المنطق الأساسي ووسائل الحماية من "توقيع الاحتيال" في Web3
مؤخراً، أصبحت "صيد التوقيع" واحدة من أكثر أساليب الاحتيال استخداماً من قبل قراصنة الويب 3. على الرغم من أن خبراء الأمن وشركات المحافظ يروجون باستمرار للمعرفة ذات الصلة، إلا أن هناك الكثير من المستخدمين الذين يقعوا في الفخ يومياً. السبب الرئيسي وراء ذلك هو أن معظم الناس يفتقرون إلى الفهم العميق للمنطق الأساسي لتفاعل المحافظ، وأن عتبة التعلم عالية جداً بالنسبة لغير الفنيين.
لمساعدة المزيد من الناس على فهم هذه المشكلة، ستقوم هذه المقالة بشرح المنطق الأساسي لعملية التصيد باستخدام التوقيع بطريقة بسيطة وسهلة الفهم.
أولاً، نحتاج إلى فهم أن هناك نوعين رئيسيين من العمليات عند استخدام المحفظة: "التوقيع" و"التفاعل". ببساطة، يحدث التوقيع خارج سلسلة الكتل (خارج السلسلة)، ولا يتطلب دفع رسوم الغاز؛ بينما يحدث التفاعل على سلسلة الكتل (داخل السلسلة)، ويتطلب دفع رسوم الغاز.
تُستخدم التوقيعات عادةً للتحقق من الهوية، مثل تسجيل الدخول إلى المحفظة أو الاتصال بالتطبيقات اللامركزية (DApp). لا ينتج عن هذه العملية أي تغييرات في البيانات أو الحالة على البلوكشين، لذا لا حاجة لدفع الرسوم.
التفاعل يتضمن عمليات فعلية على السلسلة. على سبيل المثال، عند تبادل الرموز على DEX معين، تحتاج أولاً إلى السماح للعقد الذكي بالتعامل مع رموزك (الموافقة)، ثم تنفذ عملية التبادل الفعلية. كلا الخطوتين يتطلبان دفع رسوم الغاز.
بعد فهم الفرق بين التوقيع والتفاعل، دعونا نلقي نظرة على ثلاثة أنواع شائعة من عمليات الاحتيال: احتيال التفويض، احتيال توقيع التصريح، واحتيال توقيع التصريح 2.
تصيد التفويض
هذه طريقة كلاسيكية للصيد. يقوم القراصنة بإنشاء موقع تصيد يتنكر كمشروع NFT، ويغرون المستخدمين بالنقر على أزرار مثل "استلام الإهداء". في الواقع، سيُطلب من المستخدمين بعد النقر تفويض (approve) رموزهم إلى عنوان القراصنة. بمجرد أن يؤكد المستخدم، يمكن للقراصنة السيطرة على أصول المستخدم.
ومع ذلك، نظرًا لأن عمليات التفويض تتطلب دفع رسوم الغاز، فإن العديد من المستخدمين يكونون أكثر حذرًا عند إجراء العمليات التي تتعلق بالرسوم، لذلك فإن هذه الطريقة تكون أسهل نسبيًا في الحماية.
توقيع تصريح صيد السمك
بإذن هو توسيع وظيفة التفويض بموجب معيار ERC-20. يسمح للمستخدمين بالموافقة على عمليات الآخرين على رموزهم من خلال طريقة التوقيع، دون الحاجة إلى إجراء عملية التفويض مباشرة على السلسلة. يمكن للقراصنة استغلال هذه الآلية، لإغراء المستخدمين بتوقيع رسائل تسمح للقراصنة بنقل أصولهم. نظرًا لأن التوقيعات لا تتطلب دفع رسوم الغاز، والعديد من المستخدمين معتادون على إجراء عمليات التوقيع عند استخدام تطبيقات اللامركزية، فإن هذه الطريقة في الاحتيال تكون أكثر صعوبة في الحماية.
تصيد توقيع Permit2
Permite2 هي ميزة أطلقتها بعض منصات التداول اللامركزية (DEX) لتحسين تجربة المستخدم. تتيح هذه الميزة للمستخدمين منح تفويض لمبلغ كبير مرة واحدة لعقد Permit2 الذكي، وبعد ذلك يحتاجون فقط إلى توقيع المعاملات في كل مرة دون الحاجة إلى التفويض مرة أخرى. على الرغم من أن هذه الآلية تسهل عملية المستخدمين، إلا أنها توفر أيضًا طرقًا جديدة للاختراق. إذا كان المستخدم قد استخدم تلك المنصة من قبل ومنح تفويضًا غير محدود، فعند تحريضه على توقيع رسالة ذات صلة، يمكن للقراصنة نقل أصول المستخدم.
