مؤخراً، أصبحت "احتيالات التوقيع" هي الأسلوب المفضل للاختراق في Web3. على الرغم من أن خبراء الأمن وشركات المحافظ يواصلون نشر الوعي حول هذا الموضوع، لا يزال العديد من المستخدمين يقعون في الفخ كل يوم. أحد الأسباب الرئيسية وراء ذلك هو أن معظم الناس يفتقرون إلى الفهم الأساسي لمبادئ التفاعل مع المحافظ، وأنه بالنسبة لغير المتمكنين من التقنية، فإن عتبة التعلم مرتفعة.
لمساعدة المزيد من الناس على فهم هذه المشكلة، ستقوم هذه المقالة باستكشاف المنطق الأساسي لعملية تصيد التوقيع بطريقة توضيحية، وستحاول شرح ذلك بلغة بسيطة وسهلة الفهم.
أولاً، نحتاج إلى فهم أن هناك عمليتين رئيسيتين عند استخدام المحفظة: "التوقيع" و"التفاعل". ببساطة، يحدث التوقيع خارج سلسلة الكتل (خارج السلسلة) دون الحاجة لدفع رسوم الغاز؛ بينما يحدث التفاعل على سلسلة الكتل (داخل السلسلة) ويتطلب دفع رسوم الغاز.
تُستخدم التوقيعات عادةً للتحقق من الهوية، مثل تسجيل الدخول إلى المحفظة. عندما تريد تبادل الرموز على DEX، تحتاج أولاً إلى ربط المحفظة، وفي هذه الحالة تحتاج إلى توقيع لإثبات أنك مالك تلك المحفظة. هذه العملية لن تُحدث أي بيانات أو تغييرات في حالة blockchain، لذلك لا حاجة لدفع أي رسوم.
التفاعل يحدث عند تنفيذ العمليات الفعلية. على سبيل المثال، عندما تريد تبادل الرموز على DEX، تحتاج أولاً إلى دفع رسوم لإبلاغ العقد الذكي: "أوافق على السماح لك باستخدام 100USDT الخاصة بي"، وتسمى هذه الخطوة التفويض (approve). ثم تحتاج إلى دفع رسوم أخرى لإبلاغ العقد الذكي: "الآن ابدأ في تنفيذ عملية التبادل"، وبعد ذلك تكون قد أكملت عملية تبادل 100USDT بعملات رمزية أخرى.
بعد فهم الفرق بين التوقيع والتفاعل، دعونا نقدم ثلاثة أنواع شائعة من طرق الاحتيال: احتيال التفويض، احتيال توقيع التصريح، واحتيال توقيع التصريح 2.
تُعتبر عمليات الاحتيال المصرح بها واحدة من أكثر طرق الاحتيال شيوعًا في Web3. يقوم المتسللون بإنشاء موقع ويب مزيف يتنكر كمشروع NFT، حيث يوجد عادةً زر "استلام التوزيع" بارز في وسط الصفحة. عندما ينقر المستخدم عليه، فإن واجهة محفظة النقود المنبثقة تطلب في الواقع من المستخدم تفويض نقل الرموز إلى عنوان المتسلل. إذا أكد المستخدم العملية، سيتمكن المتسلل من الحصول على أصول المستخدم بنجاح.
ومع ذلك، فإن التصيد الاحتيالي المعتمد لديه نقطة ضعف: نظرًا لأنه يتطلب دفع رسوم الغاز، فإن العديد من المستخدمين يصبحون أكثر حذرًا عند إجراء العمليات المالية، ويمكنهم اكتشاف الشذوذ بسهولة نسبيًا مع القليل من الانتباه، مما يجعل من السهل نسبيًا الوقاية منه.
تعتبر عملية التصيد باستخدام توقيعات Permit و Permit2 منطقة شديدة الخطورة على أمان الأصول في Web3. إن صعوبة الحماية من هذه الطريقة ناتجة عن ضرورة توقيع المستخدم للدخول إلى المحفظة قبل استخدام تطبيقات DApp. لقد تشكل لدى الكثيرين فكرة "هذا الإجراء آمن" كعادة، بالإضافة إلى عدم الحاجة لدفع رسوم، وكون معظم الناس لا يفهمون المعنى الكامن وراء كل توقيع، مما يجعل هذه الطريقة في التصيد خطيرة بشكل خاص.
