عالم البلوكتشين المخاطر الخفية: كيف يمكن أن تصبح العقود الذكية أداة لسرقة الأصول
تقوم العملات المشفرة وتقنية البلوكتشين بإعادة تشكيل مفهوم الحرية المالية، لكن هذه الثورة جلبت أيضًا تحديات جديدة للأمان. لم يعد المحتالون يقتصرون على استغلال ثغرات تقنية، بل حولوا بروتوكولات العقود الذكية للبلوكتشين نفسها إلى أدوات للهجوم. من خلال فخاخ هندسية اجتماعية مصممة بعناية، يستغلون شفافية البلوكتشين وعدم قابليته للعكس، محولين ثقة المستخدمين إلى وسائل لسرقة الأصول. من تزوير العقود الذكية إلى التلاعب بالمعاملات عبر الشبكات، هذه الهجمات ليست فقط خفية وصعبة التتبع، بل تمتلك أيضًا خداعًا قويًا بسبب مظهرها "الشرعي".
١. كيف تتحول الاتفاقيات القانونية إلى أدوات احتيال؟
يجب أن تضمن بروتوكولات البلوكتشين الأمان والثقة، ولكن المحتالين يتلاعبون بذكاء بخصائصها، جنبًا إلى جنب مع إهمال المستخدمين، مما يخلق مجموعة متنوعة من أساليب الهجوم الخفية. فيما يلي بعض الأساليب الشائعة وتفاصيلها التقنية:
(1) تفويض العقود الذكية الخبيثة
مبدأ التقنية:
في البلوكتشين مثل الإيثيريوم، يسمح معيار رموز ERC-20 للمستخدمين من خلال وظيفة "Approve" بتفويض طرف ثالث لسحب كمية معينة من الرموز من محفظتهم. تُستخدم هذه الوظيفة على نطاق واسع في بروتوكولات DeFi، حيث يحتاج المستخدمون إلى تفويض العقود الذكية لإتمام المعاملات أو الرهن أو تعدين السيولة. ومع ذلك، يستغل المحتالون هذه الآلية لتصميم عقود خبيثة.
كيفية العمل:
أنشأ المحتالون تطبيقًا لامركزيًا يتظاهر بأنه مشروع شرعي، وعادة ما يتم الترويج له من خلال مواقع التصيد الاحتيالي أو وسائل التواصل الاجتماعي. يقوم المستخدمون بربط محفظتهم ويتم إغواؤهم بالنقر على "Approve"، والذي يبدو ظاهريًا كأنه تفويض لعدد قليل من الرموز، ولكنه في الواقع قد يكون بحدود غير محدودة. بمجرد اكتمال التفويض، يحصل عنوان عقد المحتالين على الإذن، مما يسمح له بسحب جميع الرموز المقابلة من محفظة المستخدم في أي وقت.
حالات واقعية:
في أوائل عام 2023، أدى موقع احتيالي يتنكر ك"ترقية معينة لـ DEX" إلى خسارة مئات من المستخدمين لملايين الدولارات من USDT وETH. تُظهر بيانات البلوكتشين أن هذه المعاملات تتوافق تمامًا مع معيار ERC-20، ولم يتمكن الضحايا حتى من استرداد أموالهم من خلال الوسائل القانونية، لأن التفويض تم توقيعه طواعية.
(2) توقيع تصيد
المبادئ التقنية:
تتطلب معاملات البلوكتشين من المستخدمين إنشاء توقيع باستخدام المفتاح الخاص لإثبات شرعية المعاملة. عادةً ما تظهر المحفظة طلب توقيع، وبعد تأكيد المستخدم، يتم بث المعاملة إلى الشبكة. يستغل المحتالون هذه العملية لتزوير طلبات التوقيع وسرقة الأصول.
طريقة التشغيل:
تلقى المستخدم بريدًا إلكترونيًا أو رسالة على وسائل التواصل الاجتماعي تتظاهر بأنها إشعار رسمي، مثل "تستطيع استلام إيردروب NFT الخاص بك، يرجى التحقق من المحفظة". بعد النقر على الرابط، يتم توجيه المستخدم إلى موقع ضار يطلب منه توصيل محفظته وتوقيع "معاملة التحقق". هذه المعاملة قد تكون في الواقع استدعاء لدالة "Transfer"، تنقل مباشرة ETH أو الرموز من المحفظة إلى عنوان المحتال؛ أو عملية "SetApprovalForAll"، التي تمنح المحتال السيطرة على مجموعة NFT الخاصة بالمستخدم.
