البلوكتشين والأصول الرقمية الأمان: الوقاية من تقنيات الاحتيال الجديدة
تعمل الأصول الرقمية وتقنية البلوكتشين على إعادة تشكيل مفهوم الحرية المالية، لكنها في الوقت نفسه تجلب تحديات أمنية جديدة. لم يعد المحتالون مقصورين على استغلال ثغرات تقنية، بل قاموا بذكاء بتحويل بروتوكولات العقود الذكية في البلوكتشين نفسها إلى أدوات هجومية. يستغلون فخاخ الهندسة الاجتماعية المصممة بعناية، جنبًا إلى جنب مع شفافية البلوكتشين وخصائص عدم القابلية للعكس، لتحويل ثقة المستخدمين إلى أدوات لسرقة الأصول. من تزوير العقود الذكية إلى التلاعب بالمعاملات عبر السلاسل، فإن هذه الهجمات ليست فقط خفية وصعبة الكشف، بل أيضًا أكثر خداعًا بسبب مظهرها "الشرعي".
1. كيف أصبحت الاتفاقية أداة احتيال؟
يجب أن تضمن بروتوكولات البلوكتشين الأمان والثقة، ولكن استغل المحتالون ميزاتها، جنبًا إلى جنب مع إهمال المستخدمين، لإنشاء طرق هجوم متعددة وخفية. فيما يلي بعض الأساليب الشائعة وتفاصيلها الفنية:
(1) تفويض العقود الذكية الضارة
المبادئ التقنية:
في البلوكتشين مثل الإيثيريوم، يسمح معيار رموز ERC-20 للمستخدمين بتفويض طرف ثالث (عادةً عقد ذكي) لسحب كمية معينة من الرموز من محفظتهم من خلال دالة "Approve". تُستخدم هذه الوظيفة على نطاق واسع في بروتوكولات التمويل اللامركزي (DeFi)، حيث يحتاج المستخدمون إلى تفويض العقود الذكية لإتمام المعاملات أو الرهانات أو تعدين السيولة. ومع ذلك، يستغل المحتالون هذه الآلية لتصميم عقود خبيثة.
طريقة العمل:
ينشئ المحتالون تطبيقًا لامركزيًا (DApp) يتنكر كمشروع قانوني، وعادةً ما يتم الترويج له من خلال مواقع التصيد أو وسائل التواصل الاجتماعي. يقوم المستخدمون بربط محفظتهم ويتم إغراؤهم بالنقر على "Approve"، والذي يبدو ظاهريًا كأنه تفويض لعدد قليل من العملات، ولكن في الواقع قد يكون له حد غير محدود. بمجرد الانتهاء من التفويض، يحصل عنوان عقد المحتال على إذن لاستدعاء دالة "TransferFrom" في أي وقت، لسحب جميع العملات المقابلة من محفظة المستخدم.
(2) توقيع التصيد
المبادئ التقنية:
تتطلب معاملات البلوكتشين من المستخدمين إنشاء توقيع باستخدام المفتاح الخاص لإثبات شرعية المعاملة. عادةً ما يقوم المحفظة بإظهار طلب التوقيع، وبعد تأكيد المستخدم، يتم بث المعاملة إلى الشبكة. يستغل المحتالون هذه العملية لتزوير طلبات التوقيع وسرقة الأصول.
طريقة العمل:
تلقى المستخدم بريدًا إلكترونيًا أو رسالة تتظاهر بأنها إشعار رسمي، مثل "انتظر استلام NFT الخاص بك، يرجى التحقق من المحفظة". بعد النقر على الرابط، يتم توجيه المستخدم إلى موقع ضار يطلب منه توصيل المحفظة وتوقيع "معاملة التحقق". قد تكون هذه المعاملة في الواقع استدعاءً لوظيفة "Transfer"، مما يؤدي مباشرةً إلى نقل ETH أو الرموز من المحفظة إلى عنوان المحتال؛ أو عملية "SetApprovalForAll"، مما يمنح المحتال السيطرة على مجموعة NFT الخاصة بالمستخدم.