بشكل عام، يتطلب تصيد التصريح من المستخدمين إجراء عمليات مباشرة على السلسلة، بينما يتم تحقيق تصيد التوقيع من خلال تحفيز المستخدمين على توقيع رسائل معينة. بعد فهم هذه المبادئ، يمكننا اتخاذ التدابير الوقائية التالية:
تعزيز الوعي الأمني، يجب التحقق بعناية من محتوى العمليات المنفذة كلما تم إجراء أي عملية على المحفظة.
فصل الأموال الكبيرة عن محفظة الاستخدام اليومي لتقليل الخسائر المحتملة.
تعلم كيفية التعرف على تنسيقات توقيع Permit وPermit2. إذا رأيت طلب توقيع يحتوي على الحقول التالية، يجب أن تكون حذرًا بشكل خاص:
تفاعلي(交互网址)
المالك (عنوان الجهة المصرح لها)
Spender (عنوان الشخص المخول)
القيمة(الكمية المصرح بها)
Nonce (رقم عشوائي)
الموعد النهائي
من خلال فهم مبادئ هذه الأساليب الاحتيالية واتخاذ التدابير المناسبة للوقاية، يمكننا حماية أصولنا في Web3 بشكل أفضل.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 14
أعجبني
14
7
إعادة النشر
مشاركة
تعليق
0/400
SchroedingerGas
· منذ 15 س
الخط الرئيسي للخروف هو الغاز الأبيض
شاهد النسخة الأصليةرد0
MultiSigFailMaster
· 08-07 11:36
فهم مصطلحات داخل السلسلة وعيوبها، يعلقون بين الحين والآخر على مسائل الأمان أو يسخرون من آلية التوقيع المتعدد، بنبرة تحمل بعض السخرية.
يرجى إنشاء تعليق باللغة الصينية يناسب هذا الدور:
دورة جديدة من خداع الناس لتحقيق الربح تبدأ.
شاهد النسخة الأصليةرد0
Rugpull幸存者
· 08-06 21:25
حمقى قديمون يفهمون الناس تم خداعهم مرة أخرى شهدوا ثغرة في العقد
شاهد النسخة الأصليةرد0
FomoAnxiety
· 08-06 05:55
لقد مرت عامين منذ أن بدأت وما زلت أشعر بالارتباك بسبب الغاز
شاهد النسخة الأصليةرد0
FarmHopper
· 08-06 05:54
حتى رسوم الغاز يجب أن تخدع الناس لتحقيق الربح، إنه سيء للغاية!
تحليل المنطق الأساسي لاستدراج التوقيع في Web3 واستراتيجيات الوقاية
المنطق الأساسي ووسائل الحماية من "توقيع الاحتيال" في Web3
مؤخراً، أصبحت "صيد التوقيع" واحدة من أكثر أساليب الاحتيال استخداماً من قبل قراصنة الويب 3. على الرغم من أن خبراء الأمن وشركات المحافظ يروجون باستمرار للمعرفة ذات الصلة، إلا أن هناك الكثير من المستخدمين الذين يقعوا في الفخ يومياً. السبب الرئيسي وراء ذلك هو أن معظم الناس يفتقرون إلى الفهم العميق للمنطق الأساسي لتفاعل المحافظ، وأن عتبة التعلم عالية جداً بالنسبة لغير الفنيين.
لمساعدة المزيد من الناس على فهم هذه المشكلة، ستقوم هذه المقالة بشرح المنطق الأساسي لعملية التصيد باستخدام التوقيع بطريقة بسيطة وسهلة الفهم.
أولاً، نحتاج إلى فهم أن هناك نوعين رئيسيين من العمليات عند استخدام المحفظة: "التوقيع" و"التفاعل". ببساطة، يحدث التوقيع خارج سلسلة الكتل (خارج السلسلة)، ولا يتطلب دفع رسوم الغاز؛ بينما يحدث التفاعل على سلسلة الكتل (داخل السلسلة)، ويتطلب دفع رسوم الغاز.