حالات حقيقية:
تعرض مجتمع مشروع NFT معروف لهجوم تصيد باستخدام التوقيع، حيث فقد العديد من المستخدمين NFTs بقيمة ملايين الدولارات بسبب توقيعهم على معاملات "استلام الإيهام" المزورة. استغل المهاجمون معيار توقيع EIP-712، وقاموا بتزوير طلبات تبدو آمنة.
(3) الرموز المزيفة و"هجوم الغبار"
مبدأ التكنولوجيا:
تسمح علنية البلوكتشين لأي شخص بإرسال رموز إلى أي عنوان، حتى لو لم يطلب المستقبل ذلك بشكل نشط. يستغل المحتالون هذه الميزة من خلال إرسال كميات صغيرة من العملات المشفرة إلى عدة عناوين محفظة، لتتبع أنشطة المحفظة وربطها بالأشخاص أو الشركات المالكة للمحفظة.
طريقة التشغيل:
في معظم الحالات، يتم توزيع "الغبار" المستخدم في هجوم الغبار على شكل إيردروب إلى محافظ المستخدمين، وقد تحمل هذه الرموز أسماء أو بيانات وصفية جذابة، مما يحفز المستخدمين على زيارة موقع ويب للاستعلام عن التفاصيل. قد يحاول المستخدمون تحويل هذه الرموز، مما يسمح للمهاجمين بالوصول إلى محفظة المستخدم من خلال عنوان العقد المرفق بالرموز. والأكثر خفية، يقوم المهاجمون من خلال الهندسة الاجتماعية، بتحليل معاملات المستخدم اللاحقة، لتحديد عنوان المحفظة النشطة للمستخدم، وبالتالي تنفيذ احتيال أكثر دقة.
حالات حقيقية:
في السابق، أثر هجوم "غبار" على بعض "رموز الوقود" التي ظهرت على شبكة الإيثيريوم على آلاف المحفظات. فقد بعض المستخدمين ETH و رموز ERC-20 بسبب فضولهم للتفاعل.
ثانياً، لماذا يصعب اكتشاف هذه الاحتيالات؟
تنجح هذه الاحتيالات إلى حد كبير لأنها مخفية داخل آليات البلوكتشين الشرعية، مما يجعل من الصعب على المستخدمين العاديين التمييز بين طبيعتها الخبيثة. فيما يلي بعض الأسباب الرئيسية:
التعقيد الفني: يعتبر كود العقود الذكية وطلبات التوقيع غامضًا وصعب الفهم بالنسبة للمستخدمين غير التقنيين. على سبيل المثال، قد تظهر طلبات "الموافقة" كبيانات سداسية عشرية معقدة، مما يجعل من الصعب على المستخدمين فهم معناها بشكل مباشر.
الشرعية على البلوكتشين: جميع المعاملات مسجلة على البلوكتشين، وتبدو شفافة، لكن الضحايا غالبًا ما يدركون عواقب التفويض أو التوقيع بعد فوات الأوان، وفي هذه المرحلة لا يمكن استرداد الأصول.
الهندسة الاجتماعية: يستغل المحتالون نقاط ضعف الإنسانية، مثل الجشع ("استلام الرموز مجانًا")، الخوف ("حساب غير طبيعي يحتاج إلى التحقق") أو الثقة (التنكر كموظف خدمة العملاء).
التمويه المتقن: قد تستخدم مواقع الصيد URL مشابهة للاسم الرسمي، وحتى تعزز المصداقية من خلال شهادة HTTPS.
٣. كيف تحمي محفظة العملة المشفرة الخاصة بك؟
في مواجهة هذه الحيل التي تجمع بين الحرب النفسية والتقنية، يتطلب حماية الأصول استراتيجيات متعددة المستويات. فيما يلي تدابير الوقاية التفصيلية:
تحقق من وإدارة صلاحيات التفويض
استخدم أداة فحص التفويض في متصفح البلوكتشين للتحقق من سجلات تفويض المحفظة.
قم بإلغاء التفويضات غير الضرورية بانتظام، خاصةً التفويضات غير المحدودة للعناوين غير المعروفة.
تأكد من أن DApp يأتي من مصدر موثوق قبل كل تفويض.
تحقق من قيمة "Allowance"، إذا كانت "غير محدودة" (مثل 2^256-1)، يجب إلغاءها على الفور.
تحقق من الروابط والمصادر
إدخال عنوان URL الرسمي يدويًا، وتجنب النقر على الروابط في وسائل التواصل الاجتماعي أو البريد الإلكتروني.
