البلوكتشين احتيال اتجاهات جديدة: بروتوكول نفسه يصبح سلاح الهجوم
تعمل العملات المشفرة وتقنية البلوكتشين على إعادة تشكيل مفهوم الحرية المالية، لكنها في الوقت نفسه جلبت مخاطر أمنية جديدة. على عكس الهجمات التقليدية التي تعتمد على الثغرات التقنية، يقوم المحتالون الجدد بتحويل بروتوكولات عقود البلوكتشين الذكية بشكل بارع إلى أدوات هجومية. من خلال فخاخ الهندسة الاجتماعية المصممة بعناية، يستغلون شفافية البلوكتشين وعدم قابليته للعكس، لتحويل ثقة المستخدمين إلى أداة لسرقة الأصول. من عقود ذكية مزورة إلى التلاعب بالصفقات العابرة للسلاسل، هذه الهجمات ليست فقط خفية وصعبة الكشف، بل تتمتع أيضًا بقدرة خداع قوية بسبب "شرعيتها" الظاهرة. ستكشف هذه المقالة من خلال تحليل الحالات، كيف يقوم المحتالون بتحويل البروتوكولات إلى وسائل هجوم، وتقديم حلول شاملة للحماية، لمساعدة المستخدمين على السير بأمان في عالم لامركزي.
أولاً، كيف أصبحت البروتوكولات القانونية أدوات احتيال؟
بروتوكول البلوكتشين تم تصميمه لضمان الأمان والثقة، ولكن المحتالين استغلوا خصائصه، جنبًا إلى جنب مع إهمال المستخدمين، لابتكار أساليب هجوم خفية متعددة. فيما يلي بعض الأساليب النموذجية والتفاصيل التقنية لها:
(1) تفويض العقد الذكي الضار
المبادئ التقنية:
على بلوكتشين مثل الإيثيريوم، يتيح معيار رموز ERC-20 للمستخدمين من خلال دالة "Approve" منح الإذن لطرف ثالث لسحب كمية محددة من الرموز من محفظتهم. تُستخدم هذه الميزة على نطاق واسع في بروتوكولات DeFi، ولكن تم استغلالها أيضًا من قبل المحتالين لتصميم عقود خبيثة.
طريقة العمل:
المحتالون ينشئون تطبيقات لامركزية تتنكر كمشاريع قانونية، ويقومون بإغراء المستخدمين لربط محافظهم والنقر على "وافق". يبدو أن الإذن يتضمن كمية صغيرة من الرموز، لكن في الواقع قد يكون غير محدود. بمجرد اكتمال الإذن، يحصل عنوان عقد المحتالين على الصلاحية، ويمكنه سحب جميع الرموز المعنية من محفظة المستخدم في أي وقت.
مثال:
في بداية عام 2023، أدى موقع احتيالي يتنكر كموقع "تحديث某DEX" إلى خسارة مئات المستخدمين لملايين الدولارات من USDT و ETH. كانت هذه المعاملات تتوافق تمامًا مع معيار ERC-20، وكان من الصعب على الضحايا استعادة أموالهم من خلال القنوات القانونية.
(2) توقيع الصيد
مبدأ التكنولوجيا:
تتطلب معاملات البلوكتشين من المستخدمين إنشاء توقيع باستخدام المفتاح الخاص لإثبات شرعية المعاملة. عادة ما تظهر المحفظة طلب التوقيع، وبعد تأكيد المستخدم يتم بث المعاملة إلى الشبكة. يستغل المحتالون هذه العملية لتزوير طلبات التوقيع وسرقة الأصول.
طريقة العمل:
تلقى المستخدمون رسائل متخفية كإشعارات رسمية، مثل "توزيع NFT في انتظار الاستلام، يرجى التحقق من المحفظة". بعد النقر على الرابط، يتم توجيههم إلى موقع ضار، يطلبون توصيل المحفظة وتوقيع "تحقق المعاملة". قد تكون هذه المعاملة في الواقع تحويل الأصول مباشرة أو تفويض التحكم في مجموعة NFT الخاصة بالمستخدم.
