التهديدات الجديدة في عالم البلوكتشين: عندما تصبح العقود الذكية أداة احتيال
تقوم العملات المشفرة وتقنية البلوكتشين بإعادة تشكيل المشهد المالي، ولكن هذه الثورة جلبت أيضًا تحديات أمنية جديدة. لم يعد المحتالون مقيدين باستغلال ثغرات تقنية، بل حولوا بروتوكولات العقود الذكية الخاصة بالبلوكتشين نفسها إلى وسائل للهجوم. من خلال الفخاخ الهندسية الاجتماعية المصممة بعناية، يستغلون شفافية البلوكتشين وعدم قابليته للعكس، لتحويل ثقة المستخدمين إلى أدوات لسرقة الأصول. من تزوير العقود الذكية إلى التلاعب بالمعاملات عبر السلاسل، هذه الهجمات ليست فقط خفية وصعبة الكشف، بل أكثر خداعًا بسبب مظهرها "الشرعي". ستقوم هذه المقالة من خلال تحليل الحالات، بكشف كيفية تحويل المحتالين للبروتوكولات إلى وسائل للهجوم، وتقديم حلول شاملة من الحماية التقنية إلى الوقاية السلوكية، لمساعدتك على السير بأمان في عالم لا مركزي.
١. كيف تتحول الاتفاقيات القانونية إلى أدوات احتيال؟
تصميم بروتوكولات البلوكتشين كان بهدف ضمان الأمان والثقة، لكن المحتالين استغلوا خصائصها، بالاشتراك مع إهمال المستخدمين، ليبتكروا طرق هجوم خفية متعددة. فيما يلي بعض الأساليب وشرح التفاصيل التقنية الخاصة بها:
(1) تفويض العقود الذكية الضارة
مبادئ التكنولوجيا:
على البلوكتشين مثل إيثيريوم، يسمح معيار رموز ERC-20 للمستخدمين من خلال دالة "Approve" بتفويض طرف ثالث (عادةً ما يكون عقدًا ذكيًا) لسحب عدد معين من الرموز من محفظتهم. تُستخدم هذه الميزة على نطاق واسع في بروتوكولات DeFi، حيث يحتاج المستخدمون إلى تفويض العقود الذكية لإتمام المعاملات أو الرهن أو تعدين السيولة. ومع ذلك، يستغل المحتالون هذه الآلية لتصميم عقود خبيثة.
طريقة العمل:
ينشئ المحتالون تطبيقًا لامركزيًا يتنكر في شكل مشروع شرعي، وغالبًا ما يتم الترويج له من خلال مواقع التصيد أو وسائل التواصل الاجتماعي. يقوم المستخدمون بربط محفظتهم ويتم إغواؤهم بالنقر على "Approve"، والذي يبدو للوهلة الأولى أنه يمنح إذنًا لعدد قليل من الرموز، ولكنه قد يكون في الواقع حدًا غير محدود (قيمة uint256.max). بمجرد اكتمال التفويض، يحصل عنوان عقد المحتال على الإذن، ويمكنه استدعاء وظيفة "TransferFrom" في أي وقت، لسحب جميع الرموز المقابلة من محفظة المستخدم.
حالة حقيقية:
في بداية عام 2023، أدى موقع تصيد انتحل صفة "ترقية Uniswap V3" إلى خسارة مئات المستخدمين لعدة ملايين من الدولارات من USDT و ETH. تشير البيانات على السلسلة إلى أن هذه المعاملات تتوافق تمامًا مع معيار ERC-20، ولم يتمكن الضحايا حتى من استرداد أموالهم من خلال الوسائل القانونية، لأن التفويض تم توقيعه طواعية.
