توقيع التصيد تحت منطق Web3
إعادة توجيه العنوان الأصلي 'شرح واضح للتوقيع الرقمي Web3 الصيد السفلي 'اختلاف التصريح بالصيد والسماح والسماح2'
TL;DR
"لماذا فقدت أموالي فقط بتوقيع اسمي؟؟" "التصيد بالتوقيع" أصبح حاليًا الأسلوب المفضل للقراصنة في Web3. في الآونة الأخيرة، رأيت العديد من الخبراء مثل Cosine والعديد من المحافظ وشركات الأمان يروجون باستمرار ويثقفون بشأن معرفة التوقيعات الرقمية المزورة. ومع ذلك، لا يزال العديد من الأشخاص يتعرضون للتصيد يوميًا.
أحد الأسباب التي تعتقد Spinach هو أن معظم الناس لا يفهمون المنطق الأساسي لمقايضات المحفظة ، وبالنسبة لأولئك الذين ليسوا على دراية بالتكنولوجيا ، فإن منحنى التعلم مرتفع للغاية. لذلك ، قررت Spinach إنشاء نسخة مصورة لتثقيف الناس حول المنطق الأساسي للتصيد الاحتيالي المميز ، ومحاولة جعله مفهوما حتى بالنسبة للأفراد غير البارعين في التكنولوجيا.
أولاً، نحتاج إلى فهم أن هناك نوعين فقط من العمليات عند استخدام محفظة: "التوقيع" و "التبادل". أبسط وأكثر فهم مباشر هو: يحدث التوقيع خارج سلسلة الكتل (خارج السلسلة)، ولا يتطلب إنفاق رسوم الغاز؛ يحدث التبادل على سلسلة الكتل (على السلسلة)، ويتطلب إنفاق رسوم الغاز.
السيناريو الشائع للتوقيع هو التحقق من أنك أنت، مثل تسجيل الدخول إلى محفظة. على سبيل المثال، إذا كنت ترغب في تبديل الرموز على منصة Uniswap، فيجب عليك الاتصال بمحفظتك أولاً. في هذه النقطة، تحتاج إلى توقيع رسالة لإخبار الموقع بأنك "أنا صاحب هذه المحفظة"، ثم يمكنك استخدام منصة Uniswap. هذه الخطوة لا تتسبب في أي تغييرات في البيانات أو الحالة على سلسلة الكتل، لذا لا تتطلب إنفاق أموال.
فيما يتعلق بالتبادل، عندما ترغب فعليًا في تبادل الرموز على يونيسواب، عليك أن تنفق بعض الأموال لإخبار عقد يونيسواب الذكي: “أريد تبادل 100 دولار أمريكي مقابل عملة Spinach، وأؤكد لك بنقل 100 دولار أمريكي من حسابي.” يُطلق على هذه الخطوة اسم الموافقة. بعد ذلك، عليك أن تنفق مبلغًا آخر من المال لتقول لعقد يونيسواب الذكي: “أنا الآن جاهز لتبادل 100 دولار أمريكي مقابل عملة Spinach، يمكنك الاستمرار في العملية الآن.” بعد ذلك، قمت بإتمام عملية تبادل 100 دولار أمريكي مقابل عملة Spinach.
بعد فهم بسيط للفرق بين التوقيعات والتبادلات، دعونا نقدم مبدأ الاحتيال. التصيد عادة ما يشمل ثلاث طرق مختلفة: التصيد بالتصريح، والتصيد بالتوقيع المصرح به، والتصيد بالتوقيع المصرح به 2. هذه الثلاثة طرق شائعة جدًا للتصيد.