تأكد من استخدام الموقع لاسم النطاق وشهادة SSL الصحيحة (رمز القفل الأخضر).
احذر من الأخطاء الإملائية أو الأحرف الزائدة.
استخدام المحفظة الباردة والتوقيع المتعدد
قم بتخزين معظم الأصول في محفظة الأجهزة، واتصل بالشبكة فقط عند الضرورة.
بالنسبة للأصول الكبيرة، استخدم أدوات التوقيع المتعدد، واطلب تأكيد المعاملات من عدة مفاتيح، لتقليل مخاطر الأخطاء الفردية.
تعامل بحذر مع طلبات التوقيع
اقرأ تفاصيل المعاملة في نافذة المحفظة بعناية في كل مرة تقوم فيها بالتوقيع.
استخدم وظيفة "فك تشفير بيانات الإدخال" لمتصفح البلوكتشين لتحليل محتوى التوقيع، أو استشر خبيرًا تقنيًا.
لإنشاء محفظة مستقلة لعمليات عالية الخطورة، قم بتخزين كمية صغيرة من الأصول.
مواجهة هجوم الغبار
بعد استلام رموز غير معروفة، لا تتفاعل معها. قم بتمييزها ك"مهملات" أو إخفائها.
تأكيد مصدر الرمز من خلال متصفح البلوكتشين، إذا كان الإرسال بكميات كبيرة، كن على حذر شديد.
تجنب الكشف عن عنوان المحفظة، أو استخدام عنوان جديد للقيام بعمليات حساسة.
خاتمة
من خلال تنفيذ التدابير الأمنية المذكورة أعلاه، يمكن للمستخدمين تقليل خطر أن يصبحوا ضحايا لبرامج الاحتيال المتقدمة بشكل كبير. ومع ذلك، فإن الأمان الحقيقي لا يعتمد فقط على الوسائل التقنية. عندما تقوم محافظ الأجهزة ببناء خط دفاع مادي، وتوزع التوقيعات المتعددة المخاطر، فإن فهم المستخدمين لمنطق التفويض، وحرصهم على السلوك على السلسلة، هو ما يمثل آخر حصن ضد الهجمات.
كل تحليل للبيانات قبل التوقيع، وكل مراجعة للسلطة بعد التفويض، هي بمثابة دفاع عن السيادة الرقمية الخاصة. في المستقبل، بغض النظر عن كيفية تطور التكنولوجيا، فإن الخط الدفاعي الأساسي يكمن دائمًا في: تحويل الوعي بالأمان إلى عادة، والمحافظة على التوازن بين الثقة والتحقق. في عالم البلوكتشين، كل نقرة، وكل صفقة يتم تسجيلها بشكل دائم، ولا يمكن تغييرها. لذلك، سيكون من الضروري تطوير موقف حذر وفهم عميق، لضمان أمان الأصول.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 15
أعجبني
15
9
إعادة النشر
مشاركة
تعليق
0/400
BridgeJumper
· 07-08 02:25
من يجرؤ على توقيع العقود الذكية بعد الآن؟
شاهد النسخة الأصليةرد0
Rekt_Recovery
· 07-06 10:45
خسرت مدخراتي الحياتية بسبب الرافعة المالية... لكني هنا لمساعدة الآخرين على تجنب أخطائي، هاها.
شاهد النسخة الأصليةرد0
OvertimeSquid
· 07-05 05:06
حقًا، التعلم لا نهاية له، والمحتالون يزدادون ذكاءً.
البلوكتشين العقود الذكية أصبحت أدوات لسرقة الأصول: دليل شامل لأساليب الاحتيال المتقدمة.
عالم البلوكتشين المخاطر الخفية: كيف يمكن أن تصبح العقود الذكية أداة لسرقة الأصول
تقوم العملات المشفرة وتقنية البلوكتشين بإعادة تشكيل مفهوم الحرية المالية، لكن هذه الثورة جلبت أيضًا تحديات جديدة للأمان. لم يعد المحتالون يقتصرون على استغلال ثغرات تقنية، بل حولوا بروتوكولات العقود الذكية للبلوكتشين نفسها إلى أدوات للهجوم. من خلال فخاخ هندسية اجتماعية مصممة بعناية، يستغلون شفافية البلوكتشين وعدم قابليته للعكس، محولين ثقة المستخدمين إلى وسائل لسرقة الأصول. من تزوير العقود الذكية إلى التلاعب بالمعاملات عبر الشبكات، هذه الهجمات ليست فقط خفية وصعبة التتبع، بل تمتلك أيضًا خداعًا قويًا بسبب مظهرها "الشرعي".
