- الموضوع
89k درجة الشعبية
42k درجة الشعبية
14k درجة الشعبية
4k درجة الشعبية
5k درجة الشعبية
29k درجة الشعبية
16k درجة الشعبية
22k درجة الشعبية
13k درجة الشعبية
3k درجة الشعبية
- تثبيت
89k درجة الشعبية
42k درجة الشعبية
14k درجة الشعبية
4k درجة الشعبية
5k درجة الشعبية
29k درجة الشعبية
16k درجة الشعبية
22k درجة الشعبية
13k درجة الشعبية
3k درجة الشعبية
البلوكتشين الأمنية تحديات جديدة: العقود الذكية و تقنيات الهندسة الاجتماعية التهديدات المزدوجة
أمان البلوكتشين: العقود الذكية والتحديات المزدوجة للهندسة الاجتماعية
تقوم العملات المشفرة وتكنولوجيا البلوكتشين بإعادة تشكيل مفهوم الحرية المالية، ولكن هذه الثورة جلبت أيضًا تهديدات أمان جديدة. لم يعد المحتالون يستغلون الثغرات التقنية فقط، بل حولوا العقود الذكية الخاصة بالبلوكتشين نفسها إلى أدوات هجوم. من خلال فخاخ هندسية اجتماعية مصممة بعناية، يستفيدون من شفافية البلوكتشين وعدم قابليتها للعكس، مما يحول ثقة المستخدمين إلى وسيلة لسرقة الأصول. من التزوير في العقود الذكية إلى التلاعب بالمعاملات عبر السلاسل، هذه الهجمات ليست فقط خفية وصعبة الكشف، بل أكثر خداعًا بسبب مظهرها "الشرعي". ستقوم هذه المقالة من خلال تحليل الحالات، بالكشف عن كيفية تحويل المحتالين للبروتوكولات إلى وسائل هجوم، وتقديم حلول شاملة من الحماية التقنية إلى الوقاية السلوكية.
1. كيف أصبحت الاتفاقيات القانونية أدوات احتيال؟
يجب أن تضمن بروتوكولات البلوكتشين الأمان والثقة، ولكن المحتالين يستغلون ميزاتها، جنبًا إلى جنب مع إهمال المستخدمين، لخلق العديد من أساليب الهجوم الخفية. فيما يلي بعض الأساليب الشائعة وتفاصيلها الفنية:
(1) تفويض العقود الذكية الضارة
المبادئ التقنية: في البلوكتشين مثل الإيثيريوم، يسمح معيار رموز ERC-20 للمستخدمين بتفويض طرف ثالث لسحب كمية محددة من الرموز من محفظتهم من خلال دالة "Approve". تُستخدم هذه الميزة على نطاق واسع في بروتوكولات التمويل اللامركزي (DeFi)، حيث يحتاج المستخدمون إلى تفويض العقود الذكية لإجراء المعاملات أو الرهن أو تعدين السيولة. ومع ذلك، يستغل المحتالون هذه الآلية لتصميم عقود خبيثة.
طريقة العمل: يخلق المحتالون تطبيقًا لا مركزيًا (DApp) يتنكر كمشروع قانوني، عادةً من خلال مواقع التصيد الاحتيالي أو وسائل التواصل الاجتماعي. يتصل المستخدمون بمحفظتهم ويتم تحفيزهم للنقر على "Approve"، والذي يبدو ظاهريًا كإذن لعدد قليل من الرموز، بينما قد يكون في الواقع غير محدود. بمجرد اكتمال الإذن، يحصل عنوان عقد المحتالين على صلاحية لاستدعاء وظيفة "TransferFrom" في أي وقت، لاستخراج جميع الرموز المقابلة من محفظة المستخدم.
حالات واقعية: في أوائل عام 2023، أدى موقع ويب احتيالي يتنكر ك"ترقية معينة للDEX" إلى خسارة مئات المستخدمين لملايين الدولارات من USDT وETH. تظهر البيانات على البلوكتشين أن هذه المعاملات تتماشى تمامًا مع معيار ERC-20، ويواجه الضحايا صعوبة في استرداد أموالهم من خلال الوسائل القانونية، لأن التفويض تم التوقيع عليه طوعًا.
(2) توقيع الصيد
المبادئ التقنية: تتطلب معاملات البلوكتشين من المستخدمين إنشاء توقيع بواسطة المفتاح الخاص لإثبات شرعية المعاملة. عادة ما ستظهر المحفظة طلب توقيع، وبعد تأكيد المستخدم، يتم بث المعاملة إلى الشبكة. يستغل المحتالون هذه العملية لتزوير طلبات التوقيع وسرقة الأصول.
طريقة التشغيل: يتلقى المستخدم رسالة بريد إلكتروني أو رسالة فورية مت disguised كإشعار رسمي، مثل "يجب استلام NFT الخاص بك، يرجى التحقق من المحفظة". بعد النقر على الرابط، يتم توجيه المستخدم إلى موقع ضار، يطلب منه ربط المحفظة والتوقيع على "معاملة تحقق". قد تكون هذه المعاملة في الواقع استدعاء لوظيفة "Transfer"، تنقل مباشرة ETH أو الرموز من المحفظة إلى عنوان المحتال؛ أو تكون عملية "SetApprovalForAll"، تفوض المحتال بالتحكم في مجموعة NFTs الخاصة بالمستخدم.
