المبادئ الأساسية للاحتيال بتوقيع Web3 وإجراءات الوقاية

مؤخراً، أصبحت "صيد التوقيع" واحدة من أكثر أساليب الاحتيال استخدامًا من قبل قراصنة Web3. على الرغم من أن خبراء الأمن وشركات المحافظ يقومون باستمرار بالترويج للمعرفة ذات الصلة، إلا أن العديد من المستخدمين لا يزالون يقعوا في الفخ يوميًا. أحد الأسباب الرئيسية وراء ذلك هو أن معظم الناس يفتقرون إلى الفهم العميق للمنطق الأساسي للتفاعل مع المحافظ، وأن عتبة التعلم مرتفعة بالنسبة لغير المتخصصين.

لمساعدة المزيد من الناس على فهم هذه المشكلة، ستقوم هذه المقالة بشرح المنطق الأساسي لعملية التصيد الاحتيالي من خلال التوقيع بطريقة بسيطة وسهلة الفهم.

نوعان أساسيان من عمليات المحفظة

عند استخدام محفظة العملات المشفرة، لدينا نوعان رئيسيان من العمليات: "التوقيع" و"التفاعل".

• التوقيع: يحدث خارج سلسلة الكتل (خارج السلسلة) ولا يتطلب دفع رسوم الغاز.
• التفاعل: يحدث على blockchain (على السلسلة) ويتطلب دفع رسوم الغاز.

تستخدم التوقيعات عادةً للتحقق من الهوية، مثل تسجيل الدخول إلى المحفظة أو الاتصال بـ DApp. هذه العملية لا تغير أي بيانات أو حالة على blockchain، لذلك لا تحتاج إلى تكلفة.

التفاعل يتضمن العمليات الفعلية على البلوك تشين. على سبيل المثال، عند تبادل الرموز على DEX معين، تحتاج أولاً إلى تفويض العقد الذكي لاستخدام رموزك (approve)، ثم تنفيذ عملية التبادل الفعلية. كلا الخطوتين تحتاجان إلى دفع رسوم الغاز.

طرق الاحتيال الشائعة

1. تفويض الصيد

هذه طريقة تقليدية للاحتيال في ويب 3. عادةً ما يقوم القراصنة بإنشاء موقع ويب يتظاهر بأنه مشروع شرعي، ويقومون بإغراء المستخدمين بالنقر على أزرار مثل "استلام الإغاثة". في الواقع، بعد أن ينقر المستخدم، سيُطلب منه تفويض (approve) عنوان القراصنة لاستخدام رموزه.

على الرغم من أن هذه الطريقة تتطلب دفع رسوم الغاز، إلا أن هناك مستخدمين قد ينخدعون عن غير قصد.

2. تصريح توقيع التصيد

Permit هو ميزة موسعة لمعيار ERC-20 ، تسمح للمستخدمين بالموافقة على استخدام رموزهم من قبل الآخرين من خلال التوقيع. على عكس التفويض التقليدي ، لا يحتاج Permit إلى دفع المستخدمين لرسوم الغاز.

يمكن للقراصنة استغلال هذه الآلية لإغراء المستخدمين بتوقيع رسالة تبدو غير ضارة، لكنها في الواقع تفوض القراصنة باستخدام رموز المستخدم.

3. تصيد توقيع Permit2

تمثل Permit2 ميزة أطلقها أحد DEXs تهدف إلى تبسيط العمليات للمستخدمين وتوفير تكاليف الغاز. يمكن للمستخدمين تفويض مبلغ كبير مرة واحدة لعقد Permit2 الذكي، وبعد ذلك يحتاجون فقط إلى التوقيع في كل صفقة، حيث يتم دفع رسوم الغاز من قبل العقد (يتم خصمها من الرموز المميزة التي تم تبادلها في النهاية).

ومع ذلك، فإن هذا يوفر أيضًا طرق هجوم جديدة للهاكرز. إذا كان المستخدم قد استخدم هذا DEX من قبل ومنح إذنًا غير محدود لعقد Permit2، يمكن للهاكرز نقل رموز المستخدم عن طريق تحفيز المستخدم على التوقيع.

تدابير الوقاية

1. زيادة الوعي بالأمان: يجب عليك التحقق بعناية من العملية المحددة التي تقوم بها كلما قمت بعمليات على المحفظة.

2. فصل الأموال: فصل الأموال الكبيرة والمحفظة المستخدمة يوميًا لتقليل الخسائر المحتملة.

3. تعلم كيفية التعرف على تنسيق توقيع Permit و Permit2: عندما ترى طلب توقيع يتضمن المعلومات التالية، كن حذرًا بشكل خاص:

   • تفاعلي：رابط تفاعلي
   • المالك：عنوان الجهة المخولة
   • Spender: عنوان الطرف المخول
   • القيمة: عدد التفويض
   • Nonce：رقم عشوائي
   • Deadline：وقت انتهاء الصلاحية

من خلال فهم هذه الآليات الأساسية واتخاذ تدابير وقائية مناسبة، يمكن للمستخدمين تقليل بشكل كبير من خطر أن يصبحوا ضحايا لعمليات الاحتيال في التوقيع. في عالم Web3، يعد البقاء يقظاً والتعلم المستمر مفتاحاً لحماية أصولك.