Passkeys بدلاً من Seed Phrases: أمان الكريبتو يتفوق على البنوك

لفترة طويلة، عاش عالم العملات المشفرة وفقًا لقانون "البراري": إما أن تخزن 24 كلمة على لوحة معدنية في خزنة البنك، أو تخاطر بفقد كل شيء بسبب رابط تصيد واحد. لكن في 2025–2026، حدث تحول جذري. جعلت تقنية Passkeys (معيار FIDO2/WebAuthn) بالاشتراك مع Account Abstraction إدارة الأصول أسهل من البنك المحمول وأكثر أمانًا تشفيرياً.

دعونا نفهم لماذا أصبحت شبكية عينك الآن أكثر أمانًا من عبارة الاسترداد وكيف تعمل "تحت الغطاء".

لماذا عبارة الاسترداد تعتبر "العصر الحجري"

المحافظ التقليدية (EOA — Externally Owned Accounts) مثل MetaMask تعمل على زوج مفاتيح واحد. عبارة الاسترداد هي مفتاحك.

• نقطة فشل واحدة: إذا سُرقت العبارة، فقد المال. إذا نسيتها، تضيع الأموال.
• مشكلة "التوقيع الأعمى": توقع المعاملات دون فهم محتواها، مما يفتح الباب للتصيد.
• غياب المرونة: لا يمكنك تغيير المفتاح دون نقل جميع الرموز إلى عنوان جديد.

كيف تغير Passkeys قواعد اللعبة

الـ Passkey هو زوج مفاتيح تشفيرية يتم إنشاؤه في الوحدة الآمنة لجهازك (Secure Enclave على iPhone أو TPM على Windows/Android).

• المفتاح الخاص لا يغادر الشريحة أبدًا.
• يتم تفعيل الوصول فقط من خلال القياسات الحيوية (FaceID/TouchID) أو رمز فتح الجهاز.
• المزامنة: تُنسخ المفاتيح بأمان إلى أجهزتك الأخرى عبر iCloud أو Google Password Manager، مما يلغي خطر فقدان الوصول عند تعطل جهاز واحد.

لماذا هذا أكثر أمانًا من تطبيقات البنوك

في تطبيق البنك، تعتمد أمانك غالبًا على رمز PIN مكون من 4 أرقام أو تأكيد عبر SMS (سهل الاختراق عبر SIM-swap). تستخدم Passkey خوارزمية P-256 (secp256r1) — معيار تشفير صناعي. محاولة كسر هذا المفتاح بالقوة الغاشمة على حاسوب حديث ستستغرق مليارات السنين.

السحر التقني: كيفية دمج Passkey مع البلوك تشين

المشكلة الرئيسية: معظم البلوك تشين (Bitcoin, Ethereum) تستخدم المنحنى secp256k1، بينما تستخدم الهواتف الحديثة للـ Passkeys المنحنى secp256r1 (P-256). لا "يفهمون" بعضهم البعض مباشرة.

جاء الحل مع معيار ERC-4337 (Account Abstraction). الآن محفظتك ليست مجرد زوج مفاتيح، بل عقد ذكي.

مثال على التنفيذ (كود مفاهيمي)

يتم إضافة وحدة تحقق من توقيع Passkey إلى العقد الذكي للمحفظة. عندما تضع إصبعك على الماسح الضوئي، ينشئ الهاتف توقيعًا يتحقق منه العقد الذكي على البلوك تشين.

