التخطي إلى المحتوى

ألزمت هيئة الأوراق المالية والعقود الآجلة في هونج كونج (SFC) منصات تداول الأصول الرقمية والوسطاء الإلكترونيين بتطبيق متطلبات أمن سيبراني أحدث، تستهدف تقليص مخاطر اختراق حسابات المستثمرين عبر هجمات التصيد الإلكتروني والهندسة الاجتماعية. وفي جوهر هذه التحديثات قرار بالتخلي التدريجي عن آليات تسجيل الدخول التقليدية المعتمدة على رموز التحقق لمرة واحدة (OTP) المرسلة عبر الرسائل النصية أو البريد الإلكتروني أو تطبيقات المصادقة، وذلك ضمن مهلة تنظيمية تمتد حتى 12 شهرًا.

وداعًا لـ OTP ورسائل التحقق.. ومتى ينتهي تطبيق القرار؟
وفقًا للقواعد الجديدة، لن يُسمح لمنصات تداول العملات المشفرة باستخدام OTP كوسيلة لتسجيل الدخول عند وصول المستخدمين إلى حساباتهم. وتشمل هذه القيود الرموز المرسلة عبر الرسائل القصيرة (SMS) أو البريد الإلكتروني أو تطبيقات المصادقة. وتمنح SFC الجهات الخاضعة للرقابة فترة انتقالية لا تتجاوز 12 شهرًا لاستكمال الالتزام بالمتطلبات الجديدة.

وبدلاً من OTP، توصي الهيئة باعتماد طرق تحقق أكثر تطورًا ومقاومة للتلاعب ومحاولات الاحتيال، مثل Passkeys التي تعتمد على مفاهيم المصادقة المشفرة بدل الاعتماد على رموز تُرسل للمستخدم ثم قد يتم انتحالها أو اعتراضها. كما تشمل الخيارات المقترحة ربط الحسابات بأجهزة موثوقة تحقق الهوية بطريقة مشفرة، إضافة إلى استخدام مفاتيح الأمان المادية (Hardware Security Keys) التي يصعب على المهاجمين استغلالها لأنها لا تعتمد على “رمز” يمكن سرقته أو إعادة توجيهه بسهولة.

تصاعد الاحتيال وراء التغيير التنظيمي
جاءت هذه الخطوة في وقت تشير فيه الجهات التنظيمية إلى زيادة ملحوظة في عمليات التصيد الإلكتروني ومحاولات الهندسة الاجتماعية الموجهة لمستخدمي العملات المشفرة. وتوضح SFC أن أساليب الاحتيال أصبحت أكثر تعقيدًا، ما يجعل آليات حماية حسابات المستخدمين التقليدية أقل كفاءة أمام أساليب الهجوم المتقدمة.

وتُظهر بيانات مركز هونج كونج لتنسيق حوادث الأمن السيبراني أن الاحتيال والتزوير شكّلا 57% من إجمالي حوادث الأمن السيبراني التي تم الإبلاغ عنها خلال عام 2025، وهو ما يعزز منطق تشديد المتطلبات المرتبطة بحماية الوصول إلى الحسابات الرقمية.

خسائر كبيرة للمستثمرين بسبب التصيد والاحتيال
تزامنت القواعد مع استمرار نزف الخسائر في سوق العملات المشفرة نتيجة التصيد واستدراج المستخدمين إلى إجراءات ضارة. فقد أُبلغ عن خسارة قاربت مليون دولار بعد الموافقة على معاملة احتيالية عبر شبكة Ethereum، في سياق تكرر فيه سيناريو الموافقة على عمليات لا يدرك المستخدمون حقيقتها أو يدفعهم رابط/واجهة مزيفة للتوقيع.

وتشير تقديرات إلى أن خسائر التصيد في قطاع العملات المشفرة بلغت نحو 366 مليون دولار خلال النصف الأول من عام 2026. وتستند هذه الخسائر غالبًا إلى أساليب مثل إقناع المستخدمين بمنح صلاحيات للمهاجمين عبر توقيع “صلاحيات وصول غير مقصودة” أو التوقيع على معاملات يتم تمريرها على أنها إجراء عادي داخل بوابات أو مواقع غير رسمية.

وفي حادثة أخرى مطلع يوليو، خسر مالك محفظة رقمية نحو 1.65 مليون دولار بعد ربط محفظته بمنصة تداول مزيفة ثم توقيع عقد يمنح القراصنة صلاحية غير محدودة للوصول إلى الأصول الرقمية.

ومع اتساع الهجمات على مستوى البروتوكولات، يصبح تعزيز أمان طبقة الدخول ضرورة أكبر
لا تقتصر المخاطر على التصيد فقط؛ إذ كشفت تحليلات مبنية على بيانات DefiLlama (وفق ما أوردته Unfolded) أن الربع الثاني من عام 2026 شهد 83 عملية اختراق لبروتوكولات العملات المشفرة، وهو أعلى مستوى تعرض للهجمات منذ ظهور هذا القطاع. ومن أبرز الأمثلة اختراق KelpDAO الذي تسبب في خسائر قُدرت بنحو 293 مليون دولار، بالإضافة إلى استغلال ثغرة في Drift Protocol تسببت في خسائر تقارب 280 مليون دولار.

ومع ذلك، يظل تسجيل الدخول نقطة حساسة لأن اختراقها قد يؤدي إلى الوصول إلى الحسابات مباشرة أو تفعيل صلاحيات قد يستخدمها المهاجمون للتحكم في أصول المستخدمين. لذلك، ينسجم قرار SFC مع الاتجاه العام لتقوية “سلسلة الثقة” حول الحسابات الرقمية وتقليل فرص نجاح الاحتيال الذي يعتمد على سرقة بيانات الدخول أو الرموز.

ماذا يعني القرار للمستثمرين والمنصات؟
يعكس قرار هونج كونج انتقالًا تدريجيًا من آليات مصادقة تقليدية قابلة للاستغلال إلى تقنيات أكثر أمانًا مثل Passkeys ومفاتيح الأمان المادية. ويهدف ذلك إلى:
– تقليل فعالية التصيد الذي يستهدف رسائل التحقق والرموز لمرة واحدة.
– رفع مستوى مقاومة هجمات الاستحواذ على الحساب (Account Takeover).
– تحسين موثوقية إجراءات الوصول بما يحد من خسائر المستثمرين.

وبينما تستمر تطورات هجمات التصيد والاختراقات على بروتوكولات وشركات الأصول الرقمية، فإن تشديد متطلبات الأمن السيبراني في هونج كونج يمثل محاولة عملية لتعزيز حماية المستخدم وتقوية الثقة في منظومة تداول الأصول الرقمية في المنطقة خلال الفترة الانتقالية المحددة.

التعليقات

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *