الفخاخ المحتملة في عالم البلوكتشين: كيف يمكن أن تصبح العقود الذكية سلاحًا للهجوم
تُعيد العملات المشفرة وتقنية البلوكتشين تشكيل مفهوم الحرية المالية، ولكن هذه الثورة جلبت أيضًا تحديات جديدة. لم يعد المحتالون يستغلون ثغرات تقنية فحسب، بل يحولون العقود الذكية للبلوكتشين نفسها إلى أدوات هجومية. من خلال فخاخ هندسية اجتماعية مصممة بعناية، يستغلون شفافية البلوكتشين وعدم قابليته للتراجع، محولين ثقة المستخدمين إلى وسيلة لسرقة الأصول. من العقود الذكية المزورة إلى التلاعب بالمعاملات عبر السلاسل، هذه الهجمات ليست فقط خفية وصعبة الكشف، بل إنها أكثر خداعًا بسبب مظهرها "الشرعي". ستقوم هذه المقالة من خلال تحليل الأمثلة، بكشف كيفية استغلال المحتالين للبروتوكولات في الهجمات، وتقديم استراتيجيات حماية شاملة، لمساعدة المستخدمين على السير بأمان في العالم اللامركزي.
١. كيف يتم تحويل البروتوكول إلى أداة احتيال؟
يجب أن تضمن بروتوكولات البلوكتشين الأمان والثقة، لكن المحتالين يستغلون ميزاتها، جنبًا إلى جنب مع إهمال المستخدمين، لإنشاء طرق هجوم خفية متعددة. فيما يلي بعض الطرق الشائعة وتفاصيلها التقنية:
(1) تفويض العقود الذكية الخبيثة
المبادئ التقنية:
على البلوكتشين مثل إيثريوم، يسمح معيار توكن ERC-20 للمستخدمين بتفويض طرف ثالث (عادةً ما يكون عقدًا ذكيًا) لسحب كمية محددة من التوكنات من محفظتهم عبر دالة "Approve". تُستخدم هذه الوظيفة على نطاق واسع في بروتوكولات التمويل اللامركزي، حيث يحتاج المستخدمون إلى تفويض العقود الذكية لإجراء المعاملات أو التكديس أو تعدين السيولة. ومع ذلك، يستغل المحتالون هذه الآلية لتصميم عقود خبيثة.
طريقة العمل:
ينشئ المحتالون تطبيقًا لامركزيًا يتنكر كمشروع شرعي، وعادةً ما يروجون له من خلال مواقع التصيد أو وسائل التواصل الاجتماعي. يقوم المستخدمون بربط محفظتهم ويتم إغراؤهم بالنقر على "Approve"، مما يبدو ظاهريًا كأنه تفويض لعدد قليل من الرموز، ولكن في الواقع قد يكون ذلك بحدود غير محدودة. بمجرد اكتمال التفويض، يحصل عنوان عقد المحتال على إذن لاستدعاء وظيفة "TransferFrom" في أي وقت، لسحب جميع الرموز المقابلة من محفظة المستخدم.
حالة:
في أوائل عام 2023، أدى موقع احتيالي متظاهر بأنه ترقية لDEX إلى خسارة مئات المستخدمين لكميات كبيرة من العملات المستقرة وETH. تظهر بيانات البلوكتشين أن هذه المعاملات تتوافق تمامًا مع معيار ERC-20، مما يجعل من الصعب على الضحايا استعادة أصولهم من خلال الوسائل القانونية، لأن التفويض تم توقيعه طواعية.
(2) توقيع الصيد
المبادئ التقنية:
تتطلب معاملات البلوكتشين من المستخدمين إنشاء توقيع باستخدام المفتاح الخاص لإثبات شرعية المعاملة. عادةً ما تظهر المحفظة طلب توقيع، وبعد تأكيد المستخدم، يتم بث المعاملة إلى الشبكة. يستغل المحتالون هذه العملية لتزوير طلبات التوقيع وسرقة الأصول.
طريقة العمل:
يتلقى المستخدم رسالة بريد إلكتروني أو رسالة متخفية كإشعار رسمي، مثل "يرجى التحقق من المحفظة لاستلام NFT الخاص بك". بعد النقر على الرابط، يتم توجيه المستخدم إلى موقع ضار يطلب منه ربط المحفظة وتوقيع "عملية التحقق". قد تكون هذه المعاملة في الواقع استدعاء لدالة "Transfer"، تنقل الأصول الموجودة في المحفظة مباشرة إلى عنوان المحتال؛ أو عملية "SetApprovalForAll"، التي تمنح المحتال السيطرة على مجموعة NFT الخاصة بالمستخدم.
حالة:
تعرضت مجتمع مشروع NFT المعروف لهجوم تصيد توقيع، حيث فقد العديد من المستخدمين NFTs بقيمة ملايين الدولارات بسبب توقيعهم على معاملات "استلام التوزيع الجوي" المزورة. استغل المهاجمون معيار توقيع EIP-712، وقاموا بتزوير طلبات تبدو آمنة.
(3) الرموز المزيفة و"هجمات الغبار"
المبادئ التقنية:
تتيح علنية البلوكتشين لأي شخص إرسال رموز إلى أي عنوان، حتى لو لم يطلب المستلم ذلك بشكل نشط. يستغل المحتالون هذا من خلال إرسال كميات صغيرة من العملات المشفرة إلى عدة عناوين محفظة، لمتابعة نشاط المحفظة وربطها بالأفراد أو الشركات المالكة للمحفظة.
طريقة العمل:
يقوم المهاجمون بإرسال كميات صغيرة من العملات المشفرة إلى عناوين مختلفة، ثم يحاولون اكتشاف العناوين التي تنتمي إلى نفس المحفظة. بعد ذلك، يستخدم المهاجمون هذه المعلومات لشن هجمات تصيد أو تهديدات على الضحايا. في معظم الحالات، يتم توزيع هذه "الغبار" على شكل توزيع جوي إلى محافظ المستخدمين، وقد تحمل هذه الرموز أسماء جذابة أو بيانات وصفية، مما يحفز المستخدمين على زيارة موقع ويب للتحقق من التفاصيل.
حالة:
في الماضي، أثرت هجمات "غبار" العملات المجانية التي ظهرت على شبكة الإيثيريوم على آلاف المحافظ. فقد بعض المستخدمين ETH وERC-20 بسبب فضولهم للتفاعل.
ثانياً، لماذا يصعب اكتشاف هذه الاحتيالات؟
نجحت هذه الاحتيالات إلى حد كبير لأنها مخفية في الآليات الشرعية للبلوكتشين، مما يجعل من الصعب على المستخدمين العاديين تمييز طبيعتها الخبيثة. وفيما يلي بعض الأسباب الرئيسية:
التعقيد التكنولوجي: كود العقود الذكية وطلبات التوقيع يصعب فهمها بالنسبة للمستخدمين غير التقنيين.
الشرعية على البلوكتشين: جميع المعاملات مسجلة على البلوكتشين، مما يبدو شفافًا، ولكن الضحايا غالبًا ما يدركون عواقب التفويض أو التوقيع فقط بعد وقوع الحدث.
الهندسة الاجتماعية: يستغل المحتالون نقاط الضعف البشرية، مثل الجشع، الخوف أو الثقة.
التمويه المتقن: قد تستخدم مواقع التصيد URLs مشابهة للاسم الرسمي، بل وقد تزيد من موثوقيتها من خلال شهادة HTTPS.
٣. كيف تحمي محفظة العملات المشفرة الخاصة بك؟
面对这些 التقنية与心理 الحرب并存的骗局,保护 الأصول يحتاج إلى استراتيجيات متعددة المستويات. فيما يلي تدابير الوقاية التفصيلية:
تحقق من وإدارة أذونات التفويض
استخدم أدوات على البلوكتشين لفحص سجلات تفويض المحفظة.
قم بإلغاء التفويضات غير الضرورية بشكل دوري، خاصةً التفويضات غير المحدودة للعناوين غير المعروفة.
قبل كل تفويض، تأكد من أن التطبيق من مصدر موثوق.
تحقق من الرابط والمصدر
أدخل عنوان URL الرسمي يدويًا، وتجنب النقر على الروابط الموجودة في وسائل التواصل الاجتماعي أو البريد الإلكتروني.
تأكد من أن الموقع يستخدم اسم النطاق وشهادة SSL الصحيحة.
احذر من الأخطاء الإملائية أو الأحرف الزائدة.
استخدام المحفظة الباردة والتوقيع المتعدد
قم بتخزين معظم الأصول في محفظة الأجهزة، وتوصيل الشبكة فقط عند الضرورة.
بالنسبة للأصول الكبيرة، استخدم أدوات التوقيع المتعددة، واطلب تأكيد المعاملات من عدة مفاتيح.
تعامل بحذر مع طلبات التوقيع
اقرأ تفاصيل المعاملة في نافذة المحفظة بعناية في كل مرة تقوم فيها بالتوقيع.
استخدم وظيفة تحليل متصفح البلوكتشين لفهم محتوى التوقيع.
إنشاء محفظة مستقلة للعمليات عالية المخاطر، وتخزين كمية صغيرة من الأصول.
التعامل مع هجوم الغبار
بعد استلام رموز غير معروفة، لا تتفاعل معها. قم بوضع علامة عليها كـ "بريد مزعج" أو إخفائها.
تأكيد مصدر الرمز من خلال متصفح البلوكتشين، إذا كان الإرسال بكميات كبيرة، كن حذرًا جدًا.
تجنب الكشف عن عنوان المحفظة، أو استخدام عنوان جديد للعمليات الحساسة.
الخاتمة
من خلال تنفيذ التدابير الأمنية المذكورة أعلاه، يمكن للمستخدمين تقليل خطر أن يصبحوا ضحايا لخطط الاحتيال المتقدمة بشكل كبير. ومع ذلك، فإن الأمان الحقيقي لا يعتمد فقط على التكنولوجيا. عندما تبني محفظة الأجهزة خطًا دفاعيًا ماديًا وتوزع التوقيعات المتعددة المخاطر، فإن فهم المستخدمين للمنطق المصرح به، وحرصهم على السلوك على البلوكتشين، هو آخر حصن ضد الهجمات.
في المستقبل، بغض النظر عن كيفية تكرار التكنولوجيا، فإن الخط الدفاعي الأساسي دائمًا هو: تحويل الوعي بالأمان إلى عادة، وإقامة توازن بين الثقة والتحقق. في عالم البلوكتشين حيث الكود هو القانون، يتم تسجيل كل عملية بشكل دائم ولا يمكن تغييرها. لذلك، من الضروري البقاء يقظًا والتصرف بحذر.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 22
أعجبني
22
9
إعادة النشر
مشاركة
تعليق
0/400
CryptoCross-TalkClub
· منذ 2 س
هل هذا؟ الحمقى الجدد أسوأ للخداع، بعد الانتهاء مباشرةً من جمع الحمقى القدامى
شاهد النسخة الأصليةرد0
TradFiRefugee
· منذ 15 س
القهوة التي سكبتها لم تبرد بعد، وقد جاء الارتفاع.
شاهد النسخة الأصليةرد0
StablecoinArbitrageur
· منذ 20 س
*sigh* المشاركون في السوق غير الفعالين يتعرضون للضرر مرة أخرى... من الناحية الإحصائية هذا حتمي مع هذه أساليب الهجوم بصراحة
شاهد النسخة الأصليةرد0
RugDocDetective
· 08-10 13:58
مبتدئ يدخل السوق دون مراجعة الدروس، حمقى خداع الناس لتحقيق الربح.
شاهد النسخة الأصليةرد0
Degentleman
· 08-10 13:58
又被خداع الناس لتحقيق الربح了一刀长记性了
شاهد النسخة الأصليةرد0
MondayYoloFridayCry
· 08-10 13:58
دعونا نبدأ مجددًا ونستمتع!
شاهد النسخة الأصليةرد0
RooftopVIP
· 08-10 13:52
لقد تم قطع الكراث حتى النهاية ، وأنا حقا لست خائفا من التشفير
أساليب جديدة للاحتيال على العقود الذكية: من تصيد التفويض إلى هجوم الغبار، دليل شامل لحماية الأصول
الفخاخ المحتملة في عالم البلوكتشين: كيف يمكن أن تصبح العقود الذكية سلاحًا للهجوم
تُعيد العملات المشفرة وتقنية البلوكتشين تشكيل مفهوم الحرية المالية، ولكن هذه الثورة جلبت أيضًا تحديات جديدة. لم يعد المحتالون يستغلون ثغرات تقنية فحسب، بل يحولون العقود الذكية للبلوكتشين نفسها إلى أدوات هجومية. من خلال فخاخ هندسية اجتماعية مصممة بعناية، يستغلون شفافية البلوكتشين وعدم قابليته للتراجع، محولين ثقة المستخدمين إلى وسيلة لسرقة الأصول. من العقود الذكية المزورة إلى التلاعب بالمعاملات عبر السلاسل، هذه الهجمات ليست فقط خفية وصعبة الكشف، بل إنها أكثر خداعًا بسبب مظهرها "الشرعي". ستقوم هذه المقالة من خلال تحليل الأمثلة، بكشف كيفية استغلال المحتالين للبروتوكولات في الهجمات، وتقديم استراتيجيات حماية شاملة، لمساعدة المستخدمين على السير بأمان في العالم اللامركزي.
