الموقع الحقيقي).
- إذا فقدت هاتفك، فستحتاج إلى أكواد احتياطية أو سر TOTP للاسترجاع.
أفضل الممارسات:
- استخدم جهاز مصادقة يدعم النسخ الاحتياطي المشفر (Authy, 1Password) بدلاً من الذي لا يمكن نسخه احتياطياً (Google Authenticator العادي).
- احفظ أكواد النسخة الاحتياطية/الاسترجاع الخاصة بـ TOTP بأمان — فهي معادلة لسر TOTP نفسه.
- تجنب تطبيقات TOTP المتزامنة عبر السحابة على الأجهزة التي لا تثق بها بشكل كامل.
2FA عبر SMS — تجنبها إن أمكن
المصادقة الثنائية المستندة إلى SMS عرضة لهجمات مبادلة بطاقة SIM:
- يتصل المهاجم بمشغل الشبكة الخاص بك ويتظاهر بأنه أنت.
- يقنع المشغل بنقل رقم هاتفك إلى بطاقة SIM جديدة.
- تذهب جميع رسائل SMS (بما في ذلك أكواد 2FA) الآن إلى المهاجم.
- يقوم المهاجم بتسجيل الدخول إلى حساب البورصة الخاص بك برقم المرور المسروق والكود 2FA المعترض.
أسفرت هجمات مبادلة بطاقة SIM عن خسائر بملايين الدولارات من العملات المشفرة. إذا كانت البورصة الخاصة بك تقدم أي خيار 2FA بخلاف SMS، فاستخدمه. إذا كان SMS هو الخيار الوحيد، فعيّن رمز PIN للمشغل (كما هو موضح أدناه).
3. تأمين حساب البريد الإلكتروني الخاص بك
حساب البريد الإلكتروني الخاص بك غالباً ما يكون الحلقة الأضعف. يمكن استخدامه للقيام بـ:
- إعادة تعيين كلمة مرور البورصة الخاصة بك.
- استقبال روابط تأكيد السحب.
- استقبال أكواد تجاوز 2FA.
تدابير أمان البريد الإلكتروني:
- استخدم كلمة مرور قوية وفريدة من نوعها للبريد الإلكتروني الخاص بك.
- فعّل 2FA على البريد الإلكتروني الخاص بك (يفضل مفتاح الأجهزة).
- استخدم عنوان بريد إلكتروني مخصص لحسابات البورصة — واحد لا يُستخدم في أي شيء آخر وليس معروفاً علناً.
- عطّل قواعد إعادة توجيه البريد الإلكتروني (قد يضع المهاجمون قواعد توجيه لاعتراض رسائل التأكيد).
- راجع الجلسات النشطة والتطبيقات المتصلة بانتظام.
4. فعّل قائمة بيضاء لعناوين السحب
توفر معظم البورصات الرئيسية ميزة قائمة بيضاء لعناوين السحب:
- تحدد قائمة بعناوين العملات المشفرة المعتمدة.
- يمكن فقط إرسال السحب إلى العناوين الموجودة في القائمة البيضاء.
- إضافة عنوان جديد تتطلب تحقق إضافي وعادة فترة انتظار (24-72 ساعة).
هذا أحد أكثر الدفاعات فعالية: حتى إذا حصل المهاجم على وصول كامل إلى حساب البورصة الخاص بك، فلا يمكنه السحب إلى عنوانه الخاص دون إضافته إلى القائمة البيضاء والانتظار.
الإعداد:
- أضف عنوان التخزين البارد والعنوان الخاص بمحفظة الأجهزة والعناوين الأخرى التي تستخدمها بانتظام إلى القائمة البيضاء.
- فعّل أقصى تأخير ممكن لإضافة القائمة البيضاء الجديدة.
- أعدّ إخطارات لأي تغييرات في القائمة البيضاء.
5. إعداد كود مكافحة التصيد الاحتيالي
تسمح العديد من البورصات (Binance و KuCoin و OKX والآخرين) بتعيين كود مكافحة التصيد الاحتيالي — سلسلة مخصصة تظهر في كل بريد إلكتروني شرعي من البورصة. إذا تلقيت بريداً إلكترونياً يدّعي أنه من البورصة لكنه لا يحتوي على كود مكافحة التصيد الخاص بك، فهو بريد تصيد احتيالي.
6. مراجعة وتقييد مفاتيح API
إذا كنت تستخدم مفاتيح API لبوتات التداول أو متتبعات المحفظة:
- امنح الحد الأدنى من الصلاحيات المطلوبة فقط (للقراءة فقط إذا كان المقصود التتبع فقط؛ بدون صلاحية السحب إلا إذا لزم الأمر بالضرورة).