(2) توقيع الصيد
المبادئ التقنية:
تتطلب معاملات البلوكتشين من المستخدمين إنشاء توقيع باستخدام المفتاح الخاص لإثبات شرعية المعاملة. غالبًا ما تظهر المحفظة طلب توقيع، وبعد تأكيد المستخدم، يتم بث المعاملة إلى الشبكة. يستغل المحتالون هذه العملية لتزوير طلبات التوقيع وسرقة الأصول.
طريقة التشغيل:
يتلقى المستخدم رسالة أو إشعار متخفي كإشعار رسمي، مثل "توزيع NFT الخاص بك في انتظار استلامه، يرجى التحقق من المحفظة". بعد النقر على الرابط، يُوجه المستخدم إلى موقع ضار، يطلب منه ربط المحفظة وتوقيع "معاملة التحقق". قد تكون هذه المعاملة في الواقع استدعاءً لدالة "Transfer"، تنقل مباشرةً ETH أو الرموز من المحفظة إلى عنوان المحتال؛ أو عملية "SetApprovalForAll"، التي تمنح المحتال السيطرة على مجموعة NFTs الخاصة بالمستخدم.
حالات حقيقية:
تعرض مجتمع مشروع NFT معروف لهجوم تصيد توقيع، حيث فقد العديد من المستخدمين NFTs بقيمة عدة ملايين من الدولارات بسبب توقيعهم على معاملات "استلام الإيهام" المزورة. استغل المهاجمون معيار توقيع EIP-712، وقاموا بتزوير طلبات تبدو آمنة.
(3) العملات الوهمية و"هجمات الغبار"
المبادئ التكنولوجية:
تسمح علانية البلوكتشين لأي شخص بإرسال رموز إلى أي عنوان، حتى لو لم يطلب المستلم ذلك بشكل نشط. يستغل المحتالون هذه الميزة عن طريق إرسال كميات صغيرة من العملات المشفرة إلى عدة عناوين محفظة، لتتبع نشاط المحفظة وربطها بالأفراد أو الشركات التي تمتلك المحفظة.
طريقة التشغيل:
يرسل المهاجمون كميات صغيرة من العملات المشفرة إلى عناوين مختلفة، ثم يحاولون معرفة أي منها ينتمي إلى نفس المحفظة. وغالبًا ما يتم توزيع هذه "الغبار" على شكل إيردروب إلى محافظ المستخدمين، وقد تحتوي على أسماء جذابة أو بيانات وصفية. قد يرغب المستخدمون في تحويل هذه الرموز إلى نقود، مما يتيح لهم الوصول إلى المواقع التي يقدمها المهاجمون. بعد ذلك، يمكن للمهاجمين الوصول إلى محفظة المستخدم من خلال عنوان العقد المرفق بالرموز، أو عن طريق تحليل معاملات المستخدم اللاحقة، وتحديد عناوين المحافظ النشطة، وتنفيذ عمليات احتيال أكثر دقة.
حالات حقيقية:
في الماضي، أثرت هجمات "غبار رموز GAS" التي حدثت على شبكة الإيثيريوم على آلاف المحافظ. بعض المستخدمين فقدوا ETH ورموز ERC-20 بسبب فضولهم للتفاعل.
ثانياً، لماذا يصعب اكتشاف هذه الاحتيالات؟
تنجح هذه الحيل إلى حد كبير لأنها مخفية داخل آلية البلوكتشين الشرعية، مما يجعل من الصعب على المستخدمين العاديين تمييز طبيعتها الخبيثة. فيما يلي بعض الأسباب الرئيسية:
تعقيد التكنولوجيا: يعد كود العقود الذكية وطلبات التوقيع غامضًا لمستخدمي غير التقنيين. على سبيل المثال، قد تظهر طلب "Approve" كبيانات عشرية مثل "0x095ea7b3..."، مما يجعل من الصعب على المستخدمين فهم معناها بشكل مباشر.
الشرعية على البلوكتشين: جميع المعاملات مسجلة على البلوكتشين، وتبدو شفافة، ولكن الضحايا غالبًا ما يدركون عواقب التفويض أو التوقيع بعد فوات الأوان، وعندها لا يمكن استرداد الأصول.