// Solidity
// مثال مبسط لمنطق التحقق من Passkey في العقد الذكي
function validateUserOp(UserOperation calldata userOp, bytes32 userOpHash) internal override returns (uint256) {
    // استخراج مكونات التوقيع (r, s) وإحداثيات المفتاح العام
    (bytes32 r, bytes32 s, uint256 x, uint256 y) = abi.decode(userOp.signature, (bytes32, bytes32, uint256, uint256));
    // استخدام P-256 precompile (RIP-7212) للتحقق من التوقيع
    // هذا يسمح للمحفظة بـ "فهم" القياسات الحيوية لجهاز iPhone الخاص بك
    bool isValid = P256Verifier.verify(userOpHash, r, s, x, y);
    if (!isValid) return SIG_VALIDATION_FAILED;
    return 0;
}

حقيقة غير معروفة: حتى عام 2024، كانت التحقق من مثل هذا التوقيع على Ethereum سيكلف أموالًا طائلة (50–100 دولار لكل معاملة). مع EIP-7212 (precompile للـ secp256r1) على شبكات L2 (Base, Optimism, Arbitrum)، أصبح تكلفة التحقق شبه معدومة.

نصائح عملية للمستخدمين

إذا كنت تريد الانتقال إلى وضع "بدون عبارة" اليوم، فراجع هذه الخيارات:

• اختيار المحفظة: استخدم محافظ ذكية من الجيل الجديد: Braavos أو Argent (Starknet)، Safe مع وحدة Passkeys، أو Coinbase Smart Wallet.
• الملكية متعددة العوامل (2FA معزز): يمكنك إعداد العقد الذكي بحيث تكون Passkey من الهاتف كافية للمعاملات الصغيرة، بينما تتطلب المعاملات الكبيرة تأكيد جهاز ثانٍ (مثل MacBook الخاص بك).
• الاسترداد الاجتماعي: اربط Passkeys من أفراد العائلة أو الأجهزة الاحتياطية كـ "Guardians". إذا فقدت الوصول إلى جميع أجهزتك، يمكنهم استعادة محفظتك بدون أي عبارة استرداد.

الخطر الرئيسي: ما لا يقوله المسوقون

نقطة الضعف الوحيدة في Passkeys هي الوصول إلى حسابك السحابي (Apple ID أو Google Account). إذا حصل المخترق على السيطرة الكاملة على iCloud الخاص بك وتمكن من إعادة تعيين كلمة المرور، فقد يتمكن نظريًا من مزامنة مفاتيحك على جهازه.

الحل: احمِ دائمًا حساب Apple ID/Google الخاص بك بمفتاح مادي (مثل YubiKey) وفعل ميزة "حماية الجهاز المسروق" (Stolen Device Protection) في إعدادات iOS.

هندسة WebAuthn: كيف يتواصل المتصفح مع البلوكشين

لكي يتحول الـ Passkey إلى معاملة على البلوكشين، تمر البيانات عبر سلسلة تمنع اعتراضها. يُطلق على هذا WebAuthn API.

العملية كالتالي:

• التحدي (Challenge): يرسل العقد الذكي أو backend المحفظة سلسلة عشوائية (challenge) إلى الواجهة الأمامية.
• المصادقة البيومترية: يستدعي المتصفح نافذة النظام (FaceID/TouchID). بعد التحقق البيومتري بنجاح، يوقّع الجهاز الـ challenge بالمفتاح الخاص المخزن داخل الـ Secure Enclave.
• الاستجابة: يتم إرسال التوقيع مرة أخرى. يتضمن ليس فقط التوقيع التشفيري، بل أيضاً clientDataJSON (يؤكد أنك على النطاق الصحيح، مما يحمي بنسبة 100% من الاحتيال Phishing).

مثال على الكود لمطوري الواجهة الأمامية (تسجيل Passkey):

// JavaScript
// إنشاء خيارات لتوليد المفتاح
const publicKeyCredentialCreationOptions = {
    challenge: Uint8Array.from(randomString, c => c.charCodeAt(0)),
    rp: { name: "MyCryptoWallet", id: "wallet.example.com" },
    user: {
        id: Uint8Array.from("user123", c => c.charCodeAt(0)),
        name: "[email protected]",
        displayName: "User One"
    },
    pubKeyCredParams: [{ alg: -7, type: "public-key" }], // -7 يعني ES256 (P-256)
    authenticatorSelection: { authenticatorAttachment: "platform" },
    timeout: 60000
};
const credential = await navigator.credentials.create({
    publicKey: publicKeyCredentialCreationOptions
});

تفاصيل غير معروفة: "Client Data JSON" والحماية من الانتحال

على عكس تطبيقات البنوك، حيث يمكن نظرياً اعتراض المعاملة بواسطة برامج ضارة على الهاتف (keylogger أو تعديل حقول الإدخال)، يقوم Passkey بتوقيع هاش مرتبط بشكل صارم بـ Origin (النطاق).

