- الموضوع
3k درجة الشعبية
90k درجة الشعبية
14k درجة الشعبية
5k درجة الشعبية
30k درجة الشعبية
16k درجة الشعبية
23k درجة الشعبية
14k درجة الشعبية
3k درجة الشعبية
13k درجة الشعبية
- تثبيت
3k درجة الشعبية
90k درجة الشعبية
14k درجة الشعبية
5k درجة الشعبية
30k درجة الشعبية
16k درجة الشعبية
23k درجة الشعبية
14k درجة الشعبية
3k درجة الشعبية
13k درجة الشعبية
التمويل اللامركزي巧施骗:العقود الذكية授权的隐患与防范
المخاطر الأمنية وراء تفويض العقود الذكية: دليل البقاء في عالم التمويل اللامركزي
تقوم العملات الرقمية وتقنية البلوكشين بإعادة تشكيل مفهوم الحرية المالية، لكن هذه الثورة جلبت أيضًا تحديات جديدة. لم يعد المهاجمون مقيدين باستغلال ثغرات تقنية، بل قاموا بتحويل بروتوكولات العقود الذكية الخاصة بالبلوكشين نفسها إلى أدوات للهجوم. من خلال الفخاخ المتقنة للتلاعب الاجتماعي، يستغلون شفافية البلوكشين وعدم قابليته للعكس، مما يحول ثقة المستخدمين إلى وسيلة لسرقة الأصول. من تزوير العقود الذكية إلى التلاعب بالمعاملات عبر السلاسل، هذه الهجمات ليست فقط خفية وصعبة الكشف، بل تكون أيضًا أكثر خداعًا بسبب مظهرها "المشروع". ستقوم هذه المقالة من خلال تحليل حالات واقعية، بكشف كيف حول المهاجمون البروتوكولات إلى وسائل للهجوم، وتقديم حلول شاملة من الحماية التقنية إلى الوقاية السلوكية، لمساعدتك على السير بأمان في عالم اللامركزية.
١. كيف أصبحت الاتفاقيات القانونية أدوات احتيال؟
كان الهدف من بروتوكولات البلوكتشين هو ضمان الأمان والثقة، لكن المهاجمين استغلوا ميزاتها، جنبًا إلى جنب مع إهمال المستخدمين، لإنشاء طرق هجوم خفية متعددة. فيما يلي بعض الأساليب وشرح التفاصيل التقنية لها:
(1) تفويض العقود الذكية الخبيثة (Approve Scam)
المبادئ التقنية:
في بلوكتشين مثل إيثريوم، يسمح معيار رمز ERC-20 للمستخدمين من خلال وظيفة "Approve" بتفويض طرف ثالث (عادةً ما يكون عقدًا ذكيًا) لسحب كمية محددة من الرموز من محفظتهم. تُستخدم هذه الوظيفة على نطاق واسع في بروتوكولات التمويل اللامركزي، مثل بعض منصات DEX أو الإقراض، حيث يحتاج المستخدمون إلى تفويض العقود الذكية لإجراء المعاملات أو الرهن أو تعدين السيولة. ومع ذلك، يستغل المهاجمون هذه الآلية لتصميم عقود ضارة.
طريقة العمل:
قام المهاجم بإنشاء تطبيق لامركزي يتظاهر بأنه مشروع شرعي، وغالبًا ما يروج له من خلال مواقع التصيد أو وسائل التواصل الاجتماعي (مثل صفحة مزيفة لإحدى منصات التداول اللامركزية). يقوم المستخدمون بربط محفظتهم ويتم إغراؤهم بالنقر على "Approve"، والتي تبدو للوهلة الأولى كإذن لعدد قليل من الرموز، ولكن في الواقع قد يكون المبلغ غير محدود (قيمة uint256.max). بمجرد اكتمال التفويض، يحصل عنوان عقد المهاجم على إذن، مما يسمح له باستدعاء دالة "TransferFrom" في أي وقت لسحب جميع الرموز المقابلة من محفظة المستخدم.
حالات حقيقية:
في بداية عام 2023، أدت مواقع الاحتيال التي تتنكر في شكل ترقية DEX إلى خسارة مئات المستخدمين لملايين الدولارات من USDT وETH. تُظهر البيانات على السلسلة أن هذه المعاملات تتوافق تمامًا مع معيار ERC-20، ولم يتمكن الضحايا حتى من استرداد أموالهم من خلال الوسائل القانونية، لأن التفويض تم توقيعه طواعية.