لنبدأ بالتصيد الخاص بالتفويض، وهو واحد من تقنيات التصيد الكلاسيكية في Web3. كما يوحي الاسم، فإنه يستغل آلية التفويض (الموافقة). كما هو موضح في مثال Uniswap، فإن التفويض يسمح لعقد ذكي بـ "الموافقة على نقل xxx من Tokens الخاصة بي." يمكن للقراصنة إنشاء موقع ويب للتصيد مزيف، يتنكر كمشروع NFT ذو واجهة جذابة. في منتصف الموقع، يوجد زر كبير جميل يقول "ادع مكافآت الهبوط الخاصة بك." عند النقر عليه، يظهر المحفظة شاشة تطلب منك الموافقة على نقل Tokens الخاصة بك إلى عنوان القرصنة. إذا قمت بتأكيد ذلك، فتهانينا، فقد أكمل القرصنة بنجاح أداء KPI.
لكن التصيد مصادقة لديه مشكلة: لأنه يتطلب رسوم الغاز، يظل الكثير من الناس حذرين عندما يتعلق الأمر بإنفاق الأموال. بعد النقر على موقع ويب مشبوه، غالبًا ما يلاحظ الناس بسرعة أن هناك شيئًا خاطئًا، مما يجعل من السهل بشكل نسبي منعه.
الآن دعونا ننتقل إلى تركيز اليوم: التصيد بالتوقيع والتصيد بنوع التصريح، وهما نقاط ساخنة في مجال أمان الأصول في Web3. لماذا يكون من الصعب جدًا الدفاع عنهما؟ لأنه في كل مرة ترغب في استخدام Dapp، يجب عليك تسجيل الدخول إلى محفظتك. الكثيرون قد وضعوا اعتيادًا في تفكيرهم: 'هذه العملية آمنة.' بالإضافة إلى أنها لا تتطلب إنفاق أموال، ومعظم الناس لا يفهمون الآثار وراء كل توقيع.
دعونا أولا نلقي نظرة على آلية التصريح. التصريح هو ميزة تمديد للترخيص بموجب معيار ERC-20. على سبيل المثال ، USDT ، الذي نستخدمه بشكل شائع ، هو رمز ERC-20. بعبارات بسيطة ، يسمح لك التصريح بالتوقيع والموافقة على أشخاص آخرين لنقل الرموز المميزة الخاصة بك. نحن نعلم أن التفويض (الموافقة) هو عندما تنفق المال لإخبار العقد الذكي: "يمكنك نقل مبلغ xxx من الرموز المميزة الخاصة بي." لذا ، فإن التصريح يشبه التوقيع على "ملاحظة" لشخص ما ، قائلا: "أسمح لشخص ما بنقل مبلغ xxx من الرموز المميزة الخاصة بي". بعد ذلك ، يقدم هذا الشخص هذه "الملاحظة" إلى العقد الذكي ويدفع رسوم الغاز ، قائلا للعقد الذكي: "يسمح لي بنقل مبلغ xxx من الرموز المميزة الخاصة به". ثم يمكن نقل الرموز الخاصة بك من قبل شخص آخر. في هذه العملية ، تقوم ببساطة بتوقيع اسم ، ولكن خلفه ، فهذا يعني أنك تسمح للآخرين بالاتصال بالتفويض (الموافقة) ونقل الرموز المميزة الخاصة بك. يمكن للمتسلل إنشاء موقع ويب للتصيد الاحتيالي ، واستبدال زر تسجيل الدخول إلى المحفظة بزر السماح بالتصيد الاحتيالي ، مما يسهل صيد أصولك.
إذن ما هو التصريح 2؟ Permit2 ليست في الواقع وظيفة ERC-20 ، ولكنها وظيفة أطلقتها Uniswap لراحة المستخدمين. قال المثال السابق أنه إذا كنت ترغب في استبدال USDT بعملات السبانخ على Uniswap ، فأنت بحاجة إلى تفويض (موافقة) مرة واحدة ثم استبدالها. ، الأمر الذي يتطلب رسومين للغاز، لذلك توصلت Uniswap إلى طريقة: «أنت تأذن لي بكل الحصة دفعة واحدة، وتوقع اسمك في كل مرة تسترد فيها وسأتعامل معها نيابة عنك». تساعد هذه الوظيفة مستخدمي Uniswap ما عليك سوى دفع رسوم الغاز مرة واحدة عند استخدامه ، وهذه الخطوة هي التوقيع ، لذلك لا يتم دفع رسوم الغاز فعليا من قبلك ، ولكن يتم دفعها بموجب عقد Permit2 ، ولكن سيتم خصمها من الرمز المميز الذي تسترده أخيرا.