(3) الرموز المزيفة و"هجوم الغبار"
المبادئ التقنية:
تسمح شفافية البلوكتشين لأي شخص بإرسال الرموز إلى أي عنوان، حتى لو لم يطلب المستلم ذلك بشكل نشط. يستغل المحتالون هذه النقطة من خلال إرسال كميات صغيرة من الأصول الرقمية إلى عدة عناوين محافظ، لتتبع أنشطة المحافظ وربطها بالأفراد أو الشركات التي تمتلك تلك المحافظ.
كيفية العمل:
في معظم الحالات، يتم توزيع "الغبار" المستخدم في هجمات الغبار على شكل توزيع جوي إلى محافظ المستخدمين، وقد تحمل هذه الرموز أسماء أو بيانات وصفية مغرية، مما يدفع المستخدمين لزيارة موقع معين للاستعلام عن التفاصيل. قد يحاول المستخدمون تحويل هذه الرموز إلى نقود، بينما يمكن للمهاجمين الوصول إلى محفظة المستخدم من خلال عنوان العقد المرفق بالرموز. ومن الأكثر خفاءً، تقوم هجمات الغبار من خلال الهندسة الاجتماعية، بتحليل المعاملات اللاحقة للمستخدم، لتحديد عنوان محفظة المستخدم النشط بدقة أكبر، وبالتالي تنفيذ عمليات احتيال أكثر دقة.
ثانياً، لماذا يصعب اكتشاف هذه الاحتيالات؟
هذه الاحتيالات ناجحة إلى حد كبير لأنها مخفية داخل آليات البلوكتشين الشرعية، مما يجعل من الصعب على المستخدمين العاديين التمييز بين طبيعتها الخبيثة. فيما يلي بعض الأسباب الرئيسية:
تعقيد التكنولوجيا: تعتبر أكواد العقود الذكية وطلبات التوقيع غامضة وصعبة الفهم بالنسبة للمستخدمين غير التقنيين. على سبيل المثال، قد تظهر طلبات "الموافقة" كبيانات سدل معقدة، مما يجعل من الصعب على المستخدمين فهم معناها بشكل مباشر.
الشرعية على البلوكتشين: جميع المعاملات مسجلة على البلوكتشين، مما يبدو شفافًا، لكن الضحايا غالبًا ما يدركون عواقب التفويض أو التوقيع بعد فوات الأوان، وعندها لا يمكن استرداد الأصول.
الهندسة الاجتماعية: يستغل المحتالون نقاط الضعف البشرية، مثل الجشع والخوف أو الثقة، لتصميم فخاخ احتيالية جذابة.
التمويه المتقن: قد تستخدم مواقع التصيد URL مشابه للاسم الرسمي، بل وقد تزيد من مصداقيتها من خلال شهادة HTTPS.
٣. كيف تحمي محفظة الأصول الرقمية الخاصة بك؟
في مواجهة هذه الاحتيالات التي تتواجد فيها الحروب النفسية والتقنية، تحتاج حماية الأصول إلى استراتيجيات متعددة المستويات. فيما يلي تدابير الوقاية التفصيلية:
تحقق من وإدارة صلاحيات التفويض
استخدم أدوات مهنية بانتظام للتحقق من سجلات تفويض المحفظة.
إلغاء التفويضات غير الضرورية، خاصة التفويضات غير المحدودة للعناوين غير المعروفة.
تأكد من أن DApp يأتي من مصدر موثوق قبل كل تفويض.
تحقق من قيمة "Allowance"، إذا كانت "غير محدودة"، يجب إلغاءها على الفور.
تحقق من الرابط والمصدر
أدخل عنوان URL الرسمي يدويًا ، وتجنب النقر على الروابط في وسائل التواصل الاجتماعي أو البريد الإلكتروني.
تأكد من أن الموقع يستخدم اسم النطاق وشهادة SSL الصحيحة.
احذر من الأخطاء الإملائية أو الأحرف الزائدة في النطاق.
استخدام المحفظة الباردة والتوقيع المتعدد
قم بتخزين معظم الأصول الرقمية في محفظة الأجهزة، ووصّل الشبكة فقط عند الضرورة.
بالنسبة للأصول الكبيرة، استخدم أدوات التوقيع المتعدد، واطلب تأكيد المعاملات من عدة مفاتيح.