آلية Permit هي توسعة لوظيفة التفويض بموجب معيار ERC-20. ببساطة، إنها تسمح لك بالموافقة على الآخرين لنقل الرموز المميزة الخاصة بك من خلال التوقيع. على عكس التفويض التقليدي، يتم التوقيع على "إيصال" يسمح لشخص ما بنقل رموزك المميزة. يمكن لحامل هذا "الإيصال" دفع رسوم الغاز لعقد ذكي، لإبلاغ العقد: "إنه يسمح لي بنقل رموزه المميزة"، مما يسهل نقل الأصول. في هذه العملية، قام المستخدم فقط بالتوقيع، ولكنه في الواقع سمح للآخرين باستدعاء التفويض ونقل الرموز المميزة. يمكن للقراصنة إنشاء مواقع تصيد، واستبدال زر تسجيل الدخول بمحفظة زر تصيد Permit، للحصول بسهولة على أصول المستخدم.
Permits2 ليس وظيفة ERC-20، بل هو ميزة أطلقتها بعض منصات التداول اللامركزية (DEX) لتحسين تجربة المستخدم. يسمح للمستخدمين بتفويض مبلغ كبير مرة واحدة للمنصة، وبعد ذلك يتطلب كل صفقة توقيعًا فقط، حيث يقوم عقد Permit2 بدفع رسوم الغاز (تُخصم من الرموز التي تم استبدالها في النهاية). ومع ذلك، لكي يصبح المستخدم ضحية للاحتيال من خلال Permit2، يجب أن يكون قد استخدم هذه المنصة من قبل، ومنح تفويضًا غير محدود لعقد Permit2 الذكي. نظرًا لأن الإعداد الافتراضي لهذه المنصة هو تفويض غير محدود، فإن عدد المستخدمين الذين يستوفون هذا الشرط كبير جدًا.
باختصار، فإن التصيد المصرح به هو في الأساس أن المستخدم يدفع رسومًا لإبلاغ العقد الذكي: "أوافق على أن تقوم بنقل رموزي إلى المتسلل". أما التصيد بالتوقيع، فهو عندما يوقع المستخدم "شهادة" تسمح للآخرين بنقل الأصول إلى المتسلل، ثم يدفع المتسلل رسومًا لإبلاغ العقد الذكي: "أريد أن أنقل رموزه لنفسي". تعتبر Permit وPermit2 من المناطق ذات النشاط العالي في التصيد بالتوقيع حاليًا، حيث أن Permit هو وظيفة توسيع تفويض ERC-20، بينما Permit2 هي وظيفة جديدة أطلقتها بعض منصات التداول اللامركزية.
إذن، كيف يمكن الحماية من هذه الهجمات الاحتيالية؟
من الضروري تعزيز الوعي بالأمان. يجب عليك التحقق بعناية مما تقوم به في كل مرة تقوم فيها بعمليات المحفظة.
فصل الأموال الكبيرة عن محفظة الاستخدام اليومي لتقليل الخسائر المحتملة.
تعلم كيفية التعرف على تنسيق توقيع Permit و Permit2. عندما ترى توقيعًا يحتوي على المعلومات التالية، يجب أن تكون حذرًا بشكل خاص:
Interactive:رابط تفاعلي
المالك:عنوان الجهة المخولة
Spender: عنوان الطرف المخول
القيمة: كمية التفويض
Nonce: رقم عشوائي
Deadline:موعد انتهاء الصلاحية
من خلال فهم هذه المبادئ الأساسية واتخاذ التدابير الوقائية المناسبة، يمكننا حماية أصول Web3 الخاصة بنا بشكل أفضل.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 12
أعجبني
12
6
مشاركة
تعليق
0/400
MemeCurator
· منذ 12 س
مرة أخرى تم اصطياد الحمقى
شاهد النسخة الأصليةرد0
AlgoAlchemist
· منذ 12 س
يجب على المبتدئين معرفة كيفية الحماية من الاحتيال، لكن الحمقى لا يزالون ينخدعون.
شاهد النسخة الأصليةرد0
MEVHunterZhang
· منذ 12 س
مرة أخرى تم خداعي وفقدت بعض الآلاف.
