المربع
الصفحة الرئيسية
الأحدث
ساخن
رؤى
بث مباشر
الكل
تحليل السوق
أهم المواضيع
سجل Blockchain
آخرون
دردشة
تقويم العملات الرقمية
اخر الأخبار
مدونة
المزيد
دليل المبتدئين
الصفحة الرئيسية
الأحدث
ساخن
رؤى
المنشور

تحليل تصيد توقيع Web3: فهم المبدأ لتعزيز أمان الأصول

RugResistantvip

تُعتبر عمليات التصيد الاحتيالي بالتوقيع واحدة من أكثر أساليب الاحتيال المفضلة لدى هاكر Web3. على الرغم من أن الخبراء في الصناعة يواصلون نشر المعرفة ذات الصلة، لا يزال هناك عدد كبير من المستخدمين الذين يقعون ضحية لهذه الاحتيالات يوميًا. أحد الأسباب الرئيسية وراء هذه الحالة هو أن معظم الناس لا يفهمون المنطق الأساسي لتفاعل المحفظة، بالإضافة إلى أن مستوى التعلم مرتفع بالنسبة لغير المتخصصين.

لكي يفهم المزيد من الناس مبدأ التصيد عن طريق التوقيع، سنحاول شرح منطقها الأساسي بطريقة بسيطة وسهلة الفهم.

أولاً، نحتاج إلى فهم أن هناك عمليتين رئيسيتين عند استخدام المحفظة: "التوقيع" و"التفاعل". باختصار، يحدث التوقيع خارج سلسلة الكتل ( تحت السلسلة )، ولا حاجة لدفع رسوم الغاز؛ بينما يحدث التفاعل على سلسلة الكتل ( على السلسلة )، ويتطلب دفع رسوم الغاز.

تفسير بلغة بسيطة لأساسيات التصيد الاحتيالي في Web3: الاختلاف بين التصيد الاحتيالي، التصريح و Permit2

التوقيع يُستخدم عادةً للتحقق من الهوية، مثل تسجيل الدخول إلى المحفظة. على سبيل المثال، عندما تريد تبادل الرموز على أي DEX، تحتاج أولاً إلى الاتصال بالمحفظة. في هذه الحالة، تحتاج إلى التوقيع لإثبات أنك مالك هذه المحفظة. هذه الخطوة لن تؤثر على البلوكشين، لذا لا حاجة لدفع رسوم.

وحدث التفاعل عند إجراء تبادل الرموز فعليًا. تحتاج أولاً إلى دفع رسوم، لإخبار العقد الذكي في DEX: "أريد استبدال 100USDT برمز واحد، وأفوضك باستخدام 100USDT الخاصة بي". تُعرف هذه الخطوة بالتصريح (approve). ثم تحتاج أيضًا إلى دفع رسوم أخرى، لإخبار العقد الذكي: "الآن أريد استبدال 100USDT برمز واحد، يمكنك تنفيذ العملية الآن". وبهذا يتم إكمال تبادل الرموز.

بعد فهم الفرق بين التوقيع والتفاعل، دعونا نقدم ثلاث طرق شائعة للاحتيال: احتيال التفويض، احتيال توقيع Permit، واحتيال توقيع Permit2.

التصريح بالاحتيال هو أحد أساليب الاحتيال الكلاسيكية في Web3. يقوم هاكر بإنشاء موقع تصيد ينتحل صفة مشروع NFT، مما يجذب المستخدمين للنقر على زر "استلام الإيصال". في الواقع، فإن واجهة المحفظة التي تظهر بعد النقر تطلب التفويض لنقل الرموز إلى عنوان الهاكر. بمجرد أن يؤكد المستخدم، يمكن للهاكر سرقة الأصول بنجاح.

ومع ذلك، هناك مشكلة في تصيد التفويض: نظرًا للحاجة إلى دفع رسوم الغاز، يصبح العديد من المستخدمين أكثر حذرًا عند إجراء عمليات التمويل، مما يجعل من السهل نسبيًا الوقاية منها.

تعتبر عمليات التصيد الاحتيالي لتوقيعات Permit و Permit2 منطقة خطر كبيرة في مجال أمان أصول Web3 الحالي. يصعب الوقاية منها لأن المستخدم يحتاج إلى توقيع لتسجيل الدخول إلى المحفظة في كل مرة يستخدم فيها DApp. لقد تطور لدى الكثيرين تفكير نمطي يعتبر أن هذه العملية آمنة. بالإضافة إلى عدم الحاجة لدفع رسوم، وعدم فهم معظم الناس لمعنى كل توقيع، مما يجعل هذه الطريقة في التصيد أكثر خداعاً.