ومع ذلك، الشرط للتصيد بإذن 2 هو أن يكون لديك استخدمت سابقاً يوني سواب وأذنت بسقف غير محدود للعقد الذكي إذن ٢. حيث أن عملية يوني سواب الافتراضية حالياً هي منح سقف غير محدود، فإن عدد المستخدمين الذين يستوفون هذا الشرط كبير جداً. بالمثل، طالما قام القراصنة بخداعك لتوقيع إذن 2، يمكنهم نقل الرموز الخاصة بك (محدودة لتلك التي أذنت بها مسبقاً).
في الختام، جوهر التصيد بالتفويض هو أن تنفق الأموال لتخبر العقد الذكي، 'أوافق على نقل الرموز الخاصة بي إلى القراصنة.' جوهر التصيد بالتوقيع هو أن توقع 'مذكرة' تسمح للآخرين بنقل أصولك إلى القراصنة، وينفق القراصنة الأموال ليخبر العقد الذكي، 'أريد نقل رموزه إلي.' تعتبر Permit و Permit2 نقاط ساخنة حاليًا لتصيد التواقيع. يعد Permit ميزة تمديد التفويض في ERC-20، بينما يعد Permit2 ميزة جديدة تم تقديمها من قبل Uniswap.
إذا، كيف يمكنك منع هذه الهجمات عبر الإنترنت بمجرد فهمك للمبادئ؟
تطوير الوعي الأمني:من الضروري دائمًا التحقق من العملية التي تقوم بأدائها في كل مرة تتفاعل فيها مع محفظتك.
فصل الأموال الكبيرة والمحافظ لأنشطة على السلسلة: بفصل الأموال الكبيرة عن المحافظ المستخدمة لأنشطة على السلسلة، يمكنك تقليل الخسائر إذا كنت ضحية للتصيد.
تعلم كيفية تحديد تنسيقات التوقيع Permit و Permit2: كن حذرًا كلما واجهت تنسيقات التوقيع التالية:
تفاعلي: عنوان URL للتبديل
Owner: عنوان المصرح
المتبرع: عنوان الطرف المعتمد
القيمة: الكمية المصرح بها
Nonce: رقم عشوائي
الموعد النهائي: وقت انتهاء الصلاحية
إخلاء المسؤولية:
- تم نقل هذه المقالة من [السبانخ السبانخ تتحدث عن Web3]. إعادة توجيه العنوان الأصلي '大白话讲解Web3签名钓鱼底层逻辑“授权钓鱼،Permit与Permit2的区别”'. جميع حقوق النسخ ملك للكاتب الأصلي [菠菜菠菜谈Web]. إذا كانت هناك اعتراضات على هذا النشر مرجع، يرجى الاتصال بالبوابة تعلمالفريق، وسيقومون بالتعامل معها بسرعة.
- إخلاء المسؤولية: الآراء ووجهات النظر الواردة في هذه المقالة هي آراء المؤلف فقط ولا تشكل أي نصيحة استثمارية.
- يتم إجراء ترجمة المقال إلى لغات أخرى من قبل فريق Gate Learn. ما لم يذكر غير ذلك، فإن نسخ أو توزيع أو الاستيلاء على المقالات المترجمة ممنوع.