١. كيف تتحول الاتفاقيات القانونية إلى أدوات احتيال؟
يجب أن تضمن بروتوكولات البلوكتشين الأمان والثقة، ولكن المحتالين يتلاعبون بذكاء بخصائصها، جنبًا إلى جنب مع إهمال المستخدمين، مما يخلق مجموعة متنوعة من أساليب الهجوم الخفية. فيما يلي بعض الأساليب الشائعة وتفاصيلها التقنية:
(1) تفويض العقود الذكية الخبيثة
مبدأ التقنية: في البلوكتشين مثل الإيثيريوم، يسمح معيار رموز ERC-20 للمستخدمين من خلال وظيفة "Approve" بتفويض طرف ثالث لسحب كمية معينة من الرموز من محفظتهم. تُستخدم هذه الوظيفة على نطاق واسع في بروتوكولات DeFi، حيث يحتاج المستخدمون إلى تفويض العقود الذكية لإتمام المعاملات أو الرهن أو تعدين السيولة. ومع ذلك، يستغل المحتالون هذه الآلية لتصميم عقود خبيثة.
كيفية العمل: أنشأ المحتالون تطبيقًا لامركزيًا يتظاهر بأنه مشروع شرعي، وعادة ما يتم الترويج له من خلال مواقع التصيد الاحتيالي أو وسائل التواصل الاجتماعي. يقوم المستخدمون بربط محفظتهم ويتم إغواؤهم بالنقر على "Approve"، والذي يبدو ظاهريًا كأنه تفويض لعدد قليل من الرموز، ولكنه في الواقع قد يكون بحدود غير محدودة. بمجرد اكتمال التفويض، يحصل عنوان عقد المحتالين على الإذن، مما يسمح له بسحب جميع الرموز المقابلة من محفظة المستخدم في أي وقت.
حالات واقعية: في أوائل عام 2023، أدى موقع احتيالي يتنكر ك"ترقية معينة لـ DEX" إلى خسارة مئات من المستخدمين لملايين الدولارات من USDT وETH. تُظهر بيانات البلوكتشين أن هذه المعاملات تتوافق تمامًا مع معيار ERC-20، ولم يتمكن الضحايا حتى من استرداد أموالهم من خلال الوسائل القانونية، لأن التفويض تم توقيعه طواعية.
(2) توقيع تصيد
المبادئ التقنية: تتطلب معاملات البلوكتشين من المستخدمين إنشاء توقيع باستخدام المفتاح الخاص لإثبات شرعية المعاملة. عادةً ما تظهر المحفظة طلب توقيع، وبعد تأكيد المستخدم، يتم بث المعاملة إلى الشبكة. يستغل المحتالون هذه العملية لتزوير طلبات التوقيع وسرقة الأصول.
طريقة التشغيل: تلقى المستخدم بريدًا إلكترونيًا أو رسالة على وسائل التواصل الاجتماعي تتظاهر بأنها إشعار رسمي، مثل "تستطيع استلام إيردروب NFT الخاص بك، يرجى التحقق من المحفظة". بعد النقر على الرابط، يتم توجيه المستخدم إلى موقع ضار يطلب منه توصيل محفظته وتوقيع "معاملة التحقق". هذه المعاملة قد تكون في الواقع استدعاء لدالة "Transfer"، تنقل مباشرة ETH أو الرموز من المحفظة إلى عنوان المحتال؛ أو عملية "SetApprovalForAll"، التي تمنح المحتال السيطرة على مجموعة NFT الخاصة بالمستخدم.
حالات حقيقية: تعرض مجتمع مشروع NFT معروف لهجوم تصيد باستخدام التوقيع، حيث فقد العديد من المستخدمين NFTs بقيمة ملايين الدولارات بسبب توقيعهم على معاملات "استلام الإيهام" المزورة. استغل المهاجمون معيار توقيع EIP-712، وقاموا بتزوير طلبات تبدو آمنة.
(3) الرموز المزيفة و"هجوم الغبار"
مبدأ التكنولوجيا: تسمح علنية البلوكتشين لأي شخص بإرسال رموز إلى أي عنوان، حتى لو لم يطلب المستقبل ذلك بشكل نشط. يستغل المحتالون هذه الميزة من خلال إرسال كميات صغيرة من العملات المشفرة إلى عدة عناوين محفظة، لتتبع أنشطة المحفظة وربطها بالأشخاص أو الشركات المالكة للمحفظة.