حالة:
تعرضت مجتمع مشروع NFT معروف لهجوم تصيد عبر التوقيع، حيث فقد العديد من المستخدمين NFTs بقيمة عدة ملايين دولار بسبب توقيعهم على معاملات "استلام الإهداء" المزيفة. استغل المهاجمون معيار توقيع EIP-712، وقاموا بتزوير طلبات تبدو آمنة.
(3) رموز مزيفة و"هجمات الغبار"
المبادئ التقنية:
تسمح علانية البلوكتشين بإرسال الرموز إلى أي عنوان، حتى لو لم يطلب المستلم ذلك. يستغل المحتالون هذه النقطة من خلال إرسال كميات صغيرة من العملات المشفرة إلى محفظات متعددة، لتعقب أنشطة المحفظة وربطها بالمالكين.
طريقة العمل:
المهاجمون يوزعون "الغبار" على محافظ المستخدمين على شكل إيردروب، وقد تحمل هذه الرموز أسماء أو بيانات تعريف جذابة. عندما يقوم المستخدم بزيارة المواقع ذات الصلة للاستعلام عن التفاصيل، يمكن للمهاجمين الوصول إلى محفظة المستخدم من خلال عنوان العقد. والأكثر خفاءً هو، من خلال تحليل المعاملات اللاحقة للمستخدم، تحديد عناوين المحافظ النشطة وتنفيذ عمليات احتيال دقيقة.
حالة:
ظهر على شبكة الإيثيريوم هجوم "غبار GAS"، مما أثر على آلاف المحفظات. فقد بعض المستخدمين ETH و ERC-20 بسبب فضولهم في التفاعل.
٢. لماذا من الصعب اكتشاف هذه الاحتيالات؟
تنجح هذه الأنواع من الاحتيالات إلى حد كبير لأنها تختبئ في الآليات القانونية للبلوكتشين، مما يجعل من الصعب على المستخدمين العاديين تمييز طبيعتها الخبيثة. تشمل الأسباب الرئيسية ما يلي:
التعقيد الفني: كود العقد الذكي وطلبات التوقيع قد تكون غامضة لغير المستخدمين التقنيين. على سبيل المثال، قد تظهر طلبات "Approve" كبيانات ست عشرية يصعب فهمها.
الشرعية على البلوكتشين: جميع المعاملات مسجلة على البلوكتشين، وتبدو شفافة، لكن الضحايا غالبًا ما يدركون عواقب التفويض أو التوقيع في وقت لاحق.
الهندسة الاجتماعية: يستغل المحتالون نقاط الضعف البشرية، مثل الجشع والخوف والثقة، لتصميم إغراءات معقدة.
التمويه المتقن: قد تستخدم مواقع التصيد أسماء نطاق مشابهة جدًا للرسمية، وحتى تعزز مصداقيتها من خلال شهادة HTTPS.
ثلاثة، كيف تحمي محفظة العملات المشفرة؟
في مواجهة هذه الاحتيالات التي تتواجد فيها الحروب النفسية والتقنية، يتطلب حماية الأصول استراتيجيات متعددة المستويات:
تحقق من وإدارة أذونات التفويض
استخدم أداة فحص التفويض من متصفح البلوكتشين لمراجعة سجلات تفويض المحفظة بشكل دوري.
قم بإلغاء التفويضات غير الضرورية، خاصةً التفويضات غير المحدودة للعناوين غير المعروفة.
قبل كل تفويض، تأكد من أن DApp يأتي من مصدر موثوق.
تحقق من قيمة "Allowance"، إذا كانت "غير محدودة"، يجب إلغاؤها على الفور.
تحقق من الرابط والمصدر
أدخل عنوان URL الرسمي يدويًا، وتجنب النقر على الروابط الموجودة في وسائل التواصل الاجتماعي أو البريد الإلكتروني.
