هل تعمل محافظ التوقيع المتعدد على تحسين الأمان حقًا؟ نظرة على نموذج التهديد

تُقدَّم محافظ التوقيع المتعدد (Multisignature wallets) — وهي المحافظ التي تتطلب توقيع عدد (M) من إجمالي (N) من المفاتيح قبل أن تصبح المعاملة صالحة — عادةً باعتبارها الترقية البديهية للمحافظ الساخنة ذات المفتاح الواحد. تعتمد معظم إعدادات الخزانة في المنظمات المستقلة اللامركزية (DAOs)، ومنصات التداول، والشركات الجادة المتخصصة في العملات المشفرة، على شكل من أشكال التوقيع المتعدد (مثل Safe، وSquads، وMultisig.js، ومتغيرات توقيع العتبة).

هذه السمعة مستحقة بجدارة، ولكن فقط ضد نموذج تهديد محدد. تُحبط محافظ التوقيع المتعدد بعض أكثر الطرق شيوعًا لسرقة الأموال، لكنها لا تفعل شيئًا تقريبًا ضد طرق أخرى. وفيما يلي الحقيقة المجردة: ما الذي تجيده حقًا محافظ التوقيع المتعدد، وأين تكمن أوجه قصورها، وما هي الحالات التي قد يجعل فيها تبنيها النظام أقل أمانًا.

ما هو التوقيع المتعدد، باختصار شديد

في إعداد التوقيع المتعدد 2-من-3 (2-of-3)، توجد ثلاثة مفاتيح خاصة؛ ويجب أن يوقع اثنان منها على أي معاملة حتى يتم تنفيذها على الشبكة (on-chain). المحفظة نفسها عبارة عن عقد ذكي (في عالم Ethereum / EVM) أو نوع مخرجات توقيع متعدد أصلي (في Bitcoin عبر P2SH/P2WSH). يتحقق العقد من التوقيعات ثم يقوم بتوجيه المعاملة.

التنفيذ الأكثر استخدامًا في منظومات EVM هو Safe (المعروف سابقًا باسم Gnosis Safe). وفي شبكة Solana، تلعب Squads نفس الدور. تتمتع Bitcoin بتاريخ طويل من الدعم الأصلي للتوقيع المتعدد، والذي غالبًا ما يتم دمجه مع محافظ الأجهزة من خلال مسارات عمل PSBT.

تحقق مخططات توقيع العتبة (TSS وFROST وMPC) نتيجة مماثلة باستخدام مفتاح واحد على الشبكة — حيث يحمل كل مُوقِّع حصة من المفتاح الخاص ويوقعون بشكل مشترك دون إعادة بنائه أبدًا. من منظور نموذج التهديد، تنطبق معظم النقاط أدناه بالتساوي على كليهما، مع بعض المحاذير التي سنشير إليها لاحقًا.

ما يحبطه التوقيع المتعدد (الأخبار السارة)

اختراق المفتاح الواحد

هذه هي الفائدة الأبرز. إذا سُرقت محفظة أجهزة خاصة بأحد الموقِّعين، أو أُصيب هاتفه ببرمجيات خبيثة، أو تسربت العبارة الأولية (seed phrase) الخاصة به، فلن يتمكن المهاجم الذي يحمل هذا المفتاح الفردي من نقل الأموال. سيحتاج إلى اختراق ما لا يقل عن (M-1) من المفاتيح الأخرى في نفس الوقت.

بالنسبة لإعداد 2-من-3، فهذا يعني أنه يجب على المهاجم اختراق نقطتي نهاية مستقلتين، يُفضل أن يمتلكهما شخصان مختلفان، على أجهزة مختلفة، وفي مواقع جغرافية مختلفة. عادةً ما يكون احتمال حدوث اختراقين مستقلين في نفس الإطار الزمني أقل بعدة درجات من احتمال حدوث اختراق واحد.

التهديدات الداخلية (مخاطر المطلعين)

يمكن لشخص واحد يتمتع بصلاحية الحفظ الكاملة أن يستقيل بغضب، أو ينشق، أو يتعرض للإكراه، أو ببساطة يرتكب خطأً فادحًا. التوقيع المتعدد يفرض التواطؤ لتنفيذ أي هجوم داخلي. بالنسبة للمنظمات المستقلة اللامركزية والشركات، غالبًا ما يكون هذا هو الدافع الرئيسي — فالفائدة الأمنية ضد المهاجمين الخارجيين تأتي في المرتبة الثانية بعد فائدة الحوكمة ضد أي جهة فاعلة داخلية.