(2) توقيع التصيد (Phishing Signature)
المبادئ التقنية:
تتطلب معاملات البلوكشين من المستخدمين إنشاء توقيع باستخدام المفتاح الخاص لإثبات شرعية المعاملة. عادةً ما تظهر المحفظة طلب توقيع، وبعد تأكيد المستخدم، يتم بث المعاملة إلى الشبكة. يستغل المهاجمون هذه العملية لتزوير طلبات التوقيع وسرقة الأصول.
طريقة العمل:
يتلقى المستخدم رسالة بريد إلكتروني أو رسالة اجتماعية متخفية كإشعار رسمي، مثل "انتظر استلام NFT الخاص بك، يرجى التحقق من المحفظة". عند النقر على الرابط، يتم توجيه المستخدم إلى موقع ضار، يطلب منه توصيل المحفظة وتوقيع "معاملة التحقق". هذه المعاملة قد تكون في الواقع استدعاء دالة "Transfer"، تنقل مباشرة ETH أو الرموز من المحفظة إلى عنوان المهاجم؛ أو عملية "SetApprovalForAll"، تمنح المهاجم السيطرة على مجموعة NFT الخاصة بالمستخدم.
حالات حقيقية:
تعرضت إحدى المجتمعات الشهيرة لـ NFT لهجوم تصيد عبر التوقيعات، حيث فقد العديد من المستخدمين NFTs بقيمة ملايين الدولارات بسبب توقيعهم على معاملات "استلام الإيهام" المزورة. استغل المهاجمون معيار توقيع EIP-712 لتزوير طلبات تبدو آمنة.
(3) رموز مزيفة و"هجوم الغبار" (Dust Attack)
المبادئ التقنية:
تسمح شفافية البلوكشين لأي شخص بإرسال رموز إلى أي عنوان، حتى لو لم يطلب المستلم ذلك بشكل نشط. يستغل المهاجمون هذه النقطة من خلال إرسال كميات صغيرة من العملات المشفرة إلى عدة عناوين محفظة لتتبع أنشطة المحفظة وربطها بالأفراد أو الشركات التي تمتلك المحفظة. يبدأ ذلك بإرسال فتات - إرسال كميات صغيرة من العملات المشفرة إلى عناوين مختلفة، ثم يحاول المهاجم معرفة أيها ينتمي إلى نفس المحفظة. بعد ذلك، يستخدم المهاجم هذه المعلومات لشن هجمات تصيد أو تهديدات ضد الضحية.
طريقة التشغيل:
في معظم الحالات، يتم توزيع "الغبار" المستخدم في هجمات الغبار على شكل إيردروب إلى محافظ المستخدمين، وقد تحمل هذه الرموز أسماء أو بيانات وصفية (مثل "FREE_AIRDROP")، مما يحفز المستخدمين على زيارة موقع معين للاستعلام عن التفاصيل. وعادة ما يكون المستخدمون سعداء برغبتهم في استبدال هذه الرموز، ثم يمكن للمهاجمين الوصول إلى محفظة المستخدم من خلال عنوان العقد المرفق بالرموز. وما هو خفي، هو أن هجمات الغبار ستستخدم الهندسة الاجتماعية، وتحلل معاملات المستخدمين اللاحقة، لتحديد عناوين المحافظ النشطة للمستخدمين، وبالتالي تنفيذ عمليات احتيال أكثر دقة.
حالات حقيقية:
في الماضي، أثرت هجمات "غبار الغاز" التي ظهرت على شبكة الإيثيريوم على آلاف المحافظ. فقد بعض المستخدمين ETH وERC-20 بسبب فضولهم في التفاعل.
٢. لماذا يصعب اكتشاف هذه الاحتيالات؟
هذه الاحتيالات ناجحة إلى حد كبير لأنها مخفية داخل آليات blockchain الشرعية، مما يجعل من الصعب على المستخدمين العاديين التمييز بين طبيعتها الخبيثة. فيما يلي بعض الأسباب الرئيسية:
تعتبر رموز العقود الذكية وطلبات التوقيع غامضة وصعبة الفهم بالنسبة للمستخدمين غير التقنيين. على سبيل المثال، قد يظهر طلب "Approve" كبيانات عشرية مثل "0x095ea7b3..."، مما يجعل من الصعب على المستخدمين فهم معناه بشكل مباشر.
تُسجل جميع المعاملات على البلوكشين، مما يجعلها تبدو شفافة، ولكن الضحايا غالباً ما يدركون عواقب التفويض أو التوقيع فقط بعد فوات الأوان، وعندها لا يمكن استرداد الأصول.