تأكد من أن الموقع يستخدم اسم النطاق وشهادة SSL الصحيحة.
احذر من الأخطاء الإملائية أو الأحرف الزائدة في اسم النطاق.
استخدام المحفظة الباردة والتوقيع المتعدد
قم بتخزين معظم الأصول في محفظة الأجهزة، واصل الاتصال بالإنترنت فقط عند الضرورة.
بالنسبة للأصول الكبيرة، استخدم أدوات التوقيع المتعدد، واطلب تأكيد المعاملات من عدة مفاتيح.
تعامل بحذر مع طلبات التوقيع
اقرأ تفاصيل المعاملة بعناية في كل مرة تقوم فيها بالتوقيع.
استخدم وظيفة تحليل البيانات لمتصفح البلوكتشين لفهم محتوى التوقيع.
إنشاء محفظة مستقلة للعمليات عالية المخاطر، وتخزين كمية صغيرة من الأصول.
التعامل مع هجوم الغبار
بعد استلام رموز غير معروفة، لا تتفاعل معها. قم بتصنيفها على أنها "قمامة" أو إخفاءها.
تأكيد مصدر الرمز من خلال متصفح البلوكتشين، احذر من الإرسال بالجملة.
تجنب نشر عنوان المحفظة، أو استخدام عنوان جديد للعمليات الحساسة.
خاتمة
إن تنفيذ التدابير الأمنية المذكورة أعلاه يمكن أن يقلل بشكل كبير من خطر أن تصبح ضحية لخطط الاحتيال المتقدمة، ولكن الأمن الحقيقي لا يعتمد فقط على التكنولوجيا. عندما تقوم أجهزة المحفظة المادية ببناء جدار دفاعي، وتقوم التوقيعات المتعددة بتوزيع المخاطر، فإن فهم المستخدم لمنطق التفويض، والتعامل الحذر مع السلوك على السلسلة، هو آخر حصن ضد الهجمات. كل تحليل للبيانات قبل التوقيع، وكل مراجعة للصلاحيات بعد التفويض، هي دفاع عن سيادتهم الرقمية.
في المستقبل، بغض النظر عن كيفية تطور تكرار التكنولوجيا، فإن الخط الدفاعي الأكثر جوهرية يكمن دائماً في: تحويل الوعي بالأمان إلى عادة، والسعي لتحقيق التوازن بين الثقة والتحقق. في عالم البلوكتشين حيث يكون الكود هو القانون، يتم تسجيل كل نقرة، وكل معاملة بشكل دائم، ولا يمكن تغييرها. يجب أن نبقى يقظين لنتمكن من المضي قدماً بأمان.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 8
أعجبني
8
3
مشاركة
تعليق
0/400
EthMaximalist
· 07-30 11:35
大道至简، العقود الذكية تستطيع أن تخدع الناس لتحقيق الربح
البلوكتشين بروتوكول沦为诈骗利器 كيف防范 العقود الذكية هجوم
البلوكتشين احتيال اتجاهات جديدة: بروتوكول نفسه يصبح سلاح الهجوم
تعمل العملات المشفرة وتقنية البلوكتشين على إعادة تشكيل مفهوم الحرية المالية، لكنها في الوقت نفسه جلبت مخاطر أمنية جديدة. على عكس الهجمات التقليدية التي تعتمد على الثغرات التقنية، يقوم المحتالون الجدد بتحويل بروتوكولات عقود البلوكتشين الذكية بشكل بارع إلى أدوات هجومية. من خلال فخاخ الهندسة الاجتماعية المصممة بعناية، يستغلون شفافية البلوكتشين وعدم قابليته للعكس، لتحويل ثقة المستخدمين إلى أداة لسرقة الأصول. من عقود ذكية مزورة إلى التلاعب بالصفقات العابرة للسلاسل، هذه الهجمات ليست فقط خفية وصعبة الكشف، بل تتمتع أيضًا بقدرة خداع قوية بسبب "شرعيتها" الظاهرة. ستكشف هذه المقالة من خلال تحليل الحالات، كيف يقوم المحتالون بتحويل البروتوكولات إلى وسائل هجوم، وتقديم حلول شاملة للحماية، لمساعدة المستخدمين على السير بأمان في عالم لامركزي.
