عالم البلوكتشين تهديدات جديدة: بروتوكول يتحول إلى أدوات احتيال
تقوم العملات المشفرة وتقنية البلوكتشين بإعادة تشكيل مفهوم الحرية المالية، ولكن هذه الثورة جلبت أيضًا تحديات جديدة. لم يعد المحتالون مقتصرين على استغلال الثغرات التقنية، بل قاموا بتحويل بروتوكول العقود الذكية في البلوكتشين نفسه إلى وسيلة للهجوم. من خلال فخاخ الهندسة الاجتماعية المصممة بعناية، يستغلون شفافية البلوكتشين وخصائصه غير القابلة للعكس، محولين ثقة المستخدمين إلى أداة لسرقة الأصول. بدءًا من تزوير العقود الذكية إلى التلاعب بالمعاملات عبر السلاسل، هذه الهجمات ليست فقط خفية وصعبة الاكتشاف، بل هي أيضًا أكثر خداعًا بسبب مظهرها "الشرعي". ستقوم هذه المقالة من خلال تحليل حالات حقيقية، بكشف كيفية تحويل المحتالين للبروتوكول إلى وسيلة للاعتداء، وتقديم حلول شاملة من الحماية التقنية إلى الوقاية السلوكية، لمساعدتك على السير بأمان في عالم اللامركزية.
1. كيف يمكن أن يصبح البروتوكول أداة احتيال؟
يجب أن تضمن بروتوكولات البلوكتشين الأمان والثقة، ولكن المحتالين يستغلون خصائصها، جنبًا إلى جنب مع إهمال المستخدمين، لخلق طرق هجوم خفية متعددة. فيما يلي بعض الأساليب وشرح التفاصيل التقنية لها:
(1) تفويض العقد الذكي الضار
المبادئ التقنية:
في البلوكتشين مثل الإيثيريوم، يتيح معيار رموز ERC-20 للمستخدمين من خلال وظيفة "Approve" تفويض طرف ثالث (عادةً ما يكون عقدًا ذكيًا) لسحب كمية محددة من الرموز من محفظتهم. تُستخدم هذه الوظيفة على نطاق واسع في بروتوكولات DeFi، حيث يحتاج المستخدمون إلى تفويض العقود الذكية لإجراء المعاملات أو الرهان أو تعدين السيولة. ومع ذلك، يستغل المحتالون هذه الآلية لتصميم عقود خبيثة.
طريقة العمل:
ينشئ المحتالون تطبيقًا لامركزيًا يتظاهر بأنه مشروع شرعي، عادةً ما يتم الترويج له من خلال مواقع التصيد أو وسائل التواصل الاجتماعي. يقوم المستخدمون بتوصيل محفظتهم ويتم إغواؤهم بالنقر على "Approve"، الذي يبدو أنه يصرح بعدد قليل من الرموز، ولكن في الواقع قد يكون بحد غير محدود. بمجرد اكتمال التفويض، يحصل عنوان عقد المحتالين على إذن لاستدعاء وظيفة "TransferFrom" في أي وقت، لسحب جميع الرموز المقابلة من محفظة المستخدم.
حالات حقيقية:
في بداية عام 2023، أدى موقع تصيد احتيالي متنكّر في شكل "ترقية Uniswap V3" إلى خسارة مئات المستخدمين لملايين الدولارات من USDT و ETH. تُظهر البيانات على البلوكتشين أن هذه المعاملات تتوافق تمامًا مع معيار ERC-20، ولم يتمكن الضحايا حتى من استرداد أموالهم من خلال الوسائل القانونية، لأن التفويض تم التوقيع عليه طواعية.
(2) توقيع التصيد
المبادئ التقنية:
تتطلب معاملات البلوكتشين من المستخدمين إنشاء توقيع باستخدام المفتاح الخاص لإثبات شرعية المعاملة. عادةً ما تظهر المحفظة طلب توقيع، وبعد تأكيد المستخدم، يتم بث المعاملة إلى الشبكة. يستغل المحتالون هذه العملية لتزوير طلبات التوقيع وسرقة الأصول.
طريقة التشغيل:
يتلقى المستخدم رسالة بريد إلكتروني أو رسالة تتنكر كإشعار رسمي، مثل "الـNFT الخاص بك في انتظار الاستلام، يرجى التحقق من المحفظة". بعد النقر على الرابط، يتم توجيه المستخدم إلى موقع ضار، يطلب منه توصيل المحفظة والتوقيع على "صفقة التحقق". قد تكون هذه الصفقة في الواقع استدعاء لدالة "Transfer"، تحول مباشرة ETH أو الرموز من المحفظة إلى عنوان المحتال؛ أو عملية "SetApprovalForAll"، التي تمنح المحتال السيطرة على مجموعة الـNFT الخاصة بالمستخدم.