แชร์
เนื้อหา
บทความที่เกี่ยวข้อง
ما هو Tronscan وكيف يمكنك استخدامه؟
دليل المبتدئين للتداول
المخاطر التي يجب أن تكون على دراية بها عند تداول العملات المشفرة
توقيع التصيد تحت منطق Web3
إعادة توجيه العنوان الأصلي 'شرح واضح للتوقيع الرقمي Web3 الصيد السفلي 'اختلاف التصريح بالصيد والسماح والسماح2'
TL;DR
"لماذا فقدت أموالي فقط بتوقيع اسمي؟؟" "التصيد بالتوقيع" أصبح حاليًا الأسلوب المفضل للقراصنة في Web3. في الآونة الأخيرة، رأيت العديد من الخبراء مثل Cosine والعديد من المحافظ وشركات الأمان يروجون باستمرار ويثقفون بشأن معرفة التوقيعات الرقمية المزورة. ومع ذلك، لا يزال العديد من الأشخاص يتعرضون للتصيد يوميًا.
أحد الأسباب التي تعتقد Spinach هو أن معظم الناس لا يفهمون المنطق الأساسي لمقايضات المحفظة ، وبالنسبة لأولئك الذين ليسوا على دراية بالتكنولوجيا ، فإن منحنى التعلم مرتفع للغاية. لذلك ، قررت Spinach إنشاء نسخة مصورة لتثقيف الناس حول المنطق الأساسي للتصيد الاحتيالي المميز ، ومحاولة جعله مفهوما حتى بالنسبة للأفراد غير البارعين في التكنولوجيا.
أولاً، نحتاج إلى فهم أن هناك نوعين فقط من العمليات عند استخدام محفظة: "التوقيع" و "التبادل". أبسط وأكثر فهم مباشر هو: يحدث التوقيع خارج سلسلة الكتل (خارج السلسلة)، ولا يتطلب إنفاق رسوم الغاز؛ يحدث التبادل على سلسلة الكتل (على السلسلة)، ويتطلب إنفاق رسوم الغاز.
السيناريو الشائع للتوقيع هو التحقق من أنك أنت، مثل تسجيل الدخول إلى محفظة. على سبيل المثال، إذا كنت ترغب في تبديل الرموز على منصة Uniswap، فيجب عليك الاتصال بمحفظتك أولاً. في هذه النقطة، تحتاج إلى توقيع رسالة لإخبار الموقع بأنك "أنا صاحب هذه المحفظة"، ثم يمكنك استخدام منصة Uniswap. هذه الخطوة لا تتسبب في أي تغييرات في البيانات أو الحالة على سلسلة الكتل، لذا لا تتطلب إنفاق أموال.
فيما يتعلق بالتبادل، عندما ترغب فعليًا في تبادل الرموز على يونيسواب، عليك أن تنفق بعض الأموال لإخبار عقد يونيسواب الذكي: “أريد تبادل 100 دولار أمريكي مقابل عملة Spinach، وأؤكد لك بنقل 100 دولار أمريكي من حسابي.” يُطلق على هذه الخطوة اسم الموافقة. بعد ذلك، عليك أن تنفق مبلغًا آخر من المال لتقول لعقد يونيسواب الذكي: “أنا الآن جاهز لتبادل 100 دولار أمريكي مقابل عملة Spinach، يمكنك الاستمرار في العملية الآن.” بعد ذلك، قمت بإتمام عملية تبادل 100 دولار أمريكي مقابل عملة Spinach.
بعد فهم بسيط للفرق بين التوقيعات والتبادلات، دعونا نقدم مبدأ الاحتيال. التصيد عادة ما يشمل ثلاث طرق مختلفة: التصيد بالتصريح، والتصيد بالتوقيع المصرح به، والتصيد بالتوقيع المصرح به 2. هذه الثلاثة طرق شائعة جدًا للتصيد.