١. كيف يتم تحويل البروتوكول إلى أداة احتيال؟
يجب أن تضمن بروتوكولات البلوكتشين الأمان والثقة، لكن المحتالين يستغلون ميزاتها، جنبًا إلى جنب مع إهمال المستخدمين، لإنشاء طرق هجوم خفية متعددة. فيما يلي بعض الطرق الشائعة وتفاصيلها التقنية:
(1) تفويض العقود الذكية الخبيثة
المبادئ التقنية: على البلوكتشين مثل إيثريوم، يسمح معيار توكن ERC-20 للمستخدمين بتفويض طرف ثالث (عادةً ما يكون عقدًا ذكيًا) لسحب كمية محددة من التوكنات من محفظتهم عبر دالة "Approve". تُستخدم هذه الوظيفة على نطاق واسع في بروتوكولات التمويل اللامركزي، حيث يحتاج المستخدمون إلى تفويض العقود الذكية لإجراء المعاملات أو التكديس أو تعدين السيولة. ومع ذلك، يستغل المحتالون هذه الآلية لتصميم عقود خبيثة.
طريقة العمل: ينشئ المحتالون تطبيقًا لامركزيًا يتنكر كمشروع شرعي، وعادةً ما يروجون له من خلال مواقع التصيد أو وسائل التواصل الاجتماعي. يقوم المستخدمون بربط محفظتهم ويتم إغراؤهم بالنقر على "Approve"، مما يبدو ظاهريًا كأنه تفويض لعدد قليل من الرموز، ولكن في الواقع قد يكون ذلك بحدود غير محدودة. بمجرد اكتمال التفويض، يحصل عنوان عقد المحتال على إذن لاستدعاء وظيفة "TransferFrom" في أي وقت، لسحب جميع الرموز المقابلة من محفظة المستخدم.
حالة: في أوائل عام 2023، أدى موقع احتيالي متظاهر بأنه ترقية لDEX إلى خسارة مئات المستخدمين لكميات كبيرة من العملات المستقرة وETH. تظهر بيانات البلوكتشين أن هذه المعاملات تتوافق تمامًا مع معيار ERC-20، مما يجعل من الصعب على الضحايا استعادة أصولهم من خلال الوسائل القانونية، لأن التفويض تم توقيعه طواعية.
(2) توقيع الصيد
المبادئ التقنية: تتطلب معاملات البلوكتشين من المستخدمين إنشاء توقيع باستخدام المفتاح الخاص لإثبات شرعية المعاملة. عادةً ما تظهر المحفظة طلب توقيع، وبعد تأكيد المستخدم، يتم بث المعاملة إلى الشبكة. يستغل المحتالون هذه العملية لتزوير طلبات التوقيع وسرقة الأصول.
طريقة العمل: يتلقى المستخدم رسالة بريد إلكتروني أو رسالة متخفية كإشعار رسمي، مثل "يرجى التحقق من المحفظة لاستلام NFT الخاص بك". بعد النقر على الرابط، يتم توجيه المستخدم إلى موقع ضار يطلب منه ربط المحفظة وتوقيع "عملية التحقق". قد تكون هذه المعاملة في الواقع استدعاء لدالة "Transfer"، تنقل الأصول الموجودة في المحفظة مباشرة إلى عنوان المحتال؛ أو عملية "SetApprovalForAll"، التي تمنح المحتال السيطرة على مجموعة NFT الخاصة بالمستخدم.