حالات حقيقية:
تعرضت مجتمع NFT مشهور لهجوم تصيد توقيع، حيث فقد العديد من المستخدمين NFTs بقيمة ملايين الدولارات بسبب توقيعهم على معاملات "استلام الإعلانات" المزيفة. استغل المهاجمون معيار توقيع EIP-712 لتزوير طلبات تبدو آمنة.
(3) الرموز المزيفة و"هجوم الغبار"
مبدأ التكنولوجيا:
تسمح علنية البلوكتشين لأي شخص بإرسال الرموز إلى أي عنوان، حتى لو لم يطلب المستلم ذلك بشكل نشط. يستغل المحتالون هذه النقطة من خلال إرسال كميات صغيرة من العملات المشفرة إلى عدة عناوين محفظة، لتعقب نشاط المحفظة وربطها بالأفراد أو الشركات المالكة للمحفظة.
طريقة العمل :
يُرسل المهاجمون كميات صغيرة من العملات المشفرة إلى عناوين مختلفة، ثم يحاولون معرفة أي من هذه العناوين تنتمي إلى نفس المحفظة. في معظم الحالات، يتم توزيع هذه "الفتات" على شكل إيردروب إلى محافظ المستخدمين، وقد تحمل أسماء أو بيانات وصفية جذابة، مما يحفز المستخدمين على زيارة مواقع معينة للاستفسار عن التفاصيل. عندما يحاول المستخدمون تحويل هذه الرموز إلى عملة، يمكن للمهاجمين الوصول إلى محفظة المستخدم عبر عنوان العقد المرفق بالرموز. والأكثر سرية، أن هجوم الفتات يمكن أن يتم من خلال الهندسة الاجتماعية، من خلال تحليل المعاملات اللاحقة للمستخدم، وتحديد عناوين المحافظ النشطة لديهم، مما ينفذ احتيالات أكثر دقة.
حالات حقيقية:
ظهرت هجمات غبار "رموز GAS" على شبكة إيثريوم، مما أثر على آلاف المحفظات. فقد بعض المستخدمين ETH و رموز ERC-20 بسبب الفضول والتفاعل.
ثانيا، لماذا يصعب اكتشاف هذه الاحتيالات؟
تنجح هذه الاحتيالات إلى حد كبير لأنها تختبئ داخل الآليات القانونية للبلوكتشين، مما يجعل من الصعب على المستخدمين العاديين التمييز بين طبيعتها الخبيثة. فيما يلي بعض الأسباب الرئيسية:
تعقيد التكنولوجيا: يعتبر كود العقد الذكي وطلبات التوقيع غامضة بالنسبة للمستخدمين غير التقنيين. على سبيل المثال، قد يظهر طلب "Approve" كسلسلة من البيانات السداسية العشرية، مما يجعل من الصعب على المستخدمين فهم معناه بشكل مباشر.
الشرعية على البلوكتشين: يتم تسجيل جميع المعاملات على البلوكتشين، ويبدو أنها شفافة، ولكن الضحايا غالبًا ما يدركون عواقب التفويض أو التوقيع بعد فوات الأوان، وفي هذه المرحلة لا يمكن استرداد الأصول.
الهندسة الاجتماعية: يستغل المحتالون نقاط ضعف الإنسانية، مثل الجشع أو الخوف أو الثقة.
تخفي متقن: قد تستخدم مواقع التصيد URLs مشابهة للاسم الرسمي، وحتى تعزز المصداقية من خلال شهادة HTTPS.
٣. كيف تحمي محفظة العملات المشفرة الخاصة بك؟
في مواجهة هذه الحيل التي تتواجد فيها الحروب النفسية والتقنية، تحتاج حماية الأصول إلى استراتيجيات متعددة المستويات. فيما يلي تدابير الوقاية التفصيلية:
تحقق وإدارة صلاحيات التفويض
استخدم أداة فحص التفويض في مستعرض البلوكتشين للتحقق من سجلات التفويض في المحفظة بانتظام.
إلغاء التفويضات غير الضرورية، خاصةً التفويضات غير المحدودة للعناوين غير المعروفة.
قبل كل تفويض، تأكد من أن DApp يأتي من مصدر موثوق.
تحقق من قيمة "Allowance"، إذا كانت "غير محدودة"، يجب إلغاؤها على الفور.