استرداد المفاتيح المفقودة

في إعداد M-من-N حيث (N > M)، لا يُعد فقدان مفتاح واحد كارثة. يمكن للموقعين المتبقين نقل الأموال إلى محفظة توقيع متعدد جديدة واستبدال المفتاح المفقود. يمثل هذا تحسنًا كبيرًا مقارنةً بالحفظ ذي المفتاح الواحد، حيث يعني فقدان عبارة أولية واحدة ضياعًا دائمًا للأموال.

التصيد الاحتيالي للمستخدم

تعتمد العديد من هجمات تصيد المحافظ (مواقع الإنزال الجوي الوهمية، وموافقات الرموز الخبيثة، وعقود الاستنزاف) على قيام المستخدم بتوقيع معاملة خبيثة في جلسة متصفح واحدة. يضيف التوقيع المتعدد خطوة تأكيد على واجهة مختلفة — مثل واجهة مستخدم تنسيقية كواجهة Safe، أو موافقة عبر الأجهزة على أجهزة متعددة — مما يمنح المستخدم فرصة أخرى لملاحظة أنه يوقع على شيء لم يقصده.

ما لا يحبطه التوقيع المتعدد (الجزء غير المريح)

هذا هو القسم الذي تتخطاه معظم الآراء السريعة.

ثغرات العقود الذكية في التوقيع المتعدد نفسه

التوقيع المتعدد هو عبارة عن عقد ذكي. إذا كان العقد يحتوي على ثغرة برمجية (Bug)، فلن تنفع كل عمليات الإدارة الحذرة للمفاتيح في العالم. كانت حادثة التوقيع المتعدد الأعلى تكلفة في التاريخ — تجميد التوقيع المتعدد في Parity في نوفمبر 2017 — ناتجة عن ثغرة في العقد، وليس اختراقًا للمفاتيح. حيث أصبح ما قيمته حوالي 150 مليون دولار من عملة الإيثريوم (ETH) غير قابل للوصول بشكل دائم بسبب معاملة واحدة.

تُعد عقود Safe الحديثة من أكثر العقود التي خضعت للتدقيق على شبكة الإيثريوم وقد صمدت جيدًا، لكن النقطة تظل قائمة: أنت تستبدل "مفتاحًا خاصًا واحدًا يجب حمايته" بـ "عقد ذكي واحد يجب الوثوق به". ويجب اكتساب هذه الثقة وإعادة اكتسابها من خلال عمليات التدقيق المستمرة وبمرور الوقت.

اختراق واجهة مستخدم التوقيع

تتم معظم عمليات التوقيع المتعدد من خلال واجهة ما — واجهة الويب الخاصة بـ Safe، أو إضافة محفظة، أو لوحة تحكم مخصصة. إذا تم اختراق هذه الواجهة (اختطاف نظام أسماء النطاقات DNS، هجوم سلسلة التوريد على إحدى التبعيات البرمجية، إضافة متصفح خبيثة)، يمكن للمهاجم أن يعرض للمُوقِّع (أ) "إرسال 1 ETH إلى alice.eth" بينما يقوم فعليًا بنقل "إرسال 1000 ETH إلى attacker.eth" إلى محفظة الأجهزة لتوقيعها.

تعرض معظم محافظ الأجهزة عنوان الوجهة الفعلي، لكن الموقعين يميلون بشكل روتيني إلى القراءة السريعة دون تدقيق. اعتمدت حادثة Bybit في أوائل عام 2025 على اختراق واجهة مستخدم Safe؛ حيث وافق جميع الموقعين على ما اعتقدوا أنه معاملة روتينية، بينما كان يتم تعديل العقد الوكيل (proxy contract).

التوقيع المتعدد يحميك من المهاجم الذي يمتلك فقط مفتاحًا واحدًا. ولكنه لا يحميك من المهاجم الذي يمكنه وضع المعاملة الخاطئة أمام جميع المُوقِّعين لديك.