• إذا دخلت إلى الموقع my-wallet-scam.com، فلن يقترح هاتفك Passkey الذي تم إنشاؤه لـ my-wallet.com.
• على البلوكشين، يتحقق العقد الذكي من حقل origin داخل البيانات الموقعة. إذا حاول هاكر تمرير التوقيع من موقع آخر، سيرفض العقد المعاملة. هذا مستوى حماية غير متاح لبطاقات البنوك التقليدية.

مشكلة التجزئة: حلول البنية التحتية (Turnkey و Privy)

واجه المطورون تحدياً: كيف يمكن منح المستخدم وصولاً إلى نفس المحفظة على iPhone وAndroid وWindows إذا كانت "السحابات" الخاصة بهم (iCloud وGoogle Drive) لا تتقاطع؟

هنا تأتي حلول مثل Turnkey أو Dynamic. تستخدم وحدات أجهزة عالية الأمان (HSM) في السحابة.

• يفتح Passkey الخاص بك الوصول إلى المفتاح المخزن في HSM موزع.
• هذا يسمح بـ "محفظة واحدة — أجهزة متعددة" دون فقدان الأمان.
• حتى لو تم اختراق خادم Turnkey، لن يحصل المخترق على الوصول إلى الأصول، لأن التوقيع لا يزال يتطلب المصادقة البيومترية المحلية الخاصة بك.

مفاتيح الجلسة: سحر "المحفظة غير المرئية"

تمكّن Passkeys بالاشتراك مع Account Abstraction من استخدام مفاتيح الجلسة. هذا ما يقتل تجربة المستخدم المصرفية التقليدية — بطريقة إيجابية.

• مثل البنك: لكل تحويل — رسالة SMS، إشعار Push، رمز من التطبيق. مزعج.
• مثل الكريبتو مع Passkeys: تستخدم FaceID مرة واحدة لإنشاء "مفتاح جلسة" مؤقت (مثلاً ساعة واحدة أو حتى 100$). يتم تخزين هذا المفتاح في ذاكرة المتصفح. تلعب لعبة أو تتداول على DEX، وتحدث المعاملات فورياً دون تأكيد مستمر. عند انتهاء الحد أو الوقت، يتم مسح المفتاح تلقائياً.

حالة عملية: الاسترداد بدون Seed Phrase

أكبر خوف: "ماذا لو فقدت هاتفي والوصول إلى iCloud؟"

تستخدم بنية محفظة Passkey Social Recovery أو Email Recovery عبر ZK-Proofs (أدلة المعرفة الصفرية).

مثال: تقوم بإدخال بريدك الإلكتروني عند التسجيل. إذا فقدت الوصول، تبدأ عملية الاسترداد. يتحقق العقد الذكي من التوقيع الرقمي من خادم البريد الخاص بك (DKIM). بفضل تقنية ZK، ترى البلوكشين أن الرسالة وصلت بالفعل إليك، دون نشر بريدك في السجل العام. تربط Passkey جديد بالعُنوان القديم — وتستعيد أموالك. لا حاجة لأي ورقة أو Seed Phrase.

وصلنا إلى الجزء الأكثر إثارة — إعداد الأمان العملي وكيف يحوّل مفهوم Passkeys محفظتك إلى "خزنة رقمية" شخصية بقواعد تحددها أنت بنفسك.

الأمان القابل للبرمجة: الحدود والأدوار

في تطبيق مصرفي عادي، يحدد البنك الحدود. في محفظة Passkey (ERC-4337)، تحدد أنت الحدود في كود العقد الذكي. يُسمى هذا Policy Management.