شاهد النسخة الأصليةرد0
WalletDetective
· منذ 12 س
هل تم سرقته مرة أخرى؟ لا عجب في ذلك، لم أتحقق بعناية من محتوى التوقيع.
شاهد النسخة الأصليةرد0
OnchainArchaeologist
· منذ 12 س
又被 خداع الناس لتحقيق الربح啦 根本学不会
شاهد النسخة الأصليةرد0
SolidityNewbie
· منذ 12 س
خداع الناس لتحقيق الربح مرة واحدة تجعل الشخص يتعلم الدرس
تحليل متعمق للتصيد الاحتيالي لتوقيع Web3: استراتيجيات تحديد المخاطر والوقاية منها
تحليل المنطق الأساسي للاحتيال بتوقيع Web3
مؤخراً، أصبحت "احتيالات التوقيع" هي الأسلوب المفضل للاختراق في Web3. على الرغم من أن خبراء الأمن وشركات المحافظ يواصلون نشر الوعي حول هذا الموضوع، لا يزال العديد من المستخدمين يقعون في الفخ كل يوم. أحد الأسباب الرئيسية وراء ذلك هو أن معظم الناس يفتقرون إلى الفهم الأساسي لمبادئ التفاعل مع المحافظ، وأنه بالنسبة لغير المتمكنين من التقنية، فإن عتبة التعلم مرتفعة.
لمساعدة المزيد من الناس على فهم هذه المشكلة، ستقوم هذه المقالة باستكشاف المنطق الأساسي لعملية تصيد التوقيع بطريقة توضيحية، وستحاول شرح ذلك بلغة بسيطة وسهلة الفهم.
أولاً، نحتاج إلى فهم أن هناك عمليتين رئيسيتين عند استخدام المحفظة: "التوقيع" و"التفاعل". ببساطة، يحدث التوقيع خارج سلسلة الكتل (خارج السلسلة) دون الحاجة لدفع رسوم الغاز؛ بينما يحدث التفاعل على سلسلة الكتل (داخل السلسلة) ويتطلب دفع رسوم الغاز.
تُستخدم التوقيعات عادةً للتحقق من الهوية، مثل تسجيل الدخول إلى المحفظة. عندما تريد تبادل الرموز على DEX، تحتاج أولاً إلى ربط المحفظة، وفي هذه الحالة تحتاج إلى توقيع لإثبات أنك مالك تلك المحفظة. هذه العملية لن تُحدث أي بيانات أو تغييرات في حالة blockchain، لذلك لا حاجة لدفع أي رسوم.
التفاعل يحدث عند تنفيذ العمليات الفعلية. على سبيل المثال، عندما تريد تبادل الرموز على DEX، تحتاج أولاً إلى دفع رسوم لإبلاغ العقد الذكي: "أوافق على السماح لك باستخدام 100USDT الخاصة بي"، وتسمى هذه الخطوة التفويض (approve). ثم تحتاج إلى دفع رسوم أخرى لإبلاغ العقد الذكي: "الآن ابدأ في تنفيذ عملية التبادل"، وبعد ذلك تكون قد أكملت عملية تبادل 100USDT بعملات رمزية أخرى.
بعد فهم الفرق بين التوقيع والتفاعل، دعونا نقدم ثلاثة أنواع شائعة من طرق الاحتيال: احتيال التفويض، احتيال توقيع التصريح، واحتيال توقيع التصريح 2.
تُعتبر عمليات الاحتيال المصرح بها واحدة من أكثر طرق الاحتيال شيوعًا في Web3. يقوم المتسللون بإنشاء موقع ويب مزيف يتنكر كمشروع NFT، حيث يوجد عادةً زر "استلام التوزيع" بارز في وسط الصفحة. عندما ينقر المستخدم عليه، فإن واجهة محفظة النقود المنبثقة تطلب في الواقع من المستخدم تفويض نقل الرموز إلى عنوان المتسلل. إذا أكد المستخدم العملية، سيتمكن المتسلل من الحصول على أصول المستخدم بنجاح.