تفسير بلغة بسيطة لمنطق التصيد الاحتيالي في Web3: الفرق بين التصيد الاحتيالي، والتصريح، وPermit2

آلية Permit هي ميزة موسعة للتفويض بموجب معيار ERC-20. بعبارة بسيطة، يمكنك من خلال التوقيع تفويض الآخرين لنقل رموزك. على عكس التفويض العادي، يسمح لك Permit بالتوقيع على "ورقة"، تعبر عن "أنا أسمح لشخص ما بنقل xxx عدد من الرموز". يمكن للشخص الذي يحمل هذه "الورقة" دفع رسوم الغاز للعقد الذكي، ليخبر العقد: "هو يسمح لي بنقل xxx عدد من الرموز الخاصة به". في هذه العملية، لم تفعل سوى التوقيع، لكنك في الواقع قدّمت تفويضًا للآخرين لاستدعاء دالة approve ونقل رموزك. يمكن للهاكر إنشاء مواقع تصيد، واستبدال زر تسجيل الدخول إلى المحفظة بتصيد Permit، مما يسهل سرقة أصول المستخدم.

تفسير بسيط للمنطق الأساسي للاحتيال بتوقيع Web3: فرق بين الاحتيال بالتفويض و Permit و Permit2

Permit2 ليست وظيفة ERC-20، بل هي وظيفة أطلقتها بعض DEX لتسهيل المستخدمين. إنها تسمح للمستخدمين بتفويض مبلغ كبير مرة واحدة، وبعد ذلك يحتاجون فقط إلى التوقيع في كل عملية تبادل، حيث يتحمل عقد Permit2 رسوم الغاز (يتم خصمها من الرموز المميزة النهائية الم交换). ومع ذلك، فإن الشرط الأساسي لصيد Permit2 هو أن المستخدم قد استخدم ذلك DEX من قبل، وقد منح تفويضًا غير محدود لعقد Permit2 الذكي. نظرًا لأن العملية الافتراضية الحالية لهذا DEX هي تفويض غير محدود، فإن عدد المستخدمين الذين يستوفون هذا الشرط كبير جدًا.

باختصار، فإن جوهر التصيد المصرح هو أن المستخدم ينفق المال ليقول للعقد الذكي: "أوافق على أن تعطي هاكر رموزي". أما التصيد بالتوقيع فهو أن المستخدم وقع "ورقة" تسمح للآخرين بتحريك الأصول للهاكر، ثم ينفق الهاكر المال ليقول للعقد الذكي: "أريد تحويل رموزه لي".

لمنع هذه الهجمات الاحتيالية، يمكننا اتخاذ التدابير التالية:

  1. تعزيز الوعي بالأمان، يجب التحقق بعناية من المحتوى المحدد في كل مرة يتم فيها إجراء عمليات على المحفظة.

  2. فصل الأموال الكبيرة عن المحفظة المستخدمة يوميًا لتقليل الخسائر المحتملة.

  3. تعلم كيفية التعرف على تنسيق توقيع Permit وPermit2. عند رؤية تنسيق التوقيع التالي، يجب أن تكون حذرًا بشكل خاص:

  • تفاعلي:رابط تفاعلي
  • المالك: عنوان الجهة المخولة
  • Spender: عنوان الجهة المخوّلة
  • القيمة: عدد التفويضات
  • Nonce:رقم عشوائي
  • الموعد النهائي: وقت انتهاء الصلاحية

من خلال فهم مبادئ وأساليب هذه الخدع، يمكننا حماية أصولنا الرقمية بشكل أفضل.

تفسير بسيط لمنطق التصيد الاحتيالي في توقيع Web3: الفرق بين التصيد الاحتيالي والتفويض وPermit وPermit2

شاهد النسخة الأصلية
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
  • أعجبني
  • 7
  • مشاركة
تعليق
0/400
GasBanditvip
· 07-09 21:33
خسرت الكثير في قراءة المقالات
شاهد النسخة الأصليةرد0
hodl_therapistvip
· 07-07 03:32
حمقى早该被خداع الناس لتحقيق الربح了
شاهد النسخة الأصليةرد0
HackerWhoCaresvip
· 07-07 00:53
تفاعل أيضًا قد يخسر غاز احترس!
شاهد النسخة الأصليةرد0
PumpingCroissantvip
· 07-07 00:51
حقًا غير معقول، كيف لا يزال هناك من ينخدع.
شاهد النسخة الأصليةرد0
GweiTooHighvip
· 07-07 00:50
خسرت كثيراً ها لا أفهم غاز
شاهد النسخة الأصليةرد0
ValidatorVikingvip
· 07-07 00:39
هههه يوم آخر، لا يزال هناك مبتدئ آخر يتعرض للخداع من قبل عمليات الاحتيال بالتوقيع... المدققون الذين تم اختبارهم في المعركة لا يقعوا أبداً في هذا الطعم الهواة
شاهد النسخة الأصليةرد0
degenwhisperervip
· 07-07 00:37
مبتدئ永远不长记性
شاهد النسخة الأصليةرد0
  • تثبيت
خريطة الموقع