حالات واقعية: تعرض مجتمع مشروع NFT مشهور لهجوم تصيد عن طريق التوقيع، حيث فقد العديد من المستخدمين NFTs بقيمة ملايين الدولارات بسبب توقيعهم على معاملات "استلام الإيجارات" المزيفة. استغل المهاجمون معيار توقيع EIP-712، وقدموا طلبات تبدو آمنة.
(3) رموز مزيفة و"هجوم الغبار"
المبادئ التقنية: تسمح علانية البلوكتشين لأي شخص بإرسال رموز إلى أي عنوان، حتى لو لم يطلب المستلم ذلك بشكل نشط. يستغل المحتالون هذه النقطة من خلال إرسال كميات صغيرة من العملات المشفرة إلى عدة عناوين محفظة، لتتبع أنشطة المحافظ وربطها بالأفراد أو الشركات المالكة لتلك المحافظ.
طريقة العمل: يُرسل المهاجمون كمية صغيرة من رموز "الغبار" إلى عناوين مختلفة في محاولة لمعرفة أي منها ينتمي إلى نفس المحفظة. قد تحمل هذه الرموز أسماء أو بيانات وصفية مغرية، مما يحفز المستخدمين على زيارة موقع معين للاستعلام عن التفاصيل. قد يحاول المستخدمون صرف هذه الرموز، مما يتيح للمهاجمين الوصول إلى محفظة المستخدم من خلال عنوان العقد المرفق بالرموز. والأكثر خفاءً، هو أن هجوم الغبار يمكن أن يُنفذ من خلال تحليل معاملات المستخدم التالية، لتحديد عناوين المحافظ النشطة للمستخدم، وبالتالي تنفيذ عمليات الاحتيال بدقة أكبر.
حالات حقيقية: ظهرت هجمات "غبار الرموز" على شبكة إيثيريوم، مما أثر على آلاف المحافظ. بعض المستخدمين فقدوا ETH ورموز ERC-20 بسبب فضولهم في التفاعل.
ثانياً، لماذا يصعب اكتشاف هذه الاحتيالات؟
هذه الاحتيالات ناجحة إلى حد كبير لأنها مخفية داخل آليات البلوكتشين الشرعية، مما يجعل من الصعب على المستخدمين العاديين تمييز طبيعتها الخبيثة. فيما يلي بعض الأسباب الرئيسية:
تعقيد التكنولوجيا: تعتبر شيفرة العقود الذكية وطلبات التوقيع غامضة وصعبة الفهم للمستخدمين غير التقنيين. على سبيل المثال، قد تظهر طلب "Approve" كبيانات ست عشرية مثل "0x095ea7b3..."، مما يجعل من الصعب على المستخدمين تفسير معناها.
الشرعية على البلوكتشين: جميع المعاملات مسجلة على البلوكتشين، وتبدو شفافة، لكن الضحايا غالبًا ما يدركون العواقب المترتبة على التفويض أو التوقيع بعد فوات الأوان، وعندها تكون الأصول قد أصبحت غير قابلة للاسترداد.
الهندسة الاجتماعية: يستغل المحتالون نقاط ضعف الطبيعة البشرية، مثل الجشع ("احصل على 1000 دولار من الرموز مجانًا")، والخوف ("حساب غير عادي يحتاج إلى تحقق")، أو الثقة (يتنكرون كخدمة العملاء).
التمويه المتقن: قد تستخدم مواقع التصيد URL مشابهة للاسم الرسمي، وحتى تزيد من مصداقيتها من خلال شهادة HTTPS.
ثلاثة، كيف تحمي محفظة العملات المشفرة الخاصة بك؟
في مواجهة هذه الاحتيالات التي تتواجد فيها الحروب النفسية والتقنية، يحتاج حماية الأصول إلى استراتيجيات متعددة المستويات. فيما يلي تدابير الوقاية المفصلة:
تحقق من إدارة أذونات التفويض
تحقق من الروابط والمصدر
استخدام المحفظة الباردة والتوقيع المتعدد
تعامل بحذر مع طلبات التوقيع
التعامل مع هجمات الغبار
الخاتمة
من خلال تنفيذ التدابير الأمنية المذكورة أعلاه، يمكن للمستخدمين تقليل خطر أن يصبحوا ضحايا لخطط الاحتيال المتقدمة بشكل كبير، ولكن الأمن الحقيقي لا يعتمد فقط على التكنولوجيا. عندما تشكل محافظ الأجهزة خط دفاع مادي، وتوزع التوقيعات المتعددة المخاطر، فإن فهم المستخدمين للمنطق المصرح به وحرصهم على السلوك على السلسلة هو آخر حصن ضد الهجمات. إن تحليل البيانات قبل كل توقيع، ومراجعة الأذونات بعد كل تفويض، هي حماية لسيادتهم الرقمية.
في المستقبل، بغض النظر عن كيفية تطور التكنولوجيا، فإن الخط الدفاعي الأساسي يكمن دائماً في: دمج الوعي بالأمان كعادة، وإقامة توازن بين الثقة والتحقق. في عالم البلوكتشين، يتم تسجيل كل نقرة وكل معاملة بشكل دائم، ولا يمكن تغييرها. لذلك، فإن البقاء يقظاً والتعلم المستمر أمران أساسيان لتحقيق الأمان في هذا المجال سريع التطور.