مع تطور بيئة Web3، أصبحت "صيد التوقيع" واحدة من أساليب الهجوم المفضلة لدى القراصنة. على الرغم من أن الخبراء في الصناعة وشركات الأمن يواصلون القيام بالتوعية، إلا أن عددًا كبيرًا من المستخدمين يقع في الفخ يوميًا. ويرجع ذلك أساسًا إلى أن معظم المستخدمين يفتقرون إلى الفهم العميق لآلية التفاعل مع المحفظة، وأن مستوى تعلم المعرفة ذات الصلة مرتفع بالنسبة لغير المتخصصين.
لجعل المزيد من الناس يفهمون ويتجنبون هذا الخطر، سنقوم بشرح طريقتين أساسيتين لعمليات محفظة Web3 بطريقة بسيطة وسهلة الفهم: "التوقيع" و"التفاعل".
التوقيع هو عملية تحدث خارج سلسلة الكتل ولا تتطلب دفع رسوم غاز. يتم استخدامه عادةً للتحقق من الهوية، مثل تسجيل الدخول إلى المحفظة أو الاتصال بتطبيقات لامركزية (DApp). على سبيل المثال، عندما تريد تبادل الرموز على أي DEX، تحتاج أولاً إلى توصيل المحفظة، وهذا يتضمن عملية توقيع واحدة تخبر الموقع "أنا مالك هذه المحفظة". هذه العملية لن تؤثر على سلسلة الكتل، لذا لا توجد رسوم.
التفاعل هو العمليات المنفذة مباشرة على البلوكشين، ويتطلب دفع رسوم الغاز. على سبيل المثال، عند تبادل الرموز على DEX، تحتاج أولاً إلى تفويض (approve) العقد الذكي لاستخدام رموزك، ثم تنفيذ عملية التبادل الفعلية. كلا الخطوتين تتطلبان دفع رسوم الغاز.
بعد فهم الفرق بين هذين النوعين من العمليات، دعونا نلقي نظرة على ثلاث طرق شائعة للاحتيال: احتيال التفويض، احتيال توقيع التصريح، واحتيال توقيع Permit2.
تتم عملية التصيد الاحتيالي المعتمدة على التفويض من خلال آلية الموافقة. قد ينشئ القراصنة موقع تصيد يتنكر كمشروع NFT، ويغري المستخدمين بالنقر على زر "استلام الإعانات". في الواقع، ستؤدي هذه العملية إلى تفعيل طلب تفويض، مما يسمح للقراصنة بالتحكم في رموز المستخدم. ومع ذلك، نظرًا لأن هذه العملية تتطلب دفع رسوم الغاز، فإن المستخدمين غالبًا ما يكونون أكثر حذرًا، مما يجعل هذه الطريقة في التصيد سهلة نسبيًا للتعرف عليها.
تعد توقيعات Permit وPermit2 أكثر خداعًا، لأنها تستغل ثقة المستخدم في عمليات التوقيع. يعتبر Permit ميزة موسعة لمعيار ERC-20، تسمح للمستخدمين بتفويض الآخرين لنقل رموزهم من خلال التوقيع. يمكن للقراصنة إغواء المستخدمين لتوقيع رسالة تبدو غير ضارة، لكنها في الواقع "ترخيص" يمنح القراصنة حق نقل أصول المستخدم.
Permit2 هي ميزة أطلقتها بعض منصات التداول اللامركزية (DEX) تهدف إلى تبسيط عمليات المستخدمين وتقليل تكاليف الغاز. ولكن إذا كان المستخدم قد استخدم هذه المنصة من قبل ومنحها حدًا غير محدود، فعند توقيع رسالة Permit2 خبيثة، يمكن للقراصنة بسهولة تحويل أصول المستخدم.
لتجنب هذه المخاطر، يجب على المستخدمين:
زرع الوعي بالأمان، يجب التحقق بعناية في كل مرة تقوم فيها بعمليات المحفظة.
فصل الأموال الكبيرة عن المحفظة المستخدمة يوميًا لتقليل الخسائر المحتملة.
تعلم كيفية التعرف على تنسيق توقيع Permit و Permit2، بما في ذلك عنوان الموقع التفاعلي، عنوان الجهة المخولة، عنوان الجهة المخولة لها، كمية التفويض، رقم عشوائي ومدة انتهاء الصلاحية وغيرها من المعلومات.