تُستخدم التوقيعات عادةً للتحقق من الهوية، مثل تسجيل الدخول إلى المحفظة أو الاتصال بالتطبيقات اللامركزية (DApp). لا ينتج عن هذه العملية أي تغييرات في البيانات أو الحالة على البلوكشين، لذا لا حاجة لدفع الرسوم.
التفاعل يتضمن عمليات فعلية على السلسلة. على سبيل المثال، عند تبادل الرموز على DEX معين، تحتاج أولاً إلى السماح للعقد الذكي بالتعامل مع رموزك (الموافقة)، ثم تنفذ عملية التبادل الفعلية. كلا الخطوتين يتطلبان دفع رسوم الغاز.
بعد فهم الفرق بين التوقيع والتفاعل، دعونا نلقي نظرة على ثلاثة أنواع شائعة من عمليات الاحتيال: احتيال التفويض، احتيال توقيع التصريح، واحتيال توقيع التصريح 2.
هذه طريقة كلاسيكية للصيد. يقوم القراصنة بإنشاء موقع تصيد يتنكر كمشروع NFT، ويغرون المستخدمين بالنقر على أزرار مثل "استلام الإهداء". في الواقع، سيُطلب من المستخدمين بعد النقر تفويض (approve) رموزهم إلى عنوان القراصنة. بمجرد أن يؤكد المستخدم، يمكن للقراصنة السيطرة على أصول المستخدم.
ومع ذلك، نظرًا لأن عمليات التفويض تتطلب دفع رسوم الغاز، فإن العديد من المستخدمين يكونون أكثر حذرًا عند إجراء العمليات التي تتعلق بالرسوم، لذلك فإن هذه الطريقة تكون أسهل نسبيًا في الحماية.
بإذن هو توسيع وظيفة التفويض بموجب معيار ERC-20. يسمح للمستخدمين بالموافقة على عمليات الآخرين على رموزهم من خلال طريقة التوقيع، دون الحاجة إلى إجراء عملية التفويض مباشرة على السلسلة. يمكن للقراصنة استغلال هذه الآلية، لإغراء المستخدمين بتوقيع رسائل تسمح للقراصنة بنقل أصولهم. نظرًا لأن التوقيعات لا تتطلب دفع رسوم الغاز، والعديد من المستخدمين معتادون على إجراء عمليات التوقيع عند استخدام تطبيقات اللامركزية، فإن هذه الطريقة في الاحتيال تكون أكثر صعوبة في الحماية.
Permite2 هي ميزة أطلقتها بعض منصات التداول اللامركزية (DEX) لتحسين تجربة المستخدم. تتيح هذه الميزة للمستخدمين منح تفويض لمبلغ كبير مرة واحدة لعقد Permit2 الذكي، وبعد ذلك يحتاجون فقط إلى توقيع المعاملات في كل مرة دون الحاجة إلى التفويض مرة أخرى. على الرغم من أن هذه الآلية تسهل عملية المستخدمين، إلا أنها توفر أيضًا طرقًا جديدة للاختراق. إذا كان المستخدم قد استخدم تلك المنصة من قبل ومنح تفويضًا غير محدود، فعند تحريضه على توقيع رسالة ذات صلة، يمكن للقراصنة نقل أصول المستخدم.
بشكل عام، يتطلب تصيد التصريح من المستخدمين إجراء عمليات مباشرة على السلسلة، بينما يتم تحقيق تصيد التوقيع من خلال تحفيز المستخدمين على توقيع رسائل معينة. بعد فهم هذه المبادئ، يمكننا اتخاذ التدابير الوقائية التالية:
تعزيز الوعي الأمني، يجب التحقق بعناية من محتوى العمليات المنفذة كلما تم إجراء أي عملية على المحفظة.
فصل الأموال الكبيرة عن محفظة الاستخدام اليومي لتقليل الخسائر المحتملة.
تعلم كيفية التعرف على تنسيقات توقيع Permit وPermit2. إذا رأيت طلب توقيع يحتوي على الحقول التالية، يجب أن تكون حذرًا بشكل خاص:
من خلال فهم مبادئ هذه الأساليب الاحتيالية واتخاذ التدابير المناسبة للوقاية، يمكننا حماية أصولنا في Web3 بشكل أفضل.
يرجى إنشاء تعليق باللغة الصينية يناسب هذا الدور:
دورة جديدة من خداع الناس لتحقيق الربح تبدأ.