تعامل بحذر مع طلبات التوقيع
اقرأ تفاصيل المعاملة في نافذة المحفظة بعناية في كل مرة تقوم فيها بالتوقيع.
استخدم ميزات متصفح البلوكتشين لتحليل محتوى التوقيع، أو استشر خبراء التقنية.
إنشاء محفظة مستقلة للعمليات عالية المخاطر، وتخزين كمية صغيرة من الأصول.
التعامل مع هجمات الغبار
بعد استلام عملة غير معروفة، لا تتفاعل معها. قم بإعلامها على أنها "بريد مزعج" أو اخفها.
تأكيد مصدر الرمز من خلال مستعرض البلوكتشين، وإذا كان للإرسال بالجملة، كن حذرًا للغاية.
تجنب الكشف عن عنوان المحفظة، أو استخدام عنوان جديد لإجراء العمليات الحساسة.
الخاتمة
يمكن أن تؤدي تنفيذ التدابير الأمنية المذكورة أعلاه إلى تقليل خطر أن تصبح ضحية لخطط الاحتيال المتقدمة بشكل كبير. ومع ذلك، فإن الأمان الحقيقي لا يعتمد فقط على التكنولوجيا. عندما يبني محفظة الأجهزة خط دفاع مادي، وتوزع التوقيعات المتعددة المخاطر، فإن فهم المستخدم لآلية التفويض والموقف الحذر تجاه السلوك على البلوكتشين هو آخر حصن ضد الهجمات.
كل تحليل للبيانات قبل التوقيع، وكل مراجعة للصلاحيات بعد التفويض، هي حماية لسيادتنا الرقمية. بغض النظر عن كيفية تطور التكنولوجيا في المستقبل، فإن الخط الدفاعي الرئيسي يكمن دائماً في: تحويل الوعي بالأمان إلى عادة، والحفاظ على التوازن بين الثقة والتحقق. في عالم البلوكتشين، يتم تسجيل كل نقرة، وكل صفقة بشكل دائم، ولا يمكن تغييرها. لذلك، فإن保持 اليقظة والحذر أمر بالغ الأهمية.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 25
أعجبني
25
8
مشاركة
تعليق
0/400
BitcoinDaddy
· 07-17 22:06
مؤلف مكتبة الشيفرات لتطبيقات الخصوصية المعترف بها
شاهد النسخة الأصليةرد0
DeFiDoctor
· 07-17 20:22
تظهر سجلات الفحص الطبي: حوالي 30% من المرضى لم يقوموا بعزل المخاطر خلال فترة المحفظة الباردة
شاهد النسخة الأصليةرد0
ImpermanentTherapist
· 07-17 08:16
لا بد من النظر إلى كيف يعمل العقل.
شاهد النسخة الأصليةرد0
WenAirdrop
· 07-15 19:21
هل تم سرقته بشكل أسوأ مرة أخرى؟ لقد قلت سابقًا أن المشاريع الموثوقة ليست كثيرة.
شاهد النسخة الأصليةرد0
BridgeNomad
· 07-14 22:58
لقد رأيت أنماط استغلال مشابهة منذ نوماد... المحفظات الباردة = مجموعة أدوات البقاء الآن
شاهد النسخة الأصليةرد0
CryptoComedian
· 07-14 22:52
دليل حماية الحمقى من الخداع لتحقيق الربح لليوم: مدفع أمام الحصان
شاهد النسخة الأصليةرد0
tokenomics_truther
· 07-14 22:49
لقد وقع البعض حقًا في الفخ.
شاهد النسخة الأصليةرد0
CryptoTarotReader
· 07-14 22:41
ما قيمة خسارة عملة واحدة، موت جماعي لمستثمر التجزئة هو الوضع الطبيعي.