التصيد المنسق لعدة مُوقِّعين

إذا كان الموقعون معروفين ويمكن الوصول إليهم — وهو الحال عادةً بالنسبة لأي خزانة لها عنوان Safe منشور — فيمكن للمهاجم استهدافهم جميعًا. ينفذ المهاجم نفس حملة التصيد الاحتيالي على كل مُوقِّع. ثم ينتظر. وإذا كان اثنان من أصل ثلاثة متعبين، أو مشتتين، أو غير منتبهين في نفس اليوم، فسيتم الوصول إلى عتبة التوقيع المطلوبة.

يُعد هذا هو الهجوم الأكثر واقعية ضد محافظ التوقيع المتعدد المُدارة جيدًا في الممارسة العملية، والدفاعات ضده هي في الغالب إجرائية وليست تقنية: التأكيد خارج النطاق (out-of-band) لكل معاملة في قناة منفصلة (Signal، أو تطبيق دردشة مختلف، أو مكالمة هاتفية)، وسياسة صارمة تنص على وجوب مناقشة أي معاملة تتجاوز قيمتها حدًا معينًا بشكل مباشر قبل التوقيع.

اختراق التخزين غير المتصل للمفاتيح (Off-chain)

إذا كانت "مفاتيح التوقيع" في الواقع عبارة عن 2-من-3 موزعة بين العبارات الأولية لمحفظة MetaMask الخاصة بمهندسين اثنين ومحفظة أجهزة واحدة في خزانة المكتب، فلديك مشكلة في أمن العمليات (OPSEC) متخفية في صورة توقيع متعدد. تم استيفاء العتبة من الناحية الفنية، لكن التنوع وهمي. يمكن أن تؤدي إصابة جهازي كمبيوتر محمول للمهندسين ببرمجيات خبيثة، أو اقتحام واحد للمكتب، إلى اختراق عتبة التوقيع.

يتطلب التنوع الحقيقي ما يلي:

طرازات مختلفة من أجهزة المحافظ. (واحدة Ledger، وواحدة Trezor، وواحدة Keystone).
أنظمة تشغيل مختلفة لأي برامج توقيع.
مواقع جغرافية ومادية مختلفة لأي تخزين دائم.
أشخاص مختلفون، حيثما أمكن، يمتلكون ملفات تعريف تهديد (threat profiles) مختلفة.

الفقدان متجاوزاً العتبة (Loss past the threshold)

الجانب الآخر للاسترداد: في إعداد 2-من-3، يعتبر فقدان مفتاحين خسارة دائمة. وفي إعداد 3-من-5، يعتبر فقدان ثلاثة مفاتيح خسارة دائمة. كلما زادت الفجوة بين M و N، زاد الأمان ضد الفقدان الفردي — ولكن أصبح من الأسهل على المهاجم العثور على M من المُوقِّعين لاصطيادهم.

هذا هو التوتر الذي لا مفر منه. تؤدي زيادة M إلى أمان أكبر ضد الهجمات الخارجية ولكنها تقلل من فرص الاسترداد. بينما يسهل تقليل M من الاسترداد ولكنه يجعل الهجوم أسهل. لا يوجد إعداد يُحسِّن من كلا الجانبين بشكل مثالي.

أين يمكن للتوقيع المتعدد أن يجعل الأمور أسوأ

بعض الحالات الصريحة:

بالنسبة للأرصدة الصغيرة جدًا، يمكن أن تؤدي الأعباء التشغيلية للتوقيع المتعدد (تنسيق المعاملات، ورسوم الغاز على شبكات EVM، ومنحنى التعلم) إلى أخطاء لا تحدث في الحفظ ذي المفتاح الواحد. الأداة المناسبة لـ 200 دولار من العملات المشفرة (كمصروف جيب) هي مفتاح واحد مدعوم بمحفظة أجهزة.
بالنسبة للمستخدمين الفرديين الذين يعاملون التوقيع المتعدد كنظام استرداد ولكنهم في الواقع يحتفظون بالمفاتيح الثلاثة جميعها على أجهزة يتحكمون فيها بمفردهم، فإن التوقيع المتعدد يضيف تعقيدًا دون تغيير نموذج التهديد — إذا تمكن مهاجم واحد من اختراق أحد هذه الأجهزة اليوم، فمن المحتمل أن يتمكن من اختراقها جميعًا.
بالنسبة للمؤسسات التي لا تمتلك في الواقع تنوعًا بين الموقعين — حيث يتواجد الجميع في نفس المكتب، ويستخدمون نفس شبكة VPN، ونفس نظام تسجيل الدخول الموحد (SSO) — تصبح عتبة التوقيع مجرد إجراء شكلي.