لنبدأ بالتصيد الخاص بالتفويض، وهو واحد من تقنيات التصيد الكلاسيكية في Web3. كما يوحي الاسم، فإنه يستغل آلية التفويض (الموافقة). كما هو موضح في مثال Uniswap، فإن التفويض يسمح لعقد ذكي بـ "الموافقة على نقل xxx من Tokens الخاصة بي." يمكن للقراصنة إنشاء موقع ويب للتصيد مزيف، يتنكر كمشروع NFT ذو واجهة جذابة. في منتصف الموقع، يوجد زر كبير جميل يقول "ادع مكافآت الهبوط الخاصة بك." عند النقر عليه، يظهر المحفظة شاشة تطلب منك الموافقة على نقل Tokens الخاصة بك إلى عنوان القرصنة. إذا قمت بتأكيد ذلك، فتهانينا، فقد أكمل القرصنة بنجاح أداء KPI.
لكن التصيد مصادقة لديه مشكلة: لأنه يتطلب رسوم الغاز، يظل الكثير من الناس حذرين عندما يتعلق الأمر بإنفاق الأموال. بعد النقر على موقع ويب مشبوه، غالبًا ما يلاحظ الناس بسرعة أن هناك شيئًا خاطئًا، مما يجعل من السهل بشكل نسبي منعه.
الآن دعونا ننتقل إلى تركيز اليوم: التصيد بالتوقيع والتصيد بنوع التصريح، وهما نقاط ساخنة في مجال أمان الأصول في Web3. لماذا يكون من الصعب جدًا الدفاع عنهما؟ لأنه في كل مرة ترغب في استخدام Dapp، يجب عليك تسجيل الدخول إلى محفظتك. الكثيرون قد وضعوا اعتيادًا في تفكيرهم: 'هذه العملية آمنة.' بالإضافة إلى أنها لا تتطلب إنفاق أموال، ومعظم الناس لا يفهمون الآثار وراء كل توقيع.
دعونا أولا نلقي نظرة على آلية التصريح. التصريح هو ميزة تمديد للترخيص بموجب معيار ERC-20. على سبيل المثال ، USDT ، الذي نستخدمه بشكل شائع ، هو رمز ERC-20. بعبارات بسيطة ، يسمح لك التصريح بالتوقيع والموافقة على أشخاص آخرين لنقل الرموز المميزة الخاصة بك. نحن نعلم أن التفويض (الموافقة) هو عندما تنفق المال لإخبار العقد الذكي: "يمكنك نقل مبلغ xxx من الرموز المميزة الخاصة بي." لذا ، فإن التصريح يشبه التوقيع على "ملاحظة" لشخص ما ، قائلا: "أسمح لشخص ما بنقل مبلغ xxx من الرموز المميزة الخاصة بي". بعد ذلك ، يقدم هذا الشخص هذه "الملاحظة" إلى العقد الذكي ويدفع رسوم الغاز ، قائلا للعقد الذكي: "يسمح لي بنقل مبلغ xxx من الرموز المميزة الخاصة به". ثم يمكن نقل الرموز الخاصة بك من قبل شخص آخر. في هذه العملية ، تقوم ببساطة بتوقيع اسم ، ولكن خلفه ، فهذا يعني أنك تسمح للآخرين بالاتصال بالتفويض (الموافقة) ونقل الرموز المميزة الخاصة بك. يمكن للمتسلل إنشاء موقع ويب للتصيد الاحتيالي ، واستبدال زر تسجيل الدخول إلى المحفظة بزر السماح بالتصيد الاحتيالي ، مما يسهل صيد أصولك.
إذن ما هو التصريح 2؟ Permit2 ليست في الواقع وظيفة ERC-20 ، ولكنها وظيفة أطلقتها Uniswap لراحة المستخدمين. قال المثال السابق أنه إذا كنت ترغب في استبدال USDT بعملات السبانخ على Uniswap ، فأنت بحاجة إلى تفويض (موافقة) مرة واحدة ثم استبدالها. ، الأمر الذي يتطلب رسومين للغاز، لذلك توصلت Uniswap إلى طريقة: «أنت تأذن لي بكل الحصة دفعة واحدة، وتوقع اسمك في كل مرة تسترد فيها وسأتعامل معها نيابة عنك». تساعد هذه الوظيفة مستخدمي Uniswap ما عليك سوى دفع رسوم الغاز مرة واحدة عند استخدامه ، وهذه الخطوة هي التوقيع ، لذلك لا يتم دفع رسوم الغاز فعليا من قبلك ، ولكن يتم دفعها بموجب عقد Permit2 ، ولكن سيتم خصمها من الرمز المميز الذي تسترده أخيرا.