كشف أساليب الاحتيال الجديدة في البلوكتشين للمبتدئين: كيفية تجنب فخ تفويض العقود الذكية
البلوكتشين والأصول الرقمية الأمان: الوقاية من تقنيات الاحتيال الجديدة
تعمل الأصول الرقمية وتقنية البلوكتشين على إعادة تشكيل مفهوم الحرية المالية، لكنها في الوقت نفسه تجلب تحديات أمنية جديدة. لم يعد المحتالون مقصورين على استغلال ثغرات تقنية، بل قاموا بذكاء بتحويل بروتوكولات العقود الذكية في البلوكتشين نفسها إلى أدوات هجومية. يستغلون فخاخ الهندسة الاجتماعية المصممة بعناية، جنبًا إلى جنب مع شفافية البلوكتشين وخصائص عدم القابلية للعكس، لتحويل ثقة المستخدمين إلى أدوات لسرقة الأصول. من تزوير العقود الذكية إلى التلاعب بالمعاملات عبر السلاسل، فإن هذه الهجمات ليست فقط خفية وصعبة الكشف، بل أيضًا أكثر خداعًا بسبب مظهرها "الشرعي".
1. كيف أصبحت الاتفاقية أداة احتيال؟
يجب أن تضمن بروتوكولات البلوكتشين الأمان والثقة، ولكن استغل المحتالون ميزاتها، جنبًا إلى جنب مع إهمال المستخدمين، لإنشاء طرق هجوم متعددة وخفية. فيما يلي بعض الأساليب الشائعة وتفاصيلها الفنية:
(1) تفويض العقود الذكية الضارة
المبادئ التقنية: في البلوكتشين مثل الإيثيريوم، يسمح معيار رموز ERC-20 للمستخدمين بتفويض طرف ثالث (عادةً عقد ذكي) لسحب كمية معينة من الرموز من محفظتهم من خلال دالة "Approve". تُستخدم هذه الوظيفة على نطاق واسع في بروتوكولات التمويل اللامركزي (DeFi)، حيث يحتاج المستخدمون إلى تفويض العقود الذكية لإتمام المعاملات أو الرهانات أو تعدين السيولة. ومع ذلك، يستغل المحتالون هذه الآلية لتصميم عقود خبيثة.
طريقة العمل: ينشئ المحتالون تطبيقًا لامركزيًا (DApp) يتنكر كمشروع قانوني، وعادةً ما يتم الترويج له من خلال مواقع التصيد أو وسائل التواصل الاجتماعي. يقوم المستخدمون بربط محفظتهم ويتم إغراؤهم بالنقر على "Approve"، والذي يبدو ظاهريًا كأنه تفويض لعدد قليل من العملات، ولكن في الواقع قد يكون له حد غير محدود. بمجرد الانتهاء من التفويض، يحصل عنوان عقد المحتال على إذن لاستدعاء دالة "TransferFrom" في أي وقت، لسحب جميع العملات المقابلة من محفظة المستخدم.
(2) توقيع التصيد
المبادئ التقنية: تتطلب معاملات البلوكتشين من المستخدمين إنشاء توقيع باستخدام المفتاح الخاص لإثبات شرعية المعاملة. عادةً ما يقوم المحفظة بإظهار طلب التوقيع، وبعد تأكيد المستخدم، يتم بث المعاملة إلى الشبكة. يستغل المحتالون هذه العملية لتزوير طلبات التوقيع وسرقة الأصول.
طريقة العمل: تلقى المستخدم بريدًا إلكترونيًا أو رسالة تتظاهر بأنها إشعار رسمي، مثل "انتظر استلام NFT الخاص بك، يرجى التحقق من المحفظة". بعد النقر على الرابط، يتم توجيه المستخدم إلى موقع ضار يطلب منه توصيل المحفظة وتوقيع "معاملة التحقق". قد تكون هذه المعاملة في الواقع استدعاءً لوظيفة "Transfer"، مما يؤدي مباشرةً إلى نقل ETH أو الرموز من المحفظة إلى عنوان المحتال؛ أو عملية "SetApprovalForAll"، مما يمنح المحتال السيطرة على مجموعة NFT الخاصة بالمستخدم.
(3) الرموز المزيفة و"هجوم الغبار"
المبادئ التقنية: تسمح شفافية البلوكتشين لأي شخص بإرسال الرموز إلى أي عنوان، حتى لو لم يطلب المستلم ذلك بشكل نشط. يستغل المحتالون هذه النقطة من خلال إرسال كميات صغيرة من الأصول الرقمية إلى عدة عناوين محافظ، لتتبع أنشطة المحافظ وربطها بالأفراد أو الشركات التي تمتلك تلك المحافظ.
