العقود الذكية المصرح بها: كتلة أمان البلوكتشين السيف ذو الحدين
تقوم العملات المشفرة وتقنية البلوكتشين بإعادة تشكيل المجال المالي، لكن هذه الثورة قد جلبت أيضًا تحديات أمنية جديدة. لم يعد المهاجمون مقيدين باستغلال ثغرات تقنية، بل قاموا بتحويل بروتوكولات البلوكتشين نفسها إلى أدوات هجوم. من خلال فخاخ هندسية اجتماعية مصممة بعناية، يستغلون شفافية البلوكتشين وعدم القابلية للإرجاع، مما يحول ثقة المستخدمين إلى وسيلة لسرقة الأصول. من العقود الذكية المصممة بدقة إلى التلاعب بالمعاملات عبر السلاسل، لا تقتصر هذه الهجمات على كونها خفية وصعبة الاكتشاف فحسب، بل إنها أكثر خداعًا بسبب مظهرها "الشرعي". ستقوم هذه المقالة بتحليل حالات حقيقية، وكشف كيف يحول المهاجمون البروتوكولات إلى وسائل هجوم، وتقديم حلول شاملة من الحماية التقنية إلى الوقاية السلوكية، لمساعدتك في السير بأمان في عالم لامركزي.
١. كيف أصبحت البروتوكولات أدوات احتيال؟
البلوكتشين بروتوكول كان الهدف منه ضمان الأمان والثقة، ولكن المهاجمين استغلوا خصائصه، بالاقتران مع إهمال المستخدمين، لخلق طرق هجومية خفية متعددة. فيما يلي بعض الأساليب وتفاصيلها التقنية:
(1) تفويض العقود الذكية الخبيثة
مبادئ التقنية:
في البلوكتشين مثل الإيثيريوم، يسمح معيار رموز ERC-20 للمستخدمين من خلال دالة "Approve" بتفويض طرف ثالث (عادةً ما يكون عقدًا ذكيًا) لسحب كمية معينة من الرموز من محفظتهم. تُستخدم هذه الوظيفة على نطاق واسع في بروتوكولات DeFi، حيث يحتاج المستخدمون إلى تفويض العقود الذكية لإجراء المعاملات أو الرهان أو تعدين السيولة. ومع ذلك، قام المهاجمون باستغلال هذه الآلية لتصميم عقود خبيثة.
كيفية العمل:
المهاجمون يقومون بإنشاء تطبيقات لامركزية (DApp) تتظاهر بأنها مشاريع قانونية، وغالباً ما يتم الترويج لها من خلال مواقع التصيد أو وسائل التواصل الاجتماعي. يتصل المستخدمون بمحافظهم ويتم إغراؤهم بالنقر على "Approve"، والذي يبدو أنه تفويض لعدد قليل من الرموز، في حين أنه قد يكون في الواقع لمبلغ غير محدود (قيمة uint256.max). بمجرد الانتهاء من التفويض، يحصل عنوان عقد المهاجم على إذن لاستدعاء وظيفة "TransferFrom" في أي وقت، وسحب جميع الرموز المقابلة من محفظة المستخدم.
حالات حقيقية:
في أوائل عام 2023، أدى موقع احتيالي يتنكر ك"ترقية DEX معينة" إلى خسارة مئات المستخدمين لملايين الدولارات من USDT و ETH. تظهر البيانات على البلوكتشين أن هذه المعاملات تتوافق تمامًا مع معيار ERC-20، ولم يتمكن الضحايا حتى من استعادة أموالهم من خلال الوسائل القانونية، لأن التفويض كان موقعًا طوعًا.
(2) توقيع الصيد
المبدأ الفني:
تتطلب معاملات البلوكتشين من المستخدمين إنشاء توقيع باستخدام المفتاح الخاص لإثبات شرعية المعاملة. عادةً ما تظهر المحفظة طلب توقيع، وبعد تأكيد المستخدم، يتم بث المعاملة إلى الشبكة. يستغل المهاجمون هذه العملية لتزوير طلبات التوقيع وسرقة الأصول.