ومع ذلك، الشرط للتصيد بإذن 2 هو أن يكون لديك استخدمت سابقاً يوني سواب وأذنت بسقف غير محدود للعقد الذكي إذن ٢. حيث أن عملية يوني سواب الافتراضية حالياً هي منح سقف غير محدود، فإن عدد المستخدمين الذين يستوفون هذا الشرط كبير جداً. بالمثل، طالما قام القراصنة بخداعك لتوقيع إذن 2، يمكنهم نقل الرموز الخاصة بك (محدودة لتلك التي أذنت بها مسبقاً).
في الختام، جوهر التصيد بالتفويض هو أن تنفق الأموال لتخبر العقد الذكي، 'أوافق على نقل الرموز الخاصة بي إلى القراصنة.' جوهر التصيد بالتوقيع هو أن توقع 'مذكرة' تسمح للآخرين بنقل أصولك إلى القراصنة، وينفق القراصنة الأموال ليخبر العقد الذكي، 'أريد نقل رموزه إلي.' تعتبر Permit و Permit2 نقاط ساخنة حاليًا لتصيد التواقيع. يعد Permit ميزة تمديد التفويض في ERC-20، بينما يعد Permit2 ميزة جديدة تم تقديمها من قبل Uniswap.
إذا، كيف يمكنك منع هذه الهجمات عبر الإنترنت بمجرد فهمك للمبادئ؟
تطوير الوعي الأمني:من الضروري دائمًا التحقق من العملية التي تقوم بأدائها في كل مرة تتفاعل فيها مع محفظتك.
فصل الأموال الكبيرة والمحافظ لأنشطة على السلسلة: بفصل الأموال الكبيرة عن المحافظ المستخدمة لأنشطة على السلسلة، يمكنك تقليل الخسائر إذا كنت ضحية للتصيد.
تعلم كيفية تحديد تنسيقات التوقيع Permit و Permit2: كن حذرًا كلما واجهت تنسيقات التوقيع التالية:
تفاعلي: عنوان URL للتبديل
Owner: عنوان المصرح
المتبرع: عنوان الطرف المعتمد
القيمة: الكمية المصرح بها
Nonce: رقم عشوائي
الموعد النهائي: وقت انتهاء الصلاحية
إخلاء المسؤولية:
- تم نقل هذه المقالة من [السبانخ السبانخ تتحدث عن Web3]. إعادة توجيه العنوان الأصلي '大白话讲解Web3签名钓鱼底层逻辑“授权钓鱼،Permit与Permit2的区别”'. جميع حقوق النسخ ملك للكاتب الأصلي [菠菜菠菜谈Web]. إذا كانت هناك اعتراضات على هذا النشر مرجع، يرجى الاتصال بالبوابة تعلمالفريق، وسيقومون بالتعامل معها بسرعة.
- إخلاء المسؤولية: الآراء ووجهات النظر الواردة في هذه المقالة هي آراء المؤلف فقط ولا تشكل أي نصيحة استثمارية.
- يتم إجراء ترجمة المقال إلى لغات أخرى من قبل فريق Gate Learn. ما لم يذكر غير ذلك، فإن نسخ أو توزيع أو الاستيلاء على المقالات المترجمة ممنوع.
บทความที่เกี่ยวข้อง
ما هو Tronscan وكيف يمكنك استخدامه؟
دليل المبتدئين للتداول