أولاً، كيف أصبحت البروتوكولات القانونية أدوات احتيال؟
بروتوكول البلوكتشين تم تصميمه لضمان الأمان والثقة، ولكن المحتالين استغلوا خصائصه، جنبًا إلى جنب مع إهمال المستخدمين، لابتكار أساليب هجوم خفية متعددة. فيما يلي بعض الأساليب النموذجية والتفاصيل التقنية لها:
(1) تفويض العقد الذكي الضار
المبادئ التقنية: على بلوكتشين مثل الإيثيريوم، يتيح معيار رموز ERC-20 للمستخدمين من خلال دالة "Approve" منح الإذن لطرف ثالث لسحب كمية محددة من الرموز من محفظتهم. تُستخدم هذه الميزة على نطاق واسع في بروتوكولات DeFi، ولكن تم استغلالها أيضًا من قبل المحتالين لتصميم عقود خبيثة.
طريقة العمل: المحتالون ينشئون تطبيقات لامركزية تتنكر كمشاريع قانونية، ويقومون بإغراء المستخدمين لربط محافظهم والنقر على "وافق". يبدو أن الإذن يتضمن كمية صغيرة من الرموز، لكن في الواقع قد يكون غير محدود. بمجرد اكتمال الإذن، يحصل عنوان عقد المحتالين على الصلاحية، ويمكنه سحب جميع الرموز المعنية من محفظة المستخدم في أي وقت.
مثال: في بداية عام 2023، أدى موقع احتيالي يتنكر كموقع "تحديث某DEX" إلى خسارة مئات المستخدمين لملايين الدولارات من USDT و ETH. كانت هذه المعاملات تتوافق تمامًا مع معيار ERC-20، وكان من الصعب على الضحايا استعادة أموالهم من خلال القنوات القانونية.
(2) توقيع الصيد
مبدأ التكنولوجيا: تتطلب معاملات البلوكتشين من المستخدمين إنشاء توقيع باستخدام المفتاح الخاص لإثبات شرعية المعاملة. عادة ما تظهر المحفظة طلب التوقيع، وبعد تأكيد المستخدم يتم بث المعاملة إلى الشبكة. يستغل المحتالون هذه العملية لتزوير طلبات التوقيع وسرقة الأصول.
طريقة العمل: تلقى المستخدمون رسائل متخفية كإشعارات رسمية، مثل "توزيع NFT في انتظار الاستلام، يرجى التحقق من المحفظة". بعد النقر على الرابط، يتم توجيههم إلى موقع ضار، يطلبون توصيل المحفظة وتوقيع "تحقق المعاملة". قد تكون هذه المعاملة في الواقع تحويل الأصول مباشرة أو تفويض التحكم في مجموعة NFT الخاصة بالمستخدم.
حالة: تعرضت مجتمع مشروع NFT معروف لهجوم تصيد عبر التوقيع، حيث فقد العديد من المستخدمين NFTs بقيمة عدة ملايين دولار بسبب توقيعهم على معاملات "استلام الإهداء" المزيفة. استغل المهاجمون معيار توقيع EIP-712، وقاموا بتزوير طلبات تبدو آمنة.
(3) رموز مزيفة و"هجمات الغبار"
المبادئ التقنية: تسمح علانية البلوكتشين بإرسال الرموز إلى أي عنوان، حتى لو لم يطلب المستلم ذلك. يستغل المحتالون هذه النقطة من خلال إرسال كميات صغيرة من العملات المشفرة إلى محفظات متعددة، لتعقب أنشطة المحفظة وربطها بالمالكين.