حالة: تعرضت مجتمع مشروع NFT المعروف لهجوم تصيد توقيع، حيث فقد العديد من المستخدمين NFTs بقيمة ملايين الدولارات بسبب توقيعهم على معاملات "استلام التوزيع الجوي" المزورة. استغل المهاجمون معيار توقيع EIP-712، وقاموا بتزوير طلبات تبدو آمنة.
(3) الرموز المزيفة و"هجمات الغبار"
المبادئ التقنية: تتيح علنية البلوكتشين لأي شخص إرسال رموز إلى أي عنوان، حتى لو لم يطلب المستلم ذلك بشكل نشط. يستغل المحتالون هذا من خلال إرسال كميات صغيرة من العملات المشفرة إلى عدة عناوين محفظة، لمتابعة نشاط المحفظة وربطها بالأفراد أو الشركات المالكة للمحفظة.
طريقة العمل: يقوم المهاجمون بإرسال كميات صغيرة من العملات المشفرة إلى عناوين مختلفة، ثم يحاولون اكتشاف العناوين التي تنتمي إلى نفس المحفظة. بعد ذلك، يستخدم المهاجمون هذه المعلومات لشن هجمات تصيد أو تهديدات على الضحايا. في معظم الحالات، يتم توزيع هذه "الغبار" على شكل توزيع جوي إلى محافظ المستخدمين، وقد تحمل هذه الرموز أسماء جذابة أو بيانات وصفية، مما يحفز المستخدمين على زيارة موقع ويب للتحقق من التفاصيل.
حالة: في الماضي، أثرت هجمات "غبار" العملات المجانية التي ظهرت على شبكة الإيثيريوم على آلاف المحافظ. فقد بعض المستخدمين ETH وERC-20 بسبب فضولهم للتفاعل.
ثانياً، لماذا يصعب اكتشاف هذه الاحتيالات؟
نجحت هذه الاحتيالات إلى حد كبير لأنها مخفية في الآليات الشرعية للبلوكتشين، مما يجعل من الصعب على المستخدمين العاديين تمييز طبيعتها الخبيثة. وفيما يلي بعض الأسباب الرئيسية:
التعقيد التكنولوجي: كود العقود الذكية وطلبات التوقيع يصعب فهمها بالنسبة للمستخدمين غير التقنيين.
الشرعية على البلوكتشين: جميع المعاملات مسجلة على البلوكتشين، مما يبدو شفافًا، ولكن الضحايا غالبًا ما يدركون عواقب التفويض أو التوقيع فقط بعد وقوع الحدث.
الهندسة الاجتماعية: يستغل المحتالون نقاط الضعف البشرية، مثل الجشع، الخوف أو الثقة.
التمويه المتقن: قد تستخدم مواقع التصيد URLs مشابهة للاسم الرسمي، بل وقد تزيد من موثوقيتها من خلال شهادة HTTPS.
٣. كيف تحمي محفظة العملات المشفرة الخاصة بك؟
面对这些 التقنية与心理 الحرب并存的骗局,保护 الأصول يحتاج إلى استراتيجيات متعددة المستويات. فيما يلي تدابير الوقاية التفصيلية:
تحقق من وإدارة أذونات التفويض
تحقق من الرابط والمصدر
استخدام المحفظة الباردة والتوقيع المتعدد
تعامل بحذر مع طلبات التوقيع
التعامل مع هجوم الغبار
الخاتمة
من خلال تنفيذ التدابير الأمنية المذكورة أعلاه، يمكن للمستخدمين تقليل خطر أن يصبحوا ضحايا لخطط الاحتيال المتقدمة بشكل كبير. ومع ذلك، فإن الأمان الحقيقي لا يعتمد فقط على التكنولوجيا. عندما تبني محفظة الأجهزة خطًا دفاعيًا ماديًا وتوزع التوقيعات المتعددة المخاطر، فإن فهم المستخدمين للمنطق المصرح به، وحرصهم على السلوك على البلوكتشين، هو آخر حصن ضد الهجمات.
في المستقبل، بغض النظر عن كيفية تكرار التكنولوجيا، فإن الخط الدفاعي الأساسي دائمًا هو: تحويل الوعي بالأمان إلى عادة، وإقامة توازن بين الثقة والتحقق. في عالم البلوكتشين حيث الكود هو القانون، يتم تسجيل كل عملية بشكل دائم ولا يمكن تغييرها. لذلك، من الضروري البقاء يقظًا والتصرف بحذر.