كيف يعمل ذلك عملياً:

يمكنك إعداد المحفظة بحيث تتطلب مستويات مختلفة من التفويض بناءً على المبلغ:

• حتى 100$: توقيع بمفتاح الجلسة (فوري، بدون قياسات حيوية).
• من 100$ إلى 5000$: مطلوب Passkey واحد (FaceID على الهاتف).
• أكثر من 5000$: مطلوب Multi-Passkey (تأكيد من الهاتف وجهاز MacBook الخاص بك).

مثال على المنطق (Pseudo-code للعقد الذكي):

// Solidity
function executeTransaction(uint256 amount, bytes calldata signature) external {
    if (amount <= smallLimit) {
        require(verifySessionKey(signature), "مفتاح الجلسة غير صالح");
    } else if (amount <= mediumLimit) {
        require(verifyPasskey(signature, deviceA), "FaceID مطلوب");
    } else {
        require(verifyDoublePasskey(signature, deviceA, deviceB), "المصادقة بجهازين مطلوبة");
    }
    _transferFunds();
}

تقنية غير معروفة جيداً: Paymasters (الغاز مدفوع بواسطة التطبيق)

إحدى المشاكل الرئيسية في عالم العملات الرقمية هي الحاجة إلى الاحتفاظ بالرموز الأصلية (ETH، MATIC) لدفع "الغاز" (الرسوم). Passkeys مع Account Abstraction تحل هذه المشكلة من خلال Paymasters.

بما أن محفظتك عبارة عن عقد ذكي، يمكنها التفاعل مع وسيط يدفع الغاز بالـ ETH نيابة عنك ويخصم ما يعادله بالـ USDC. أو حتى يجعل المعاملة مجانية في إطار عرض ترويجي.

النتيجة: تجربة المستخدم تصبح مشابهة للبنك تماماً: تضغط على "إرسال"، تضع إصبعك، والسحر يحدث. لا حاجة للقلق بشأن الغاز.

مقارنة: محفظة Passkey مقابل تطبيق البنك

المستقبل: التكامل مع الهويات الحكومية

بحلول عام 2026، بدأنا نرى تكامل Passkeys مع الهويات الرقمية الحكومية (eID). هذا سيسمح بإنشاء محافظ تثق فقط بالتوقيعات التي أنشأها شريحة الحكومة في بطاقة الهوية أو جواز السفر عبر NFC.

هذا يخلق توازناً مثالياً:

• الخصوصية: البلوك تشين لا يعرف اسمك، يرى فقط التوقيع الصالح.
• الموثوقية: لن تفقد الوصول إلى أصولك طالما لديك مستند رسمي.

قائمة تحقق عملية للانتقال إلى Passkeys:

• إنشاء محفظة الجيل الجديد: جرّب Clave أو Braavos أو Coinbase Wallet (نسخة Smart Wallet).
• إعداد النسخ الاحتياطية: تأكد من أن iCloud أو حساب Google محمي بـ 2FA (يفضل مفتاح مادي مثل YubiKey).
• إضافة "Guardian": إذا كانت المحفظة تدعم الاسترداد الاجتماعي، أضف عنوانك الثاني أو عنوان شخص موثوق لاستعادة الوصول.
• اختبار الحدود: ضع حدود إنفاق يومية تلقائية — هذا يحمي أموالك حتى إذا أجبرك شخص على فتح هاتفك بالقوة.

الخلاصة

Passkeys ليست مجرد بديل عملي لجمل الاسترداد. إنها تمثل تحولاً أساسياً في الأمان. لقد انتقلنا من "الأمان عن طريق التذكر" إلى "الأمان عن طريق الرياضيات والشرائح المادية". اليوم، امتلاك ملايين في العملات الرقمية باستخدام هاتف ذكي عادي أكثر أماناً من الاحتفاظ بها في بنك يعتمد على بروتوكولات قديمة والعامل البشري.