طريقة العمل: المهاجمون يوزعون "الغبار" على محافظ المستخدمين على شكل إيردروب، وقد تحمل هذه الرموز أسماء أو بيانات تعريف جذابة. عندما يقوم المستخدم بزيارة المواقع ذات الصلة للاستعلام عن التفاصيل، يمكن للمهاجمين الوصول إلى محفظة المستخدم من خلال عنوان العقد. والأكثر خفاءً هو، من خلال تحليل المعاملات اللاحقة للمستخدم، تحديد عناوين المحافظ النشطة وتنفيذ عمليات احتيال دقيقة.
حالة: ظهر على شبكة الإيثيريوم هجوم "غبار GAS"، مما أثر على آلاف المحفظات. فقد بعض المستخدمين ETH و ERC-20 بسبب فضولهم في التفاعل.
٢. لماذا من الصعب اكتشاف هذه الاحتيالات؟
تنجح هذه الأنواع من الاحتيالات إلى حد كبير لأنها تختبئ في الآليات القانونية للبلوكتشين، مما يجعل من الصعب على المستخدمين العاديين تمييز طبيعتها الخبيثة. تشمل الأسباب الرئيسية ما يلي:
التعقيد الفني: كود العقد الذكي وطلبات التوقيع قد تكون غامضة لغير المستخدمين التقنيين. على سبيل المثال، قد تظهر طلبات "Approve" كبيانات ست عشرية يصعب فهمها.
الشرعية على البلوكتشين: جميع المعاملات مسجلة على البلوكتشين، وتبدو شفافة، لكن الضحايا غالبًا ما يدركون عواقب التفويض أو التوقيع في وقت لاحق.
الهندسة الاجتماعية: يستغل المحتالون نقاط الضعف البشرية، مثل الجشع والخوف والثقة، لتصميم إغراءات معقدة.
التمويه المتقن: قد تستخدم مواقع التصيد أسماء نطاق مشابهة جدًا للرسمية، وحتى تعزز مصداقيتها من خلال شهادة HTTPS.
ثلاثة، كيف تحمي محفظة العملات المشفرة؟
في مواجهة هذه الاحتيالات التي تتواجد فيها الحروب النفسية والتقنية، يتطلب حماية الأصول استراتيجيات متعددة المستويات:
تحقق من وإدارة أذونات التفويض
تحقق من الرابط والمصدر
استخدام المحفظة الباردة والتوقيع المتعدد
تعامل بحذر مع طلبات التوقيع
التعامل مع هجوم الغبار
خاتمة
إن تنفيذ التدابير الأمنية المذكورة أعلاه يمكن أن يقلل بشكل كبير من خطر أن تصبح ضحية لخطط الاحتيال المتقدمة، ولكن الأمن الحقيقي لا يعتمد فقط على التكنولوجيا. عندما تقوم أجهزة المحفظة المادية ببناء جدار دفاعي، وتقوم التوقيعات المتعددة بتوزيع المخاطر، فإن فهم المستخدم لمنطق التفويض، والتعامل الحذر مع السلوك على السلسلة، هو آخر حصن ضد الهجمات. كل تحليل للبيانات قبل التوقيع، وكل مراجعة للصلاحيات بعد التفويض، هي دفاع عن سيادتهم الرقمية.
في المستقبل، بغض النظر عن كيفية تطور تكرار التكنولوجيا، فإن الخط الدفاعي الأكثر جوهرية يكمن دائماً في: تحويل الوعي بالأمان إلى عادة، والسعي لتحقيق التوازن بين الثقة والتحقق. في عالم البلوكتشين حيث يكون الكود هو القانون، يتم تسجيل كل نقرة، وكل معاملة بشكل دائم، ولا يمكن تغييرها. يجب أن نبقى يقظين لنتمكن من المضي قدماً بأمان.