يستغل المهاجمون نقاط ضعف الإنسان، مثل الطمع ("احصل على توكنات بقيمة 1000 دولار مجانًا")، الخوف ("هناك خلل في الحساب ويتطلب التحقق") أو الثقة (يتنكر كخدمة العملاء).
يمكن أن تستخدم مواقع التصيد URLs مشابهة لاسم النطاق الرسمي (مثل "metamask.io" تتحول إلى "metamaskk.io")، وحتى تزيد من مصداقيتها من خلال شهادات HTTPS.
٣. كيف تحمي محفظة العملات المشفرة الخاصة بك؟
في مواجهة هذه الاحتيالات التي تجمع بين الجوانب التقنية والحرب النفسية، فإن حماية الأصول تتطلب استراتيجيات متعددة المستويات. فيما يلي تدابير الوقاية التفصيلية:
الأدوات: استخدم أداة التحقق من التفويض في متصفح blockchain لفحص سجلات تفويض المحفظة.
الإجراء: قم بإلغاء التفويضات غير الضرورية بانتظام، خاصة التفويضات غير المحدودة للعناوين غير المعروفة. تأكد من أن DApp يأتي من مصدر موثوق قبل كل تفويض.
التفاصيل الفنية: تحقق من قيمة "Allowance"، إذا كانت "غير محدودة" (مثل 2^256-1)، يجب إلغاؤها على الفور.
الطريقة: أدخل عنوان URL الرسمي يدويًا، وتجنب النقر على الروابط في وسائل التواصل الاجتماعي أو البريد الإلكتروني.
تحقق: تأكد من أن الموقع يستخدم اسم النطاق وشهادة SSL الصحيحة (رمز القفل الأخضر). كن حذرًا من الأخطاء الإملائية أو الأحرف الزائدة.
مثال: إذا تلقيت نوعًا من "opensea.io" (مثل "opensea.io-login"), يجب عليك الشك في مصداقيته على الفور.
المحفظة الباردة: تخزين معظم الأصول في محفظة الأجهزة، والاتصال بالشبكة فقط عند الحاجة.
التوقيع المتعدد: بالنسبة للأصول الكبيرة، استخدم أداة التوقيع المتعدد، التي تتطلب تأكيد المعاملات من عدة مفاتيح، لتقليل مخاطر الخطأ في نقطة واحدة.
الفوائد: حتى إذا تم اختراق المحفظة الساخنة، تظل الأصول المخزنة في التخزين البارد آمنة.
الخطوات: في كل مرة تقوم فيها بالتوقيع، اقرأ بعناية تفاصيل المعاملة في نافذة المحفظة. إذا كانت تحتوي على دالة غير معروفة (مثل "TransferFrom")، فرفض التوقيع.
الأدوات: استخدم ميزة "فك تشفير بيانات المدخلات" في متصفح البلوكشين لتحليل محتوى التوقيع، أو استشر خبراء التقنية.
اقتراح: إنشاء محفظة مستقلة للعمليات عالية المخاطر، وتخزين كمية صغيرة من الأصول.
استراتيجية: بعد استلام رموز غير معروفة، لا تتفاعل. قم بوضع علامة عليها ك"قمامة" أو إخفائها.
تحقق: تأكد من مصدر الرمز المميز من خلال متصفح البلوكشين، وإذا كان الإرسال جماعيًا، فكن حذرًا للغاية.
الوقاية: تجنب نشر عنوان المحفظة، أو استخدام عنوان جديد للقيام بعمليات حساسة.
الخاتمة
من خلال تنفيذ التدابير الأمنية المذكورة أعلاه، يمكن للمستخدمين تقليل خطر أن يصبحوا ضحايا لخطط الاحتيال المتقدمة بشكل كبير، لكن الأمن الحقيقي ليس انتصاراً تقنياً بحتاً. عندما يقوم محفظة الأجهزة ببناء خط دفاع مادي، وتوزيع المخاطر عبر التوقيعات المتعددة، فإن فهم المستخدم لمنطق التفويض، وحذره من السلوكيات على السلسلة، هو آخر حصن ضد الهجمات. كل تحليل للبيانات قبل التوقيع، وكل مراجعة للحقوق بعد التفويض، هي بمثابة قسم على سيادتهم الرقمية.
في المستقبل، بغض النظر عن كيفية تطور التكنولوجيا، ستبقى الخط الدفاعي الأساسي في: تحويل الوعي بالأمان إلى ذاكرة عضلية، وإقامة توازن دائم بين الثقة والتحقق. بعد كل شيء، في عالم blockchain حيث الكود هو القانون، يتم تسجيل كل نقرة وكل صفقة بشكل دائم على السلسلة، ولا يمكن تغييرها.