التصيد الاحتيالي على الويب 3: تحليل المبدأ وإرشادات الوقاية
في عالم Web3، أصبحت "هجمات التصيد بالاستعانة بالتوقيع" واحدة من أكثر وسائل الهجوم المفضلة لدى القراصنة. على الرغم من أن الخبراء في الصناعة وشركات الأمن يواصلون التحذير، لا يزال هناك عدد كبير من المستخدمين الذين يقعوا ضحية لهذه الهجمات يوميًا. واحدة من الأسباب الرئيسية لهذه الحالة هي أن معظم الناس يفتقرون إلى فهم المنطق الأساسي لتفاعلات المحافظ، بينما يعتبر مستوى التعلم للمعرفة ذات الصلة مرتفعًا جدًا بالنسبة لغير المتخصصين.
لمساعدة المزيد من الناس على فهم هذه القضية، سنقوم بتفسير المنطق الأساسي للاحتيال بالتوقيع بطريقة بسيطة وسهلة الفهم.
أولاً، نحتاج إلى فهم أن هناك نوعين رئيسيين من العمليات عند استخدام المحفظة: "التوقيع" و"التفاعل". ببساطة، يحدث التوقيع خارج سلسلة الكتل (خارج السلسلة)، ولا يتطلب دفع رسوم الغاز؛ بينما يحدث التفاعل على سلسلة الكتل (داخل السلسلة)، ويتطلب دفع رسوم الغاز.
التوقيع عادة ما يستخدم للتحقق من الهوية، مثل تسجيل الدخول إلى المحفظة. عندما ترغب في إجراء صفقة على بورصة لا مركزية، تحتاج أولاً إلى ربط المحفظة، وفي هذه الحالة تحتاج إلى توقيع لإثبات أنك مالك هذه المحفظة. هذه العملية لن تغير أي بيانات أو حالة على البلوكشين، لذلك لا تحتاج إلى دفع رسوم.
بالمقارنة، فإن التفاعل يتضمن عمليات فعلية على السلسلة. على سبيل المثال، عندما تقوم بتبادل الرموز في بورصة لامركزية، تحتاج أولاً إلى منح إذن لعقد البورصة الذكي باستخدام رموزك، ثم تنفيذ عملية التبادل الفعلية. كلا الخطوتين تتطلبان دفع رسوم الغاز.
بعد فهم الفرق بين التوقيع والتفاعل، دعونا نلقي نظرة على بعض طرق الاحتيال الشائعة: احتيال التفويض، احتيال توقيع التصريح، واحتيال توقيع التصريح 2.
تستغل هجمات التصيد الاحتيالي آلية التفويض في العقود الذكية. قد يقوم المتسللون بإنشاء موقع مزيف لخداع المستخدمين للقيام بعمليات التفويض، مما يجعلهم فعليًا يمنحون العنوان الخاص بالمتسلل إذنًا لاستخدام رموزهم.
تعتبر عملية التصيد باستخدام توقيعات Permit و Permit2 أكثر سرية. Permit هو ميزة موسعة لمعيار ERC-20، يسمح للمستخدمين بالموافقة للآخرين على استخدام رموزهم من خلال التوقيع. يمكن للقراصنة إغراء المستخدمين بتوقيع مثل هذه التصريحات، ثم استخدام هذا التوقيع لنقل أصول المستخدم.
يعد Permit2 ميزة أطلقتها بعض منصات التداول لتبسيط عمليات المستخدمين. يسمح للمستخدمين بتفويض المنصة لاستخدام عدد كبير من الرموز مرة واحدة، وبعد ذلك يحتاج كل تداول فقط إلى توقيع. على الرغم من كونه مريحًا، إذا وقع التوقيع في الأيدي الخطأ، فقد يؤدي ذلك إلى فقدان الأصول.
لمنع هذه المخاطر، نقترح:
تعزيز الوعي بالأمان، يجب عليك التحقق بعناية مما تفعله في كل مرة تقوم فيها بعمليات على المحفظة.
فصل الأموال الكبيرة عن المحفظة المستخدمة يوميًا لتقليل الخسائر المحتملة.
تعلم كيفية التعرف على تنسيق توقيع Permit و Permit2. إذا رأيت طلب توقيع يتضمن المعلومات التالية، يجب أن تكون حذرًا للغاية:
موقع التفاعل
عنوان الجهة المخولة
عنوان الطرف المخول
عدد التفويضات
رقم عشوائي
وقت الانتهاء
من خلال فهم هذه الآليات واتخاذ التدابير الوقائية المناسبة، يمكننا حماية أصولنا الرقمية بشكل أفضل والمشاركة بأمان في بيئة Web3.