الهندسة الاجتماعية: يستغل المحتالون نقاط ضعف الطبيعة البشرية مثل الجشع ("احصل على 1000 دولار من الرموز مجانًا")، والخوف ("هناك خطأ في الحساب يحتاج إلى التحقق")، أو الثقة (يتنكرون كخدمة العملاء).
تمويه متقن: قد تستخدم مواقع التصيد URLs مشابهة للاسم الرسمي للنطاق، وحتى تزيد من مصداقيتها من خلال شهادات HTTPS.
٣. كيف تحمي محفظة العملات المشفرة الخاصة بك؟
في مواجهة هذه الحيل التي تجمع بين الجوانب التقنية والنفسية، يتطلب حماية الأصول استراتيجيات متعددة المستويات. فيما يلي تدابير الوقاية التفصيلية:
تحقق وإدارة صلاحيات التفويض
استخدم أداة فحص التفويض في متصفح البلوكتشين للتحقق من سجلات تفويض المحفظة.
قم بإلغاء التفويضات غير الضرورية بشكل دوري، خاصةً التفويضات غير المحدودة للعناوين غير المعروفة.
قبل كل تفويض، تأكد من أن DApp来自 مصدر موثوق.
تحقق من قيمة "Allowance"، إذا كانت "غير محدودة" (مثل 2^256-1)، يجب إلغاءها على الفور.
تحقق من الرابط والمصدر
أدخل عنوان URL الرسمي يدويًا، وتجنب النقر على الروابط في وسائل التواصل الاجتماعي أو البريد الإلكتروني.
تأكد من أن الموقع يستخدم اسم النطاق وشهادة SSL الصحيحة (رمز القفل الأخضر).
احذر من الأخطاء الإملائية أو الأحرف الزائدة.
إذا تلقيت نوعًا مشبوهًا من النطاقات، يجب أن تشكك فورًا في مصداقيتها.
استخدام المحفظة الباردة والتوقيع المتعدد
قم بتخزين معظم الأصول في محفظة الأجهزة، واتصل بالشبكة فقط عند الضرورة.
بالنسبة للأصول الكبيرة، استخدم أدوات التوقيع المتعدد، واشترط تأكيد المعاملات من قبل مفاتيح متعددة، مما يقلل من مخاطر الأخطاء الفردية.
حتى إذا تم اختراق المحفظة الساخنة، تظل الأصول المخزنة في التخزين البارد آمنة.
تعامل بحذر مع طلبات التوقيع
في كل مرة تقوم فيها بالتوقيع، اقرأ بعناية تفاصيل المعاملة في نافذة المحفظة.
انتبه إلى حقل "البيانات"، إذا كان يحتوي على دالة غير معروفة (مثل "TransferFrom")، فافتح التوقيع.
استخدم وظيفة "Decode Input Data" في مستعرض البلوكتشين لتحليل محتوى التوقيع، أو استشر خبيرًا تقنيًا.
إنشاء محفظة مستقلة للعمليات عالية المخاطر، وتخزين كمية صغيرة من الأصول.
مواجهة هجمات الغبار
بعد استلام رموز غير معروفة، لا تتفاعل معها. قم بتصنيفها ك"بريد مزعج" أو قم بإخفائها.
من خلال منصة متصفح البلوكتشين، تأكد من مصدر الرموز، وإذا كانت مرسلة بكميات كبيرة، كن حذرًا جدًا.
تجنب الكشف عن عنوان المحفظة، أو استخدام عنوان جديد للعمليات الحساسة.