- قيّد مفاتيح API إلى عناوين IP محددة حيث يكون ذلك ممكناً.
- عيّن تواريخ انتهاء على مفاتيح API.
- راجع جميع مفاتيح API النشطة بانتظام وأبطل المستخدمة منها.
- لا تشارك مفاتيح API أبداً عبر قنوات غير مشفرة (بريد إلكتروني أو نص عادي أو دردشة).
مفتاح API يتمتع بصلاحية السحب يعادل حق الوصول إلى الحساب. تعامل معه وفقاً لذلك.
تدابير الأمان المتقدمة
حماية مبادلة بطاقة SIM
للحماية من هجمات مبادلة بطاقة SIM على مشغل الشبكة المحمول الخاص بك:
- عيّن رمز PIN/كلمة مرور للمشغل — يسمح معظم المشغلين بتعيين رمز PIN يجب توفيره قبل أي تغييرات للحساب. اتصل بمشغلك لتعيين هذا.
- اطلب تجميد المنفذ — يمكن لبعض المشغلين وضع علامة على حسابك لمنع نقل الأرقام غير المصرح به.
- استخدم eSIM — لا تؤثر مبادلات بطاقة SIM الفعلية على حسابات eSIM فقط، على الرغم من أن الهندسة الاجتماعية لموظفي المشغل لا تزال ممكنة.
- استخدم رقم Google Voice أو VoIP — إذا كان 2FA عبر SMS لا مفر منه، فاستخدم رقم VoIP غير مرتبط ببطاقة SIM فعلية. ملاحظة: بعض البورصات لا تقبل أرقام VoIP.
أمان الجهاز
الجهاز الذي تستخدمه للوصول إلى البورصة جزء من محيط الأمان الخاص بك:
- حافظ على نظام التشغيل والمتصفح محدثة — تغلق تصحيحات الأمان الثغرات المعروفة.
- استخدم برنامج مكافحة البرمجيات الخبيثة — كشف مسجلات لوحة المفاتيح والقاطعات والبرمجيات الخبيثة لالتقاط الشاشة.
- استخدم ملف تعريف متصفح مخصص — احتفظ بجلسات المشفرات معزولة عن التصفح العام.
- تجنب شبكات Wi-Fi العامة — إذا كان يجب عليك استخدام شبكة Wi-Fi عامة، فاستخدم VPN. والأفضل استخدام بيانات الشبكة المحمولة الخاصة بهاتفك.
- قفل الجهاز الخاص بك — استخدم المصادقة البيومترية أو رمز PIN/كلمة مرور قوية لقفل الحاسب والهاتف.
- شفّر التخزين الخاص بك — فعّل تشفير القرص الكامل (BitLocker على Windows و FileVault على macOS).
إدارة الجلسة وتسجيل الدخول
- قم بتسجيل الخروج بعد كل جلسة — لا تترك جلسات البورصة نشطة على الأجهزة المشتركة أو المحمولة.
- راجع الجلسات النشطة — تحقق بانتظام من قسم "الجلسات النشطة" أو "الأجهزة" وأنهِ أي منها لا تعترف بها.
- فعّل إخطارات تسجيل الدخول — استقبل تنبيهات لكل محاولة تسجيل دخول، خاصة من الأجهزة الجديدة أو المواقع.
- فعّل تدابير مكافحة التصيد الاحتيالي — تسمح بعض البورصات بتكوين عبارة أمان تظهر عند تسجيل الدخول.
تصفية عناوين IP
تسمح بعض البورصات بتقييد وصول الحساب إلى عناوين IP محددة. إذا كان عنوان IP الخاص بك مستقراً (اتصال منزلي أو VPN برقم IP ثابت)، فهذا يمنع تسجيل الدخول من أي مكان آخر.
القيود: معظم اتصالات الإنترنت للمستهلكين لها عناوين IP ديناميكية تتغير بشكل دوري. يمكن لشبكات VPN برقم IP ثابت حل هذه المشكلة.
معايير اختيار البورصة
لا تتمتع جميع البورصات بنفس مستوى الأمان. عند اختيار بورصة:
الامتثال التنظيمي
البورصات المنظمة (العاملة بموجب تراخيص مالية في الولايات القضائية الرئيسية) من المرجح أن تطبق ممارسات أمان قوية وتحتفظ بصناديق تأمين وتوفر سبل انتصاف في حالة المشاكل.
إثبات الاحتياطيات
تنشر بعض البورصات إثبات الاحتياطيات — دليل تشفيري على أنها تحتفظ بموارد كافية لتغطية جميع ودائع العملاء. هذا لا يمنع جميع أنواع الاحتيال لكنه يوفر درجة من الشفافية.