تحقق من الرابط والمصدر
أدخل عنوان URL الرسمي يدويًا، وتجنب النقر على الروابط في وسائل التواصل الاجتماعي أو البريد الإلكتروني.
تأكد من أن الموقع يستخدم اسم النطاق الصحيح وشهادة SSL.
كن حذرًا من الأخطاء الإملائية أو الأحرف الزائدة في أسماء النطاقات.
استخدام المحفظة الباردة والتوقيع المتعدد
قم بتخزين معظم الأصول في محفظة الأجهزة، واتصل بالشبكة فقط عند الضرورة.
بالنسبة للأصول الكبيرة، استخدم أدوات التوقيع المتعدد، واطلب تأكيد المعاملات من مفاتيح متعددة.
التعامل بحذر مع طلبات التوقيع
اقرأ بعناية تفاصيل المعاملة في نافذة المحفظة المنبثقة.
استخدم وظيفة تحليل متصفح البلوكتشين لفهم محتوى التوقيع، أو استشر خبيراً تقنياً.
إنشاء محفظة مستقلة للعمليات عالية المخاطر، وتخزين كمية صغيرة من الأصول.
مواجهة هجمات الغبار
بعد استلام رموز غير معروفة، لا تتفاعل معها. قم بتمييزها ك"نفايات" أو إخفائها.
تأكد من مصدر التوكنات من خلال متصفح البلوكتشين، إذا كانت للإرسال بالجملة، كن في غاية الحذر.
تجنب الكشف عن عنوان المحفظة، أو استخدام عنوان جديد لإجراء عمليات حساسة.
الخاتمة
يمكن أن تقلل تنفيذ التدابير الأمنية المذكورة أعلاه بشكل كبير من خطر أن تصبح ضحية لبرامج الاحتيال المتقدمة، ولكن الأمان الحقيقي لا يعتمد فقط على التكنولوجيا. عندما يبني محفظة الأجهزة خط دفاع مادي، وتوزع التوقيعات المتعددة المخاطر، فإن فهم المستخدم لمنطق التفويض، والحرص على السلوك على البلوكتشين، هو آخر حصن ضد الهجمات. كل تحليل للبيانات قبل التوقيع، وكل مراجعة للصلاحيات بعد التفويض، هي قسم على السيادة الرقمية الخاصة.
في المستقبل، بغض النظر عن كيفية تطور التكنولوجيا، تظل الخط الدفاعي الأساسية تكمن في: دمج الوعي بالأمان كعادة، والحفاظ على التوازن بين الثقة والتحقق. في عالم البلوكتشين حيث يكون القانون هو الكود، يتم تسجيل كل نقرة، وكل معاملة بشكل دائم، ولا يمكن تغييرها. يجب أن نبقى يقظين ونتصرف بحذر لنتمكن من السير بأمان في هذا العالم الجديد المليء بالفرص والمخاطر.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 11
أعجبني
11
4
مشاركة
تعليق
0/400
BasementAlchemist
· 07-19 00:30
لقد ظهرت طرق احتيال جديدة مرة أخرى
شاهد النسخة الأصليةرد0
MemeCurator
· 07-17 23:41
حقًا أشعر بالإحباط، الجميع مشغول بعالم العملات الرقمية، حتى المحتالين مشغولين.
البلوكتشين بروتوكول تدهور إلى أدوات الاحتيال: تحليل التهديدات الجديدة مثل تفويض العقود الذكية، وصيد التوقيعات.
عالم البلوكتشين تهديدات جديدة: بروتوكول يتحول إلى أدوات احتيال
تقوم العملات المشفرة وتقنية البلوكتشين بإعادة تشكيل مفهوم الحرية المالية، ولكن هذه الثورة جلبت أيضًا تحديات جديدة. لم يعد المحتالون مقتصرين على استغلال الثغرات التقنية، بل قاموا بتحويل بروتوكول العقود الذكية في البلوكتشين نفسه إلى وسيلة للهجوم. من خلال فخاخ الهندسة الاجتماعية المصممة بعناية، يستغلون شفافية البلوكتشين وخصائصه غير القابلة للعكس، محولين ثقة المستخدمين إلى أداة لسرقة الأصول. بدءًا من تزوير العقود الذكية إلى التلاعب بالمعاملات عبر السلاسل، هذه الهجمات ليست فقط خفية وصعبة الاكتشاف، بل هي أيضًا أكثر خداعًا بسبب مظهرها "الشرعي". ستقوم هذه المقالة من خلال تحليل حالات حقيقية، بكشف كيفية تحويل المحتالين للبروتوكول إلى وسيلة للاعتداء، وتقديم حلول شاملة من الحماية التقنية إلى الوقاية السلوكية، لمساعدتك على السير بأمان في عالم اللامركزية.
