العقود الذكية الأمنية: تهديدات جديدة في عالم البلوكتشين وسبل الوقاية منها

تقوم العملات المشفرة وتقنية البلوكتشين بإعادة تشكيل مفهوم الحرية المالية، ولكن هذه الثورة جلبت أيضًا تحديات جديدة في مجال الأمان. لم يعد المهاجمون مقصورين على الثغرات التقنية التقليدية، بل أصبحوا يستخدمون بروتوكولات العقود الذكية في البلوكتشين كأدوات للهجوم. من خلال فخاخ هندسية اجتماعية مصممة بعناية، يستغلون شفافية البلوكتشين وعدم قابليته للتغيير، مما يحول ثقة المستخدمين إلى وسائل لسرقة الأصول. من تزوير العقود الذكية إلى التلاعب بالمعاملات عبر السلاسل، هذه الهجمات ليست فقط خفية وصعبة الاكتشاف، بل تتمتع أيضًا بخداع قوي بسبب مظهرها "الشرعي".

1. كيف أصبحت الاتفاقيات القانونية أداة للاحتيال؟

من المفترض أن تكون بروتوكولات البلوكتشين حجر الزاوية لضمان الأمان والثقة، لكن المجرمين استغلوا ميزاتها بذكاء، مع دمج إهمال المستخدمين، لابتكار طرق هجوم خفية متعددة. فيما يلي بعض الطرق الشائعة وتفاصيلها التقنية:

(1) تفويض العقود الذكية الخبيثة

مبدأ التقنية: على منصات البلوكتشين مثل الإيثيريوم، يسمح معيار توكن ERC-20 للمستخدمين بتفويض طرف ثالث (عادةً ما يكون عقدًا ذكيًا) لسحب كمية محددة من التوكنات من محفظتهم عبر وظيفة "Approve". تُستخدم هذه الوظيفة على نطاق واسع في بروتوكولات DeFi، مثل بعض DEX أو منصات الإقراض اللامركزية، حيث يحتاج المستخدمون إلى تفويض العقود الذكية لإكمال المعاملات أو الرهن أو تعدين السيولة. ومع ذلك، يستغل المجرمون هذه الآلية لتصميم عقود خبيثة.

طريقة العمل: يقوم المهاجم بإنشاء DApp يتنكر كمشروع شرعي، وغالبًا ما يتم الترويج له من خلال مواقع التصيد أو وسائل التواصل الاجتماعي. يقوم المستخدمون بربط محفظتهم ويتم إغراؤهم بالنقر على "Approve"، على أنه تفويض لمبلغ صغير من الرموز، ولكنه قد يكون في الواقع حدًا غير محدود (قيمة uint256.max). بمجرد الانتهاء من التفويض، يحصل عنوان عقد المهاجم على الإذن، ويمكنه استدعاء دالة "TransferFrom" في أي وقت لسحب جميع الرموز المقابلة من محفظة المستخدم.

(2) توقيع التصيد

المبادئ التقنية: تتطلب معاملات البلوكتشين من المستخدمين إنشاء توقيع باستخدام المفتاح الخاص لإثبات شرعية المعاملة. غالبًا ما سيظهر محفظة طلب توقيع، وبعد تأكيد المستخدم، يتم بث المعاملة إلى الشبكة. يستغل المهاجمون هذه العملية لتزوير طلبات التوقيع وسرقة الأصول.

طريقة العمل: يتلقى المستخدم رسالة بريد إلكتروني أو رسالة على وسائل التواصل الاجتماعي تتنكر كإشعار رسمي، مثل "إيرادتك من NFT في انتظار استلامها، يرجى التحقق من المحفظة". بعد النقر على الرابط، يتم توجيه المستخدم إلى موقع ضار، يطلب منه الاتصال بالمحفظة وتوقيع "معاملة التحقق". قد تكون هذه المعاملة في الواقع استدعاء لوظيفة "Transfer"، تنقل مباشرة العملات المشفرة من المحفظة إلى عنوان المهاجم؛ أو عملية "SetApprovalForAll"، تمنح المهاجم السيطرة على مجموعة NFT الخاصة بالمستخدم.

(3) رموز مزيفة و"هجوم الغبار"

مبدأ التقنية: تسمح علنية البلوكتشين لأي شخص بإرسال الرموز إلى أي عنوان، حتى لو لم يطلب المستلم ذلك بنشاط. يستغل المهاجمون هذه النقطة من خلال إرسال كميات صغيرة من العملات المشفرة إلى عدة عناوين محفظة، لتتبع أنشطة المحفظة وربطها بالأفراد أو المنظمات التي تمتلك المحفظة.

آلية العمل: عادةً ما يقوم المهاجمون بتوزيع "الغبار" على محافظ المستخدمين على شكل إيرادات، وقد تحمل هذه الرموز أسماء جذابة أو بيانات وصفية مثل "FREE_AIRDROP"، مما يغري المستخدمين بزيارة موقع معين للاستعلام عن التفاصيل. قد يحاول المستخدمون تحويل هذه الرموز، بينما يمكن للمهاجمين الوصول إلى محفظة المستخدم من خلال عنوان العقد المرفق بالرموز. وأكثر خفاءً، تتم هجمات الغبار من خلال الهندسة الاجتماعية، حيث يتم تحليل المعاملات اللاحقة للمستخدم، وتحديد عناوين المحافظ النشطة، وبالتالي تنفيذ عمليات احتيال أكثر دقة.