ومع ذلك، فإن التصيد الاحتيالي المعتمد لديه نقطة ضعف: نظرًا لأنه يتطلب دفع رسوم الغاز، فإن العديد من المستخدمين يصبحون أكثر حذرًا عند إجراء العمليات المالية، ويمكنهم اكتشاف الشذوذ بسهولة نسبيًا مع القليل من الانتباه، مما يجعل من السهل نسبيًا الوقاية منه.
تعتبر عملية التصيد باستخدام توقيعات Permit و Permit2 منطقة شديدة الخطورة على أمان الأصول في Web3. إن صعوبة الحماية من هذه الطريقة ناتجة عن ضرورة توقيع المستخدم للدخول إلى المحفظة قبل استخدام تطبيقات DApp. لقد تشكل لدى الكثيرين فكرة "هذا الإجراء آمن" كعادة، بالإضافة إلى عدم الحاجة لدفع رسوم، وكون معظم الناس لا يفهمون المعنى الكامن وراء كل توقيع، مما يجعل هذه الطريقة في التصيد خطيرة بشكل خاص.
آلية Permit هي توسعة لوظيفة التفويض بموجب معيار ERC-20. ببساطة، إنها تسمح لك بالموافقة على الآخرين لنقل الرموز المميزة الخاصة بك من خلال التوقيع. على عكس التفويض التقليدي، يتم التوقيع على "إيصال" يسمح لشخص ما بنقل رموزك المميزة. يمكن لحامل هذا "الإيصال" دفع رسوم الغاز لعقد ذكي، لإبلاغ العقد: "إنه يسمح لي بنقل رموزه المميزة"، مما يسهل نقل الأصول. في هذه العملية، قام المستخدم فقط بالتوقيع، ولكنه في الواقع سمح للآخرين باستدعاء التفويض ونقل الرموز المميزة. يمكن للقراصنة إنشاء مواقع تصيد، واستبدال زر تسجيل الدخول بمحفظة زر تصيد Permit، للحصول بسهولة على أصول المستخدم.
Permits2 ليس وظيفة ERC-20، بل هو ميزة أطلقتها بعض منصات التداول اللامركزية (DEX) لتحسين تجربة المستخدم. يسمح للمستخدمين بتفويض مبلغ كبير مرة واحدة للمنصة، وبعد ذلك يتطلب كل صفقة توقيعًا فقط، حيث يقوم عقد Permit2 بدفع رسوم الغاز (تُخصم من الرموز التي تم استبدالها في النهاية). ومع ذلك، لكي يصبح المستخدم ضحية للاحتيال من خلال Permit2، يجب أن يكون قد استخدم هذه المنصة من قبل، ومنح تفويضًا غير محدود لعقد Permit2 الذكي. نظرًا لأن الإعداد الافتراضي لهذه المنصة هو تفويض غير محدود، فإن عدد المستخدمين الذين يستوفون هذا الشرط كبير جدًا.
باختصار، فإن التصيد المصرح به هو في الأساس أن المستخدم يدفع رسومًا لإبلاغ العقد الذكي: "أوافق على أن تقوم بنقل رموزي إلى المتسلل". أما التصيد بالتوقيع، فهو عندما يوقع المستخدم "شهادة" تسمح للآخرين بنقل الأصول إلى المتسلل، ثم يدفع المتسلل رسومًا لإبلاغ العقد الذكي: "أريد أن أنقل رموزه لنفسي". تعتبر Permit وPermit2 من المناطق ذات النشاط العالي في التصيد بالتوقيع حاليًا، حيث أن Permit هو وظيفة توسيع تفويض ERC-20، بينما Permit2 هي وظيفة جديدة أطلقتها بعض منصات التداول اللامركزية.
إذن، كيف يمكن الحماية من هذه الهجمات الاحتيالية؟
من الضروري تعزيز الوعي بالأمان. يجب عليك التحقق بعناية مما تقوم به في كل مرة تقوم فيها بعمليات المحفظة.
فصل الأموال الكبيرة عن محفظة الاستخدام اليومي لتقليل الخسائر المحتملة.
تعلم كيفية التعرف على تنسيق توقيع Permit و Permit2. عندما ترى توقيعًا يحتوي على المعلومات التالية، يجب أن تكون حذرًا بشكل خاص:
من خلال فهم هذه المبادئ الأساسية واتخاذ التدابير الوقائية المناسبة، يمكننا حماية أصول Web3 الخاصة بنا بشكل أفضل.