1. كيف يمكن أن يصبح البروتوكول أداة احتيال؟
يجب أن تضمن بروتوكولات البلوكتشين الأمان والثقة، ولكن المحتالين يستغلون خصائصها، جنبًا إلى جنب مع إهمال المستخدمين، لخلق طرق هجوم خفية متعددة. فيما يلي بعض الأساليب وشرح التفاصيل التقنية لها:
(1) تفويض العقد الذكي الضار
المبادئ التقنية:
في البلوكتشين مثل الإيثيريوم، يتيح معيار رموز ERC-20 للمستخدمين من خلال وظيفة "Approve" تفويض طرف ثالث (عادةً ما يكون عقدًا ذكيًا) لسحب كمية محددة من الرموز من محفظتهم. تُستخدم هذه الوظيفة على نطاق واسع في بروتوكولات DeFi، حيث يحتاج المستخدمون إلى تفويض العقود الذكية لإجراء المعاملات أو الرهان أو تعدين السيولة. ومع ذلك، يستغل المحتالون هذه الآلية لتصميم عقود خبيثة.
طريقة العمل:
ينشئ المحتالون تطبيقًا لامركزيًا يتظاهر بأنه مشروع شرعي، عادةً ما يتم الترويج له من خلال مواقع التصيد أو وسائل التواصل الاجتماعي. يقوم المستخدمون بتوصيل محفظتهم ويتم إغواؤهم بالنقر على "Approve"، الذي يبدو أنه يصرح بعدد قليل من الرموز، ولكن في الواقع قد يكون بحد غير محدود. بمجرد اكتمال التفويض، يحصل عنوان عقد المحتالين على إذن لاستدعاء وظيفة "TransferFrom" في أي وقت، لسحب جميع الرموز المقابلة من محفظة المستخدم.
حالات حقيقية:
في بداية عام 2023، أدى موقع تصيد احتيالي متنكّر في شكل "ترقية Uniswap V3" إلى خسارة مئات المستخدمين لملايين الدولارات من USDT و ETH. تُظهر البيانات على البلوكتشين أن هذه المعاملات تتوافق تمامًا مع معيار ERC-20، ولم يتمكن الضحايا حتى من استرداد أموالهم من خلال الوسائل القانونية، لأن التفويض تم التوقيع عليه طواعية.
(2) توقيع التصيد
المبادئ التقنية:
تتطلب معاملات البلوكتشين من المستخدمين إنشاء توقيع باستخدام المفتاح الخاص لإثبات شرعية المعاملة. عادةً ما تظهر المحفظة طلب توقيع، وبعد تأكيد المستخدم، يتم بث المعاملة إلى الشبكة. يستغل المحتالون هذه العملية لتزوير طلبات التوقيع وسرقة الأصول.
طريقة التشغيل:
يتلقى المستخدم رسالة بريد إلكتروني أو رسالة تتنكر كإشعار رسمي، مثل "الـNFT الخاص بك في انتظار الاستلام، يرجى التحقق من المحفظة". بعد النقر على الرابط، يتم توجيه المستخدم إلى موقع ضار، يطلب منه توصيل المحفظة والتوقيع على "صفقة التحقق". قد تكون هذه الصفقة في الواقع استدعاء لدالة "Transfer"، تحول مباشرة ETH أو الرموز من المحفظة إلى عنوان المحتال؛ أو عملية "SetApprovalForAll"، التي تمنح المحتال السيطرة على مجموعة الـNFT الخاصة بالمستخدم.
حالات حقيقية:
تعرضت مجتمع NFT مشهور لهجوم تصيد توقيع، حيث فقد العديد من المستخدمين NFTs بقيمة ملايين الدولارات بسبب توقيعهم على معاملات "استلام الإعلانات" المزيفة. استغل المهاجمون معيار توقيع EIP-712 لتزوير طلبات تبدو آمنة.
(3) الرموز المزيفة و"هجوم الغبار"
مبدأ التكنولوجيا:
تسمح علنية البلوكتشين لأي شخص بإرسال الرموز إلى أي عنوان، حتى لو لم يطلب المستلم ذلك بشكل نشط. يستغل المحتالون هذه النقطة من خلال إرسال كميات صغيرة من العملات المشفرة إلى عدة عناوين محفظة، لتعقب نشاط المحفظة وربطها بالأفراد أو الشركات المالكة للمحفظة.