الخاتمة
من خلال تنفيذ التدابير الأمنية المذكورة أعلاه، يمكن للمستخدمين العاديين تقليل خطر أن يصبحوا ضحايا لبرامج الاحتيال المتقدمة بشكل كبير، ولكن الأمان الحقيقي ليس انتصارًا تقنيًا بحتًا. عندما تبني محافظ الأجهزة خط دفاع مادي، وتوزع التوقيعات المتعددة المخاطر، فإن فهم المستخدم للمنطق المصرح به، وحرصه على السلوك على السلسلة، هو آخر حصن ضد الهجمات. كل تحليل للبيانات قبل التوقيع، وكل مراجعة للصلاحيات بعد التفويض، هي إعلان عن سيادته الرقمية.
في المستقبل، بغض النظر عن كيفية تكرار التكنولوجيا، تظل الخط الدفاعي الأكثر جوهرية هي: تحويل الوعي بالأمان إلى عادة، وإقامة توازن دائم بين الثقة والتحقق. بعد كل شيء، في عالم البلوكتشين حيث الكود هو القانون، يتم تسجيل كل نقرة، وكل معاملة بشكل دائم على السلسلة، ولا يمكن تغييرها.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 7
أعجبني
7
7
مشاركة
تعليق
0/400
SmartContractRebel
· منذ 11 س
اتخذ المركز المعاكس، لقد ألغيت التفويض، ماذا تريد أن تفعل لسرقة عمليتي؟
شاهد النسخة الأصليةرد0
LiquidityWizard
· منذ 11 س
نظريًا، 99.7% من هذه "الاختراقات" هي مجرد خطأ من المستخدم، يا للأسف.
البلوكتشين بروتوكول ينجرف إلى أداة جديدة للاحتيال كيف تحمي أصولك من التشفير
التهديدات الجديدة في عالم البلوكتشين: عندما تصبح العقود الذكية أداة احتيال
تقوم العملات المشفرة وتقنية البلوكتشين بإعادة تشكيل المشهد المالي، ولكن هذه الثورة جلبت أيضًا تحديات أمنية جديدة. لم يعد المحتالون مقيدين باستغلال ثغرات تقنية، بل حولوا بروتوكولات العقود الذكية الخاصة بالبلوكتشين نفسها إلى وسائل للهجوم. من خلال الفخاخ الهندسية الاجتماعية المصممة بعناية، يستغلون شفافية البلوكتشين وعدم قابليته للعكس، لتحويل ثقة المستخدمين إلى أدوات لسرقة الأصول. من تزوير العقود الذكية إلى التلاعب بالمعاملات عبر السلاسل، هذه الهجمات ليست فقط خفية وصعبة الكشف، بل أكثر خداعًا بسبب مظهرها "الشرعي". ستقوم هذه المقالة من خلال تحليل الحالات، بكشف كيفية تحويل المحتالين للبروتوكولات إلى وسائل للهجوم، وتقديم حلول شاملة من الحماية التقنية إلى الوقاية السلوكية، لمساعدتك على السير بأمان في عالم لا مركزي.
١. كيف تتحول الاتفاقيات القانونية إلى أدوات احتيال؟
تصميم بروتوكولات البلوكتشين كان بهدف ضمان الأمان والثقة، لكن المحتالين استغلوا خصائصها، بالاشتراك مع إهمال المستخدمين، ليبتكروا طرق هجوم خفية متعددة. فيما يلي بعض الأساليب وشرح التفاصيل التقنية الخاصة بها:
(1) تفويض العقود الذكية الضارة
مبادئ التكنولوجيا: على البلوكتشين مثل إيثيريوم، يسمح معيار رموز ERC-20 للمستخدمين من خلال دالة "Approve" بتفويض طرف ثالث (عادةً ما يكون عقدًا ذكيًا) لسحب عدد معين من الرموز من محفظتهم. تُستخدم هذه الميزة على نطاق واسع في بروتوكولات DeFi، حيث يحتاج المستخدمون إلى تفويض العقود الذكية لإتمام المعاملات أو الرهن أو تعدين السيولة. ومع ذلك، يستغل المحتالون هذه الآلية لتصميم عقود خبيثة.