طريقة التشغيل: في معظم الحالات، يتم توزيع "الغبار" المستخدم في هجوم الغبار على شكل إيردروب إلى محافظ المستخدمين، وقد تحمل هذه الرموز أسماء أو بيانات وصفية جذابة، مما يحفز المستخدمين على زيارة موقع ويب للاستعلام عن التفاصيل. قد يحاول المستخدمون تحويل هذه الرموز، مما يسمح للمهاجمين بالوصول إلى محفظة المستخدم من خلال عنوان العقد المرفق بالرموز. والأكثر خفية، يقوم المهاجمون من خلال الهندسة الاجتماعية، بتحليل معاملات المستخدم اللاحقة، لتحديد عنوان المحفظة النشطة للمستخدم، وبالتالي تنفيذ احتيال أكثر دقة.
حالات حقيقية: في السابق، أثر هجوم "غبار" على بعض "رموز الوقود" التي ظهرت على شبكة الإيثيريوم على آلاف المحفظات. فقد بعض المستخدمين ETH و رموز ERC-20 بسبب فضولهم للتفاعل.
ثانياً، لماذا يصعب اكتشاف هذه الاحتيالات؟
تنجح هذه الاحتيالات إلى حد كبير لأنها مخفية داخل آليات البلوكتشين الشرعية، مما يجعل من الصعب على المستخدمين العاديين التمييز بين طبيعتها الخبيثة. فيما يلي بعض الأسباب الرئيسية:
التعقيد الفني: يعتبر كود العقود الذكية وطلبات التوقيع غامضًا وصعب الفهم بالنسبة للمستخدمين غير التقنيين. على سبيل المثال، قد تظهر طلبات "الموافقة" كبيانات سداسية عشرية معقدة، مما يجعل من الصعب على المستخدمين فهم معناها بشكل مباشر.
الشرعية على البلوكتشين: جميع المعاملات مسجلة على البلوكتشين، وتبدو شفافة، لكن الضحايا غالبًا ما يدركون عواقب التفويض أو التوقيع بعد فوات الأوان، وفي هذه المرحلة لا يمكن استرداد الأصول.
الهندسة الاجتماعية: يستغل المحتالون نقاط ضعف الإنسانية، مثل الجشع ("استلام الرموز مجانًا")، الخوف ("حساب غير طبيعي يحتاج إلى التحقق") أو الثقة (التنكر كموظف خدمة العملاء).
التمويه المتقن: قد تستخدم مواقع الصيد URL مشابهة للاسم الرسمي، وحتى تعزز المصداقية من خلال شهادة HTTPS.
٣. كيف تحمي محفظة العملة المشفرة الخاصة بك؟
في مواجهة هذه الحيل التي تجمع بين الحرب النفسية والتقنية، يتطلب حماية الأصول استراتيجيات متعددة المستويات. فيما يلي تدابير الوقاية التفصيلية:
تحقق من وإدارة صلاحيات التفويض
تحقق من الروابط والمصادر
استخدام المحفظة الباردة والتوقيع المتعدد
تعامل بحذر مع طلبات التوقيع
مواجهة هجوم الغبار
خاتمة
من خلال تنفيذ التدابير الأمنية المذكورة أعلاه، يمكن للمستخدمين تقليل خطر أن يصبحوا ضحايا لبرامج الاحتيال المتقدمة بشكل كبير. ومع ذلك، فإن الأمان الحقيقي لا يعتمد فقط على الوسائل التقنية. عندما تقوم محافظ الأجهزة ببناء خط دفاع مادي، وتوزع التوقيعات المتعددة المخاطر، فإن فهم المستخدمين لمنطق التفويض، وحرصهم على السلوك على السلسلة، هو ما يمثل آخر حصن ضد الهجمات.
كل تحليل للبيانات قبل التوقيع، وكل مراجعة للسلطة بعد التفويض، هي بمثابة دفاع عن السيادة الرقمية الخاصة. في المستقبل، بغض النظر عن كيفية تطور التكنولوجيا، فإن الخط الدفاعي الأساسي يكمن دائمًا في: تحويل الوعي بالأمان إلى عادة، والمحافظة على التوازن بين الثقة والتحقق. في عالم البلوكتشين، كل نقرة، وكل صفقة يتم تسجيلها بشكل دائم، ولا يمكن تغييرها. لذلك، سيكون من الضروري تطوير موقف حذر وفهم عميق، لضمان أمان الأصول.