كيفية العمل: في معظم الحالات، يتم توزيع "الغبار" المستخدم في هجمات الغبار على شكل توزيع جوي إلى محافظ المستخدمين، وقد تحمل هذه الرموز أسماء أو بيانات وصفية مغرية، مما يدفع المستخدمين لزيارة موقع معين للاستعلام عن التفاصيل. قد يحاول المستخدمون تحويل هذه الرموز إلى نقود، بينما يمكن للمهاجمين الوصول إلى محفظة المستخدم من خلال عنوان العقد المرفق بالرموز. ومن الأكثر خفاءً، تقوم هجمات الغبار من خلال الهندسة الاجتماعية، بتحليل المعاملات اللاحقة للمستخدم، لتحديد عنوان محفظة المستخدم النشط بدقة أكبر، وبالتالي تنفيذ عمليات احتيال أكثر دقة.
ثانياً، لماذا يصعب اكتشاف هذه الاحتيالات؟
هذه الاحتيالات ناجحة إلى حد كبير لأنها مخفية داخل آليات البلوكتشين الشرعية، مما يجعل من الصعب على المستخدمين العاديين التمييز بين طبيعتها الخبيثة. فيما يلي بعض الأسباب الرئيسية:
تعقيد التكنولوجيا: تعتبر أكواد العقود الذكية وطلبات التوقيع غامضة وصعبة الفهم بالنسبة للمستخدمين غير التقنيين. على سبيل المثال، قد تظهر طلبات "الموافقة" كبيانات سدل معقدة، مما يجعل من الصعب على المستخدمين فهم معناها بشكل مباشر.
الشرعية على البلوكتشين: جميع المعاملات مسجلة على البلوكتشين، مما يبدو شفافًا، لكن الضحايا غالبًا ما يدركون عواقب التفويض أو التوقيع بعد فوات الأوان، وعندها لا يمكن استرداد الأصول.
الهندسة الاجتماعية: يستغل المحتالون نقاط الضعف البشرية، مثل الجشع والخوف أو الثقة، لتصميم فخاخ احتيالية جذابة.
التمويه المتقن: قد تستخدم مواقع التصيد URL مشابه للاسم الرسمي، بل وقد تزيد من مصداقيتها من خلال شهادة HTTPS.
٣. كيف تحمي محفظة الأصول الرقمية الخاصة بك؟
في مواجهة هذه الاحتيالات التي تتواجد فيها الحروب النفسية والتقنية، تحتاج حماية الأصول إلى استراتيجيات متعددة المستويات. فيما يلي تدابير الوقاية التفصيلية:
تحقق من وإدارة صلاحيات التفويض
تحقق من الرابط والمصدر
استخدام المحفظة الباردة والتوقيع المتعدد
تعامل بحذر مع طلبات التوقيع
التعامل مع هجمات الغبار
الخاتمة
يمكن أن تؤدي تنفيذ التدابير الأمنية المذكورة أعلاه إلى تقليل خطر أن تصبح ضحية لخطط الاحتيال المتقدمة بشكل كبير. ومع ذلك، فإن الأمان الحقيقي لا يعتمد فقط على التكنولوجيا. عندما يبني محفظة الأجهزة خط دفاع مادي، وتوزع التوقيعات المتعددة المخاطر، فإن فهم المستخدم لآلية التفويض والموقف الحذر تجاه السلوك على البلوكتشين هو آخر حصن ضد الهجمات.
كل تحليل للبيانات قبل التوقيع، وكل مراجعة للصلاحيات بعد التفويض، هي حماية لسيادتنا الرقمية. بغض النظر عن كيفية تطور التكنولوجيا في المستقبل، فإن الخط الدفاعي الرئيسي يكمن دائماً في: تحويل الوعي بالأمان إلى عادة، والحفاظ على التوازن بين الثقة والتحقق. في عالم البلوكتشين، يتم تسجيل كل نقرة، وكل صفقة بشكل دائم، ولا يمكن تغييرها. لذلك، فإن保持 اليقظة والحذر أمر بالغ الأهمية.