ماذا يكشف هجوم بقيمة 440 ألف دولار عن التهديد المتزايد لعمليات الاحتيال عبر "الإذن" في شبكة الإيثيريوم

المصدر: PortaldoBitcoin العنوان الأصلي: ماذا يكشف هجوم بقيمة 440 ألف دولار عن التهديد المتزايد للاحتيالات “بالإذن” على الإيثيريوم الرابط الأصلي:

قام هاكر بسرقة أكثر من 440,000 دولار من عملة USDC بعد أن وقع صاحب المحفظة، دون علمه، توقيع “إذن” خبيث، وذلك وفقًا لتغريدة من Scam Sniffer يوم الاثنين (8).

حدثت السرقة في ظل ارتفاع في الخسائر الناتجة عن عمليات التصيد الاحتيالي. فقد تم خسارة حوالي 7.77 مليون دولار من أكثر من 6,000 ضحية في شهر نوفمبر، بحسب التقرير الشهري لـ Scam Sniffer، وهو ما يمثل زيادة بنسبة 137% في إجمالي الخسائر مقارنة بأكتوبر، رغم انخفاض عدد الضحايا بنسبة 42%.

“تصاعدت ملاحقة الحيتان، مع خسارة قصوى بلغت 1.22 مليون دولار (توقيع إذن). وعلى الرغم من انخفاض عدد الهجمات، إلا أن الخسائر الفردية ارتفعت بشكل ملحوظ”، حسب ما أوضحت الشركة.

ما هي احتيالات الإذن؟

تعتمد احتيالات الإذن على خداع المستخدمين لتوقيع معاملة تبدو شرعية، لكنها في الواقع تمنح المهاجم حق إنفاق رموزهم. يمكن لتطبيقات لامركزية (dapps) خبيثة أن تخفي الحقول أو تزور أسماء العقود أو تقدم طلب التوقيع وكأنه إجراء روتيني.

إذا لم يقم المستخدم بفحص التفاصيل بعناية، فإن توقيع الطلب يمنح المهاجم إذنًا بالوصول إلى جميع رموز ERC-20 الخاصة بالمستخدم. وبمجرد منح الإذن، يقوم المحتالون عادة بسحب الأموال على الفور.

يعتمد هذا الأسلوب على وظيفة الإذن في الإيثيريوم، والتي صممت لتسهيل تحويل الرموز، مما يتيح للمستخدمين تفويض حقوق الإنفاق لتطبيقات موثوقة. وتتحول هذه السهولة إلى نقطة ضعف عندما يتم منح تلك الحقوق لمهاجم.

“ما هو معقد بشكل خاص في هذا النوع من الهجمات هو أن المهاجمين يمكنهم تنفيذ الإذن وتحويل الرموز في معاملة واحدة (أسلوب ‘اضرب واهرب’) أو يمكنهم منح أنفسهم حق الوصول من خلال الإذن ثم البقاء غير نشطين، في انتظار تحويل أي أموال تضاف لاحقًا (طالما حددوا مدة وصول كافية في بيانات وظيفة الإذن الوصفية)”، قالت تارا أنيسون، رئيسة المنتج في Twinstake.

“نجاح هذا النوع من الاحتيال يعتمد على توقيعك لشيء دون أن تفهم تمامًا ما سيحدث”، أضافت، وتابعت: “كل الأمر يعود إلى ضعف الإنسان واستغلال سذاجة الناس”.

وأوضحت أنيسون أن هذه الحادثة ليست حالة فردية. “هناك العديد من الأمثلة على عمليات تصيد احتيالي ذات قيمة وحجم كبيرين، صممت لخداع المستخدمين ودفعهم لتوقيع شيء لا يفهمونه بالكامل. وغالبًا ما تتنكر هذه الاحتيالات في صورة توزيع أموال مجانية، أو صفحات هبوط وهمية لمشاريع لربط محفظتك، أو تنبيهات أمنية مزيفة للتحقق مما إذا كنت متأثرًا”، أضافت.

كيف تحمي نفسك

قام مزودو المحافظ الرقمية بتطبيق مزيد من ميزات الحماية. على سبيل المثال، ينبه MetaMask المستخدمين إذا بدا الموقع مشبوهًا ويحاول ترجمة بيانات المعاملة إلى لغة مفهومة للبشر. كما تبرز محافظ أخرى الإجراءات عالية المخاطر. لكن المحتالين يواصلون التكيف.

قال هاري دونيلي، المؤسس والرئيس التنفيذي لشركة Circuit، إن هجمات “الإذن” شائعة جدًا ونصح المستخدمين بالتحقق من عناوين المرسلين وتفاصيل العقد.

“هذه هي الطريقة الأكثر وضوحًا لمعرفة ما إذا كان البروتوكول لا يتطابق مع الوجهة الحقيقية للأموال، لأن شخصًا ما يحاول سرقتها على الأرجح”، قال. “يمكنك التحقق من القيمة؛ في كثير من الأحيان يحاولون منح موافقات غير محدودة، كهذه.”

وأكدت أنيسون أن اليقظة لا تزال هي أفضل وسيلة دفاع للمستخدمين. “أفضل طريقة لحماية نفسك من احتيالات ‘الإذن’ أو ‘applianceAll’ أو ‘transferFrom’ هي التأكد من معرفتك التامة بما تقوم بتوقيعه. ما هي الإجراءات التي ستتم فعليًا في المعاملة؟ ما هي الوظائف المستخدمة؟ هل تتطابق مع ما كنت تعتقد أنك توقع عليه؟”

“لقد حسنت العديد من المحافظ والتطبيقات اللامركزية (dapps) واجهات المستخدم الخاصة بها لضمان ألا توقع على شيء دون وعي ويمكنك رؤية النتيجة، بالإضافة إلى عرض تحذيرات بخصوص الوظائف عالية المخاطر. ومع ذلك، من المهم أن يتحقق المستخدمون بنشاط من ما يوقعون عليه وألا يكتفوا بربط محفظتهم والنقر على التوقيع”، قالت.

وبمجرد سرقة الأموال، يصبح استعادتها أمرًا غير مرجح. قال مارتن ديركا، الشريك المؤسس والقائد التقني في Zircuit Finance، إن فرص استرجاع الأموال “تقريبًا صفر”.

“في هجمات التصيد الاحتيالي، أنت تتعامل مع شخص هدفه الوحيد هو سرقة أموالك. لا توجد مفاوضات، ولا يوجد جهة اتصال، وغالبًا لا تعرف من هو الطرف الآخر”، قال.

“هؤلاء المهاجمون يعتمدون على الأرقام”، أضاف ديركا، مشددًا أن “بمجرد أن تذهب الأموال، فقد انتهى الأمر إلى الأبد. الاسترداد في الأساس مستحيل.”