في جميع الحالات الثلاث، الإجابة ليست "استخدم الحفظ ذا المفتاح الواحد". بل هي "استخدم التوقيع المتعدد بشكل صحيح أو استخدم جهة حفظ تفعل ذلك". لكن الادعاء بأن نوع العقد وحده يوفر الأمان، بغض النظر عن الممارسات التشغيلية، هو ما يؤدي إلى حدوث الخسائر الفادحة.

كيف يبدو الإعداد الجيد

يعمل إعداد التوقيع المتعدد 2-من-3 أو 3-من-5 بشكل جيد كأداة للتحكم في الخزانة عندما تكون كل الشروط التالية متوفرة:

المُوقِّعون هم أشخاص مختلفون، وفي ولايات قضائية مختلفة حيثما أمكن ذلك.
أجهزة التوقيع هي علامات تجارية مختلفة من الأجهزة، وتعمل على أنظمة تشغيل مختلفة.
استخدام قناة اتصال منفصلة لتأكيد المعاملات، بحيث تكون مستقلة عن واجهة التوقيع.
وجود عملية موثقة للتحقق من بيانات المعاملة (payload) مقابل الاختلاف المتوقع — بيانات الاستدعاء (calldata)، والهدف (target)، والقيمة (value) — قبل أن يوافق أي مُوقِّع.
عقد التوقيع المتعدد نفسه مدقق جيدًا (يُعتبر Safe هو الخيار الافتراضي المحافظ في عام 2026) وإصداره مثبت ومعروف.
وجود إجراء لاستبدال المُوقِّعين مع التدرب عليه مسبقًا.

يتطلب هذا انضباطًا أكبر مما تدركه معظم الفرق في البداية. الخبر السار هو أن هذا الانضباط يُعد استثمارًا لمرة واحدة؛ والخبر السيئ هو أن الانضباط أهم من العقد نفسه.

كيف يرتبط هذا بأسماء النطاقات (Domains)

تُعد إدارة أسماء النطاقات (الأسماء) واحدة من أقوى المقارنات مع التوقيع المتعدد في العالم خارج الشبكة (off-chain). النطاق الذي يتم التحكم فيه بواسطة حساب مسجل واحد ومحمي بكلمة مرور واحدة يعادل محفظة ذات مفتاح واحد. بينما النطاق المحمي بقفل المسجل (registrar lock) + قفل السجل (registry lock) + المصادقة الثنائية (2FA) عند مزود خدمة DNS + مزودين موثوقين متعددين هو، من الناحية الهيكلية، توقيع متعدد: يجب اختراق عدة عوامل مستقلة قبل أن يتم نقل الاسم.

وتأخذ Namefi هذا الأمر إلى أبعد من ذلك من خلال تمثيل الملكية كسجل على الشبكة (on-chain) يمكن الاحتفاظ به مباشرةً في محفظة توقيع متعدد. نفس نظام العتبة (threshold scheme) الذي يحمي الخزانة يمكنه الآن حماية مستوى التحكم في DNS — بحيث لا يمكن لفرد واحد تعرض للتصيد أن يتسبب في فقدان النطاق الخاص بالشركة تمامًا كما لا يمكنه استنزاف الخزانة بمفرده. ترقية نموذج التهديد هي نفسها في كلا العالمين: استبدال "الثقة في بيانات اعتماد واحدة" بـ "اختراق M من N من العوامل المستقلة".

المصادر وقراءات إضافية

Safe — عقود الحسابات الذكية وعمليات التدقيق.
IETF FROST — RFC 9591، بروتوكول Flexible Round-Optimized Schnorr Threshold.
Bitcoin — BIP-174 PSBT.
Parity — تقرير ما بعد حادثة تجميد التوقيع المتعدد.
a16z crypto — دليل عملي لتشغيل محفظة التوقيع المتعدد Safe.