ثانياً، لماذا يصعب اكتشاف هذه الاحتيالات؟

هذه الاحتيالات ناجحة إلى حد كبير لأنها مخفية داخل آليات البلوكتشين القانونية، مما يجعل من الصعب على المستخدمين العاديين التمييز بين طبيعتها الخبيثة. فيما يلي بعض الأسباب الرئيسية:

1. التعقيد الفني: تعتبر شفرة العقود الذكية وطلبات التوقيع غامضة وصعبة الفهم بالنسبة للمستخدمين غير التقنيين. على سبيل المثال، قد تظهر طلب "Approve" على شكل بيانات سداسية عشرية مثل "0x095ea7b3..."، مما يجعل من الصعب على المستخدمين فهم معناها بشكل مباشر.

2. الشرعية على البلوكتشين: يتم تسجيل جميع المعاملات على البلوكتشين، مما يبدو شفافًا، لكن الضحايا غالبًا ما يدركون عواقب التفويض أو التوقيع بعد فوات الأوان، وعندها تصبح الأصول غير قابلة للاسترداد.

3. الهندسة الاجتماعية: يستغل المهاجمون نقاط ضعف الإنسانية، مثل الجشع ("احصل على 1000 دولار كتوكن مجانًا")، والخوف ("يجب التحقق من الحساب بسبب وجود نشاط غير عادي")، أو الثقة (التظاهر بأنهم خدمة العملاء لمحفظة).

4. التمويه المتقن: قد تستخدم مواقع التصيد URLs مشابهة للاسم الرسمي (مثل المتغيرات للاسم العادي) ، وحتى تعزز المصداقية من خلال شهادات HTTPS.

٣. كيف تحمي محفظة العملات المشفرة الخاصة بك؟

في مواجهة هذه الاحتيالات التي تتواجد فيها الحروب النفسية والتقنية، يتطلب حماية الأصول استراتيجيات متعددة المستويات. فيما يلي تدابير الوقاية المفصلة:

تحقق من إدارة الأذونات

• الأدوات: استخدم أداة التحقق من التفويض لمتصفح البلوكتشين للتحقق من سجلات تفويض المحفظة.
• العملية: قم بإلغاء التفويضات غير الضرورية بانتظام، خاصةً التفويضات غير المحدودة للعناوين غير المعروفة. قبل كل تفويض، تأكد من أن DApp يأتي من مصدر موثوق.
• التفاصيل الفنية: تحقق من قيمة "Allowance"، إذا كانت "غير محدودة" (مثل 2^256-1)، يجب إلغاؤها على الفور.

تحقق من الرابط والمصدر

• الطريقة: أدخل عنوان URL الرسمي يدويًا، وتجنب النقر على الروابط في وسائل التواصل الاجتماعي أو في الرسائل الإلكترونية.
• تحقق: تأكد من أن الموقع يستخدم اسم النطاق وشهادة SSL الصحيحة (رمز القفل الأخضر). كن حذرًا من الأخطاء الإملائية أو الأحرف الزائدة.
• مثال: إذا تلقيت نسخة معدلة من الموقع الرسمي (مثل إضافة أحرف إضافية)، فعليك الشك في مصداقيتها.

استخدام المحفظة الباردة والتوقيع المتعدد

• المحفظة الباردة: تخزين معظم الأصول في محفظة الأجهزة، والاتصال بالشبكة فقط عند الضرورة.
• التوقيع المتعدد: بالنسبة للأصول الكبيرة، استخدم أداة التوقيع المتعدد، التي تتطلب تأكيد المعاملات من عدة مفاتيح، مما يقلل من مخاطر الأخطاء الفردية.
• الفوائد: حتى لو تم اختراق المحفظة الساخنة، فإن الأصول المخزنة في البرد تظل آمنة.

تعامل بحذر مع طلبات التوقيع

• الخطوات: عند التوقيع في كل مرة، اقرأ بعناية تفاصيل المعاملة في نافذة المحفظة المنبثقة. بعض المحافظ ستظهر حقل "البيانات"، وإذا كان يحتوي على دالة غير معروفة (مثل "TransferFrom"), فقم برفض التوقيع.
• الأدوات: استخدم وظيفة "Decode Input Data" في مستعرض البلوكتشين لتحليل محتوى التوقيع، أو استشر خبيرًا تقنيًا.
• اقتراح: إنشاء محفظة مستقلة للعمليات عالية المخاطر، وتخزين كمية صغيرة من الأصول.

التعامل مع هجمات الغبار

• الاستراتيجية: عند استلام رموز غير معروفة، لا تتفاعل معها. قم بوضع علامة عليها ك"قمامة" أو اخفها.
• تحقق: من خلال البلوكتشين، تأكد من مصدر الرمز، إذا كان إرسالاً جماعياً، كن حذراً للغاية.
• الوقاية: تجنب نشر عنوان المحفظة، أو استخدام عنوان جديد لإجراء عمليات حساسة.

الخاتمة

من خلال تنفيذ التدابير الأمنية المذكورة أعلاه، يمكن للمستخدمين تقليل بشكل كبير من خطر أن يصبحوا ضحايا لبرامج الاحتيال المتقدمة، لكن الأمان الحقيقي لا يعتمد فقط على التكنولوجيا. عندما يوفر محفظة الأجهزة خط دفاع مادي، وتوزع التوقيعات المتعددة مخاطر التعرض، فإن فهم المستخدمين لآلية التفويض، وحرصهم على سلوكيات السلسلة، هو آخر حصن ضد الهجمات. كل تحليل للبيانات قبل التوقيع، وكل مراجعة للصلاحيات بعد التفويض، هي بمثابة قسم لسيادتهم الرقمية.

في عالم البلوكتشين حيث الكود هو القانون، يتم تسجيل كل نقرة وكل معاملة بشكل دائم، ولا يمكن تغييرها. لذلك، فإن تعزيز الوعي بالأمان والحفاظ على التوازن بين الثقة والتحقق يصبحان المفتاح للتقدم بأمان في هذا المجال الناشئ.