طريقة العمل: ينشئ المحتالون تطبيقًا لامركزيًا يتنكر في شكل مشروع شرعي، وغالبًا ما يتم الترويج له من خلال مواقع التصيد أو وسائل التواصل الاجتماعي. يقوم المستخدمون بربط محفظتهم ويتم إغواؤهم بالنقر على "Approve"، والذي يبدو للوهلة الأولى أنه يمنح إذنًا لعدد قليل من الرموز، ولكنه قد يكون في الواقع حدًا غير محدود (قيمة uint256.max). بمجرد اكتمال التفويض، يحصل عنوان عقد المحتال على الإذن، ويمكنه استدعاء وظيفة "TransferFrom" في أي وقت، لسحب جميع الرموز المقابلة من محفظة المستخدم.
حالة حقيقية: في بداية عام 2023، أدى موقع تصيد انتحل صفة "ترقية Uniswap V3" إلى خسارة مئات المستخدمين لعدة ملايين من الدولارات من USDT و ETH. تشير البيانات على السلسلة إلى أن هذه المعاملات تتوافق تمامًا مع معيار ERC-20، ولم يتمكن الضحايا حتى من استرداد أموالهم من خلال الوسائل القانونية، لأن التفويض تم توقيعه طواعية.
(2) توقيع الصيد
المبادئ التقنية: تتطلب معاملات البلوكتشين من المستخدمين إنشاء توقيع باستخدام المفتاح الخاص لإثبات شرعية المعاملة. غالبًا ما تظهر المحفظة طلب توقيع، وبعد تأكيد المستخدم، يتم بث المعاملة إلى الشبكة. يستغل المحتالون هذه العملية لتزوير طلبات التوقيع وسرقة الأصول.
طريقة التشغيل: يتلقى المستخدم رسالة أو إشعار متخفي كإشعار رسمي، مثل "توزيع NFT الخاص بك في انتظار استلامه، يرجى التحقق من المحفظة". بعد النقر على الرابط، يُوجه المستخدم إلى موقع ضار، يطلب منه ربط المحفظة وتوقيع "معاملة التحقق". قد تكون هذه المعاملة في الواقع استدعاءً لدالة "Transfer"، تنقل مباشرةً ETH أو الرموز من المحفظة إلى عنوان المحتال؛ أو عملية "SetApprovalForAll"، التي تمنح المحتال السيطرة على مجموعة NFTs الخاصة بالمستخدم.
حالات حقيقية: تعرض مجتمع مشروع NFT معروف لهجوم تصيد توقيع، حيث فقد العديد من المستخدمين NFTs بقيمة عدة ملايين من الدولارات بسبب توقيعهم على معاملات "استلام الإيهام" المزورة. استغل المهاجمون معيار توقيع EIP-712، وقاموا بتزوير طلبات تبدو آمنة.
(3) العملات الوهمية و"هجمات الغبار"
المبادئ التكنولوجية: تسمح علانية البلوكتشين لأي شخص بإرسال رموز إلى أي عنوان، حتى لو لم يطلب المستلم ذلك بشكل نشط. يستغل المحتالون هذه الميزة عن طريق إرسال كميات صغيرة من العملات المشفرة إلى عدة عناوين محفظة، لتتبع نشاط المحفظة وربطها بالأفراد أو الشركات التي تمتلك المحفظة.
طريقة التشغيل: يرسل المهاجمون كميات صغيرة من العملات المشفرة إلى عناوين مختلفة، ثم يحاولون معرفة أي منها ينتمي إلى نفس المحفظة. وغالبًا ما يتم توزيع هذه "الغبار" على شكل إيردروب إلى محافظ المستخدمين، وقد تحتوي على أسماء جذابة أو بيانات وصفية. قد يرغب المستخدمون في تحويل هذه الرموز إلى نقود، مما يتيح لهم الوصول إلى المواقع التي يقدمها المهاجمون. بعد ذلك، يمكن للمهاجمين الوصول إلى محفظة المستخدم من خلال عنوان العقد المرفق بالرموز، أو عن طريق تحليل معاملات المستخدم اللاحقة، وتحديد عناوين المحافظ النشطة، وتنفيذ عمليات احتيال أكثر دقة.