شاهد النسخة الأصلية
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تحليل شامل لصيد توقيع Web3: تحليل المبدأ واستراتيجيات الوقاية
التصيد الاحتيالي على الويب 3: تحليل المبدأ وإرشادات الوقاية
في عالم Web3، أصبحت "هجمات التصيد بالاستعانة بالتوقيع" واحدة من أكثر وسائل الهجوم المفضلة لدى القراصنة. على الرغم من أن الخبراء في الصناعة وشركات الأمن يواصلون التحذير، لا يزال هناك عدد كبير من المستخدمين الذين يقعوا ضحية لهذه الهجمات يوميًا. واحدة من الأسباب الرئيسية لهذه الحالة هي أن معظم الناس يفتقرون إلى فهم المنطق الأساسي لتفاعلات المحافظ، بينما يعتبر مستوى التعلم للمعرفة ذات الصلة مرتفعًا جدًا بالنسبة لغير المتخصصين.
لمساعدة المزيد من الناس على فهم هذه القضية، سنقوم بتفسير المنطق الأساسي للاحتيال بالتوقيع بطريقة بسيطة وسهلة الفهم.
أولاً، نحتاج إلى فهم أن هناك نوعين رئيسيين من العمليات عند استخدام المحفظة: "التوقيع" و"التفاعل". ببساطة، يحدث التوقيع خارج سلسلة الكتل (خارج السلسلة)، ولا يتطلب دفع رسوم الغاز؛ بينما يحدث التفاعل على سلسلة الكتل (داخل السلسلة)، ويتطلب دفع رسوم الغاز.
التوقيع عادة ما يستخدم للتحقق من الهوية، مثل تسجيل الدخول إلى المحفظة. عندما ترغب في إجراء صفقة على بورصة لا مركزية، تحتاج أولاً إلى ربط المحفظة، وفي هذه الحالة تحتاج إلى توقيع لإثبات أنك مالك هذه المحفظة. هذه العملية لن تغير أي بيانات أو حالة على البلوكشين، لذلك لا تحتاج إلى دفع رسوم.
بالمقارنة، فإن التفاعل يتضمن عمليات فعلية على السلسلة. على سبيل المثال، عندما تقوم بتبادل الرموز في بورصة لامركزية، تحتاج أولاً إلى منح إذن لعقد البورصة الذكي باستخدام رموزك، ثم تنفيذ عملية التبادل الفعلية. كلا الخطوتين تتطلبان دفع رسوم الغاز.
بعد فهم الفرق بين التوقيع والتفاعل، دعونا نلقي نظرة على بعض طرق الاحتيال الشائعة: احتيال التفويض، احتيال توقيع التصريح، واحتيال توقيع التصريح 2.
تستغل هجمات التصيد الاحتيالي آلية التفويض في العقود الذكية. قد يقوم المتسللون بإنشاء موقع مزيف لخداع المستخدمين للقيام بعمليات التفويض، مما يجعلهم فعليًا يمنحون العنوان الخاص بالمتسلل إذنًا لاستخدام رموزهم.
تعتبر عملية التصيد باستخدام توقيعات Permit و Permit2 أكثر سرية. Permit هو ميزة موسعة لمعيار ERC-20، يسمح للمستخدمين بالموافقة للآخرين على استخدام رموزهم من خلال التوقيع. يمكن للقراصنة إغراء المستخدمين بتوقيع مثل هذه التصريحات، ثم استخدام هذا التوقيع لنقل أصول المستخدم.
يعد Permit2 ميزة أطلقتها بعض منصات التداول لتبسيط عمليات المستخدمين. يسمح للمستخدمين بتفويض المنصة لاستخدام عدد كبير من الرموز مرة واحدة، وبعد ذلك يحتاج كل تداول فقط إلى توقيع. على الرغم من كونه مريحًا، إذا وقع التوقيع في الأيدي الخطأ، فقد يؤدي ذلك إلى فقدان الأصول.
لمنع هذه المخاطر، نقترح:
تعزيز الوعي بالأمان، يجب عليك التحقق بعناية مما تفعله في كل مرة تقوم فيها بعمليات على المحفظة.
فصل الأموال الكبيرة عن المحفظة المستخدمة يوميًا لتقليل الخسائر المحتملة.
تعلم كيفية التعرف على تنسيق توقيع Permit و Permit2. إذا رأيت طلب توقيع يتضمن المعلومات التالية، يجب أن تكون حذرًا للغاية:
من خلال فهم هذه الآليات واتخاذ التدابير الوقائية المناسبة، يمكننا حماية أصولنا الرقمية بشكل أفضل والمشاركة بأمان في بيئة Web3.