بشكل عام، يحتاج مستخدمو Web3 إلى البقاء يقظين في جميع الأوقات وفهم معنى كل عملية لحماية أصولهم الرقمية.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تحليل هجمات التصيد الاحتيالي على توقيعات Web3: من الآليات الأساسية إلى استراتيجيات الحماية
تحليل المنطق الأساسي لعملية الاحتيال بتوقيع Web3
مع تطور بيئة Web3، أصبحت "صيد التوقيع" واحدة من أساليب الهجوم المفضلة لدى القراصنة. على الرغم من أن الخبراء في الصناعة وشركات الأمن يواصلون القيام بالتوعية، إلا أن عددًا كبيرًا من المستخدمين يقع في الفخ يوميًا. ويرجع ذلك أساسًا إلى أن معظم المستخدمين يفتقرون إلى الفهم العميق لآلية التفاعل مع المحفظة، وأن مستوى تعلم المعرفة ذات الصلة مرتفع بالنسبة لغير المتخصصين.
لجعل المزيد من الناس يفهمون ويتجنبون هذا الخطر، سنقوم بشرح طريقتين أساسيتين لعمليات محفظة Web3 بطريقة بسيطة وسهلة الفهم: "التوقيع" و"التفاعل".
التوقيع هو عملية تحدث خارج سلسلة الكتل ولا تتطلب دفع رسوم غاز. يتم استخدامه عادةً للتحقق من الهوية، مثل تسجيل الدخول إلى المحفظة أو الاتصال بتطبيقات لامركزية (DApp). على سبيل المثال، عندما تريد تبادل الرموز على أي DEX، تحتاج أولاً إلى توصيل المحفظة، وهذا يتضمن عملية توقيع واحدة تخبر الموقع "أنا مالك هذه المحفظة". هذه العملية لن تؤثر على سلسلة الكتل، لذا لا توجد رسوم.
التفاعل هو العمليات المنفذة مباشرة على البلوكشين، ويتطلب دفع رسوم الغاز. على سبيل المثال، عند تبادل الرموز على DEX، تحتاج أولاً إلى تفويض (approve) العقد الذكي لاستخدام رموزك، ثم تنفيذ عملية التبادل الفعلية. كلا الخطوتين تتطلبان دفع رسوم الغاز.
بعد فهم الفرق بين هذين النوعين من العمليات، دعونا نلقي نظرة على ثلاث طرق شائعة للاحتيال: احتيال التفويض، احتيال توقيع التصريح، واحتيال توقيع Permit2.
تتم عملية التصيد الاحتيالي المعتمدة على التفويض من خلال آلية الموافقة. قد ينشئ القراصنة موقع تصيد يتنكر كمشروع NFT، ويغري المستخدمين بالنقر على زر "استلام الإعانات". في الواقع، ستؤدي هذه العملية إلى تفعيل طلب تفويض، مما يسمح للقراصنة بالتحكم في رموز المستخدم. ومع ذلك، نظرًا لأن هذه العملية تتطلب دفع رسوم الغاز، فإن المستخدمين غالبًا ما يكونون أكثر حذرًا، مما يجعل هذه الطريقة في التصيد سهلة نسبيًا للتعرف عليها.
تعد توقيعات Permit وPermit2 أكثر خداعًا، لأنها تستغل ثقة المستخدم في عمليات التوقيع. يعتبر Permit ميزة موسعة لمعيار ERC-20، تسمح للمستخدمين بتفويض الآخرين لنقل رموزهم من خلال التوقيع. يمكن للقراصنة إغواء المستخدمين لتوقيع رسالة تبدو غير ضارة، لكنها في الواقع "ترخيص" يمنح القراصنة حق نقل أصول المستخدم.
Permit2 هي ميزة أطلقتها بعض منصات التداول اللامركزية (DEX) تهدف إلى تبسيط عمليات المستخدمين وتقليل تكاليف الغاز. ولكن إذا كان المستخدم قد استخدم هذه المنصة من قبل ومنحها حدًا غير محدود، فعند توقيع رسالة Permit2 خبيثة، يمكن للقراصنة بسهولة تحويل أصول المستخدم.
لتجنب هذه المخاطر، يجب على المستخدمين:
بشكل عام، يحتاج مستخدمو Web3 إلى البقاء يقظين في جميع الأوقات وفهم معنى كل عملية لحماية أصولهم الرقمية.