EN 
أساء مجرمو الإنترنت استخدام مفاتيح واجهة برمجة التطبيقات API، من أجل سرقة الملايين من العملات المشفرة من المتداولين المطمئنين وفقًا لبحث جديد أجراته شركة التحليلات الأمنية CyberNews.
وبعدما أصبحت عملة البيتكوين والعملات المشفرة الأخرى شائعة الاستخدام بشكل متزايد على مدار السنوات القليلة الماضية، بدأت الشركات الكبرى المعتمدة على استخدام العملة الرقمية، حسبما ذكر موقع "techradar" التكنولوجي، في توفير بعض التطبيقات والخدمات الأخرى لتسهيل تداول هذا النوع من العملات.
ومن أجل استخدام هذه الخدمات، يحتاج المتداولون إلى منح برامج الجهات الخارجية إمكانية الوصول إلى حسابات تبادل العملات المشفرة الخاصة بهم، عبر مفاتيح واجهة برمجة التطبيقات API، التي تسمح لهذه البرامج بتنفيذ الإجراءات نيابة عنهم مثل فتح وتنفيذ أوامر التداول تلقائيا.
وتتضمن مفاتيح واجهة برمجة التطبيقات (API)، كلاً من المفتاح العام والمفتاح الخاص، والذي يشار إليه غالبًا باسم المفتاح السري، وهوا ما تستخدمه تطبيقات الجهات الخارجية لتنفيذ أوامر التداول نيابة عن المستخدم، ولكن إذا تمكن المجرم الإلكتروني من الحصول على المفتاح السري الخاص بالمستخدم، فيمكنه حينئذٍ سرقة العملة المشفرة الخاصة به.
ووفقا للموقع التقني، توفر بورصات العملات المشفرة للمتداولين عادة، ثلاثة أنواع من أذونات API في شكل أذونات البيانات وأذونات التداول وأذونات السحب، حيث تسمح أذونات البيانات لواجهات برمجة التطبيقات بقراءة بيانات حساب التبادل للمستخدم، بينما تسمح أذونات التداول للمستخدمين باتمام الصفقات، ووضع أوامر مفتوحة وإغلاق الأوامر، وتتيح أذونات السحب لهم بنقل العملة المشفرة من حساب المستخدم إلى موقع آخر.
وتقوم منصات تبادل العملات المشفرة بتعطيل أذونات السحب افتراضيًا لأسباب أمنية، مما يمنع مجرمو الإنترنت من الاستفادة بأذونات التجارة لسرقة محافظ العملات المشفرة من ضحاياهم.
إساءة استخدام مفتاح واجهة برمجة التطبيقات API
اكتشفت شركة CyberNews، أن مجرمو الإنترنت يستخدمون عمليات شراء "جدار البيع" وزيادة الأسعار لسرقة الأموال من المتداولين، باستخدام أسلوبًا شائعًا للتلاعب في السوق يتم استخدامه في أسواق الأسهم والعملات المشفرة.
وتم إنشاء جدران البيع المتعلقة بالعملات المشفرة، كأوامر ضخمة يتم استخدامها في السوق بشكل مصطنع بواسطة متلاعبين في السوق لخفض سعر العملة المشفرة أو إبقائها أقل من الحد الأقصى من أجل شراء الكثير من العملات بسعر أقل.
ولسرقة مفاتيح واجهة برمجة التطبيقات الخاصة بالمتداولين بالعملات الرقمية، لا يحتاج مجرمو الإنترنت إلى تثبيت برامج ضارة أو تجسس على جهاز المستخدم للحصول عليها، ولكن بدلاً من ذلك، يقومون بفحص ملفات بيئة تطبيق الويب التي يمكن الوصول إليها بشكل عام ومستودعات الرموز العامة بحثًا عن مفاتيح خاصة مسربة.
ولحماية العملات المشفرة من السرقة، توصي CyberNews، المتداولين من التجار بوضع عناوين IP في القائمة البيضاء لاستخدام مفتاح API، لتجنب تخزينها على محرك أقراص ثابت أو الكشف عنها لأي شخص آخر أو مجرمو الإنترنت، بالإضافة إلى تخزين العملة في وضع عدم الاتصال بدلاً من استخدام المحافظ المتوفر عبر الأجهزة المخصصة لذلك.