سجل الأمان
ابحث في سجل البورصة:
- هل تم اختراقها سابقاً؟ كيف ردت؟
- هل توفر برنامج مكافأة الأخطاء؟
- هل خضعت لتدقيقات أمان من طرف ثالث؟
- كيف تخزن أموال المستخدمين (نسبة التخزين البارد)؟
التأمين والتعويض
تحتفظ بعض البورصات بصناديق تأمين أو التزمت بتعويض المستخدمين في حالة الاختراق. افهم ما هو مغطى وما لا.
الميزات المطلوبة
| الميزة | الأهمية | ملاحظات |
|---|---|---|
| مفتاح الأجهزة 2FA (FIDO2) | حرجة | أفضل حماية ضد التصيد |
| 2FA عبر TOTP | مهمة | الحد الأدنى المقبول من 2FA |
| قائمة بيضاء للسحب | حرجة | تمنع السحب غير المصرح |
| كود مكافحة التصيد | مهمة | حماية التصيد الاحتيالي عبر البريد الإلكتروني |
| تصفية عناوين IP | جيد أن يكون موجود | تقييد مواقع تسجيل الدخول |
| تقييد IP لمفتاح API | مهمة | وصول آمن لبوت التداول |
| إخطارات تسجيل الدخول | مهمة | تنبيه عند الوصول غير المصرح |
| أغلبية التخزين البارد | حرجة | معظم الأموال مخزنة دون الاتصال |
بينما البورصات ضرورية للتداول، يجب أن يكون التخزين على المدى الطويل في محفظة تتحكم بها. استخدم مولد عناوين SafeSeed لإنشاء عناوين استقبال للحفظ الذاتي، ثم استخدم قائمة البورصة البيضاء للسحب لموافقة مسبقة على عناوين التخزين البارد الخاصة بك. يجمع سير العمل هذا بين راحة البورصة وأمان التخزين البارد.
مبدأ "لا مفاتيح، لا عملات"
الأموال المحتفظ بها في البورصة تتم السيطرة عليها من قبل البورصة وليس من قبلك. أنت تثق بالبورصة لـ:
- الحفاظ على القدرة على الدفع والتشغيل.
- عدم اختراقها.
- عدم تجميد حسابك بشكل تعسفي.
- عدم الانخراط في الاحتيال.
أظهر التاريخ أن كل هذه الافتراضات قد تفشل:
- Mt. Gox (2014): 850,000 BTC مفقود/مسروق.
- QuadrigaCX (2019): توفي المؤسس (أو تظاهر بالوفاة) برقم وصول حصري للمحافظ الباردة.
- FTX (2022): أموال العملاء المأخوذة بشكل غير قانوني من قبل الإدارة.
- العديد من البورصات الأصغر: خروج احتيالي واختراقات وإعسار.
أفضل ممارسة: احتفظ في البورصات فقط بما تحتاجه للتداول قريب الأجل. انقل الباقي إلى التخزين البارد المراقب بنفسك. عبارة البذرة الخاصة بك المحفوظة على معدن في موقع آمن أكثر أماناً من أي بورصة.
قائمة تحقق أمان البورصة
استخدم هذه القائمة للتحقق من أمان حساب البورصة الخاص بك:
- كلمة مرور فريدة وقوية (16 حرفاً أو أكثر، تم إنشاؤها بواسطة مدير كلمات المرور)
- 2FA مفعّلة (يفضل مفتاح الأجهزة، أو TOTP كحد أدنى)
- حساب البريد الإلكتروني مأمون مع 2FA
- بريد إلكتروني مخصص للعملات المشفرة (غير معروف علناً)
- قائمة بيضاء لعناوين السحب مفعّلة
- كود مكافحة التصيد مُعدّ
- مفاتيح API تم التحقق منها (صلاحيات حد أدنى، مقيدة بـ IP)
- حماية مبادلة بطاقة SIM (رمز PIN للمشغل معيّن)
- إخطارات تسجيل الدخول مفعّلة
- الجلسات النشطة تمت مراجعتها بانتظام
- عنوان URL الرسمي للبورصة محفوظ (لا تستخدم محركات البحث للتنقل)
- ممتلكات المدى الطويل نقلت إلى التخزين البارد
ماذا تفعل إذا تم اختراق حساب البورصة الخاص بك
الخطوات الفورية
- غيّر كلمة المرور الخاصة بك فوراً من جهاز آمن.
- أعد تعيين 2FA — أبطل 2FA القديمة وأعدّ 2FA جديدة من جهاز نظيف.
- تحقق من سجل السحب — حدد ما إذا حدث أي سحب غير مصرح به.
- أبطل جميع مفاتيح API — في حالة أن يكون المهاجم قد أنشأ أو اخترق مفاتيح API.
- اتصل بدعم البورصة — اطلب تج