طريقة العمل :
يُرسل المهاجمون كميات صغيرة من العملات المشفرة إلى عناوين مختلفة، ثم يحاولون معرفة أي من هذه العناوين تنتمي إلى نفس المحفظة. في معظم الحالات، يتم توزيع هذه "الفتات" على شكل إيردروب إلى محافظ المستخدمين، وقد تحمل أسماء أو بيانات وصفية جذابة، مما يحفز المستخدمين على زيارة مواقع معينة للاستفسار عن التفاصيل. عندما يحاول المستخدمون تحويل هذه الرموز إلى عملة، يمكن للمهاجمين الوصول إلى محفظة المستخدم عبر عنوان العقد المرفق بالرموز. والأكثر سرية، أن هجوم الفتات يمكن أن يتم من خلال الهندسة الاجتماعية، من خلال تحليل المعاملات اللاحقة للمستخدم، وتحديد عناوين المحافظ النشطة لديهم، مما ينفذ احتيالات أكثر دقة.
حالات حقيقية:
ظهرت هجمات غبار "رموز GAS" على شبكة إيثريوم، مما أثر على آلاف المحفظات. فقد بعض المستخدمين ETH و رموز ERC-20 بسبب الفضول والتفاعل.
ثانيا، لماذا يصعب اكتشاف هذه الاحتيالات؟
تنجح هذه الاحتيالات إلى حد كبير لأنها تختبئ داخل الآليات القانونية للبلوكتشين، مما يجعل من الصعب على المستخدمين العاديين التمييز بين طبيعتها الخبيثة. فيما يلي بعض الأسباب الرئيسية:
تعقيد التكنولوجيا: يعتبر كود العقد الذكي وطلبات التوقيع غامضة بالنسبة للمستخدمين غير التقنيين. على سبيل المثال، قد يظهر طلب "Approve" كسلسلة من البيانات السداسية العشرية، مما يجعل من الصعب على المستخدمين فهم معناه بشكل مباشر.
الشرعية على البلوكتشين: يتم تسجيل جميع المعاملات على البلوكتشين، ويبدو أنها شفافة، ولكن الضحايا غالبًا ما يدركون عواقب التفويض أو التوقيع بعد فوات الأوان، وفي هذه المرحلة لا يمكن استرداد الأصول.
الهندسة الاجتماعية: يستغل المحتالون نقاط ضعف الإنسانية، مثل الجشع أو الخوف أو الثقة.
تخفي متقن: قد تستخدم مواقع التصيد URLs مشابهة للاسم الرسمي، وحتى تعزز المصداقية من خلال شهادة HTTPS.
٣. كيف تحمي محفظة العملات المشفرة الخاصة بك؟
في مواجهة هذه الحيل التي تتواجد فيها الحروب النفسية والتقنية، تحتاج حماية الأصول إلى استراتيجيات متعددة المستويات. فيما يلي تدابير الوقاية التفصيلية:
تحقق وإدارة صلاحيات التفويض
تحقق من الرابط والمصدر
استخدام المحفظة الباردة والتوقيع المتعدد
التعامل بحذر مع طلبات التوقيع
مواجهة هجمات الغبار
الخاتمة
يمكن أن تقلل تنفيذ التدابير الأمنية المذكورة أعلاه بشكل كبير من خطر أن تصبح ضحية لبرامج الاحتيال المتقدمة، ولكن الأمان الحقيقي لا يعتمد فقط على التكنولوجيا. عندما يبني محفظة الأجهزة خط دفاع مادي، وتوزع التوقيعات المتعددة المخاطر، فإن فهم المستخدم لمنطق التفويض، والحرص على السلوك على البلوكتشين، هو آخر حصن ضد الهجمات. كل تحليل للبيانات قبل التوقيع، وكل مراجعة للصلاحيات بعد التفويض، هي قسم على السيادة الرقمية الخاصة.
في المستقبل، بغض النظر عن كيفية تطور التكنولوجيا، تظل الخط الدفاعي الأساسية تكمن في: دمج الوعي بالأمان كعادة، والحفاظ على التوازن بين الثقة والتحقق. في عالم البلوكتشين حيث يكون القانون هو الكود، يتم تسجيل كل نقرة، وكل معاملة بشكل دائم، ولا يمكن تغييرها. يجب أن نبقى يقظين ونتصرف بحذر لنتمكن من السير بأمان في هذا العالم الجديد المليء بالفرص والمخاطر.