حالات حقيقية: في الماضي، أثرت هجمات "غبار رموز GAS" التي حدثت على شبكة الإيثيريوم على آلاف المحافظ. بعض المستخدمين فقدوا ETH ورموز ERC-20 بسبب فضولهم للتفاعل.
ثانياً، لماذا يصعب اكتشاف هذه الاحتيالات؟
تنجح هذه الحيل إلى حد كبير لأنها مخفية داخل آلية البلوكتشين الشرعية، مما يجعل من الصعب على المستخدمين العاديين تمييز طبيعتها الخبيثة. فيما يلي بعض الأسباب الرئيسية:
تعقيد التكنولوجيا: يعد كود العقود الذكية وطلبات التوقيع غامضًا لمستخدمي غير التقنيين. على سبيل المثال، قد تظهر طلب "Approve" كبيانات عشرية مثل "0x095ea7b3..."، مما يجعل من الصعب على المستخدمين فهم معناها بشكل مباشر.
الشرعية على البلوكتشين: جميع المعاملات مسجلة على البلوكتشين، وتبدو شفافة، ولكن الضحايا غالبًا ما يدركون عواقب التفويض أو التوقيع بعد فوات الأوان، وعندها لا يمكن استرداد الأصول.
الهندسة الاجتماعية: يستغل المحتالون نقاط ضعف الطبيعة البشرية مثل الجشع ("احصل على 1000 دولار من الرموز مجانًا")، والخوف ("هناك خطأ في الحساب يحتاج إلى التحقق")، أو الثقة (يتنكرون كخدمة العملاء).
تمويه متقن: قد تستخدم مواقع التصيد URLs مشابهة للاسم الرسمي للنطاق، وحتى تزيد من مصداقيتها من خلال شهادات HTTPS.
٣. كيف تحمي محفظة العملات المشفرة الخاصة بك؟
في مواجهة هذه الحيل التي تجمع بين الجوانب التقنية والنفسية، يتطلب حماية الأصول استراتيجيات متعددة المستويات. فيما يلي تدابير الوقاية التفصيلية:
تحقق وإدارة صلاحيات التفويض
تحقق من الرابط والمصدر
استخدام المحفظة الباردة والتوقيع المتعدد
تعامل بحذر مع طلبات التوقيع
مواجهة هجمات الغبار
الخاتمة
من خلال تنفيذ التدابير الأمنية المذكورة أعلاه، يمكن للمستخدمين العاديين تقليل خطر أن يصبحوا ضحايا لبرامج الاحتيال المتقدمة بشكل كبير، ولكن الأمان الحقيقي ليس انتصارًا تقنيًا بحتًا. عندما تبني محافظ الأجهزة خط دفاع مادي، وتوزع التوقيعات المتعددة المخاطر، فإن فهم المستخدم للمنطق المصرح به، وحرصه على السلوك على السلسلة، هو آخر حصن ضد الهجمات. كل تحليل للبيانات قبل التوقيع، وكل مراجعة للصلاحيات بعد التفويض، هي إعلان عن سيادته الرقمية.
في المستقبل، بغض النظر عن كيفية تكرار التكنولوجيا، تظل الخط الدفاعي الأكثر جوهرية هي: تحويل الوعي بالأمان إلى عادة، وإقامة توازن دائم بين الثقة والتحقق. بعد كل شيء، في عالم البلوكتشين حيث الكود هو القانون، يتم تسجيل كل نقرة، وكل معاملة بشكل دائم على السلسلة، ولا يمكن تغييرها.