كيفية العمل:
يتلقى المستخدمون رسائل بريد إلكتروني أو رسائل على وسائل التواصل الاجتماعي مت disguised كإشعارات رسمية، مثل "توزيع NFT الخاص بك في انتظار الاستلام، يرجى التحقق من المحفظة". بعد النقر على الرابط، يُوجه المستخدم إلى موقع ضار، حيث يُطلب منه توصيل المحفظة وتوقيع "صفقة التحقق". قد تكون هذه الصفقة في الواقع استدعاء لوظيفة "Transfer"، مما يؤدي إلى نقل ETH أو الرموز مباشرة من المحفظة إلى عنوان المهاجم؛ أو عملية "SetApprovalForAll"، مما يمنح المهاجم السيطرة على مجموعة NFT الخاصة بالمستخدم.
حالات حقيقية:
تعرض مجتمع مشروع NFT معروف لهجوم تصيد عبر التوقيع، حيث فقد العديد من المستخدمين NFTs تقدر قيمتها بملايين الدولارات بسبب توقيعهم على معاملات "استلام الإعلانات" المزيفة. استغل المهاجمون معيار توقيع EIP-712، وقاموا بتزوير طلبات تبدو آمنة.
(3) الرموز الوهمية وهجوم "الغبار"
المبادئ التقنية:
تسمح علنية البلوكتشين لأي شخص بإرسال الرموز إلى أي عنوان، حتى لو لم يطلب المستلم ذلك بشكل نشط. يستغل المهاجمون هذه النقطة من خلال إرسال كميات صغيرة من العملات المشفرة إلى العديد من عناوين المحافظ، لتتبع نشاط المحافظ وربطه بالأفراد أو الشركات التي تمتلك المحافظ.
كيفية العمل:
المهاجمون يرسلون كميات صغيرة من العملات المشفرة إلى عناوين مختلفة، في محاولة لمعرفة أي منها ينتمي إلى نفس المحفظة. ثم، يستخدمون هذه المعلومات لشن هجمات تصيد أو تهديدات ضد الضحايا. في معظم الحالات، يتم توزيع "الغبار" المستخدم في هجمات الغبار على شكل إيرادات على محافظ المستخدمين، وقد تحمل هذه الرموز أسماء أو بيانات تعريف معينة، مما يحفز المستخدمين على زيارة موقع معين للاستعلام عن التفاصيل.
حالات حقيقية:
ظهرت هجمات غبار "رموز الغاز" على شبكة الإيثيريوم، مما أثر على آلاف المحافظ. بعض المستخدمين فقدوا ETH و ERC-20 بسبب الفضول والتفاعل.
ثانياً، لماذا يصعب اكتشاف هذه الاحتيالات؟
نجحت هذه الاحتيالات إلى حد كبير لأنها مختبئة ضمن الآلية القانونية للبلوكتشين، مما يجعل من الصعب على المستخدمين العاديين تمييز طبيعتها الخبيثة. الأسباب الرئيسية تشمل:
تعقيد التكنولوجيا: يعتبر كود العقود الذكية وطلبات التوقيع غامضة وصعبة الفهم بالنسبة للمستخدمين غير الفنيين.
**الشرعية على البلوكتشين: ** جميع المعاملات مسجلة على البلوكتشين، وتبدو شفافة، لكن الضحايا غالبًا ما يدركون عواقب التفويض أو التوقيع فقط بعد وقوع الحدث.
الهندسة الاجتماعية: المهاجمون يستغلون نقاط الضعف البشرية، مثل الطمع، الخوف أو الثقة.
**التخفي البارع: ** قد تستخدم مواقع التصيد URLs مشابهة للاسم الرسمي للنطاق، وحتى من خلال شهادات HTTPS لزيادة المصداقية.
٣. كيفية حماية محفظة العملات المشفرة الخاصة بك؟
في مواجهة هذه الحيل التي تتواجد فيها الحروب النفسية والتقنية، يحتاج حماية الأصول إلى استراتيجيات متعددة المستويات. فيما يلي التدابير التفصيلية للحماية:
تحقق من وإدارة أذونات التفويض
استخدم أداة فحص التفويض في متصفح البلوكتشين للتحقق من سجلات تفويض المحفظة بانتظام.
إلغاء التفويضات غير الضرورية، خاصةً التفويضات اللامحدودة للعناوين غير المعروفة.
قبل كل تفويض، تأكد من أن DApp يأتي من مصدر موثوق.
تحقق من الرابط والمصدر
أدخل عنوان URL الرسمي يدويًا، وتجنب النقر على الروابط الموجودة في وسائل التواصل الاجتماعي أو البريد الإلكتروني.
تأكد من أن الموقع يستخدم اسم المجال الصحيح وشهادة SSL.
احذر من الأخطاء الإملائية أو الأحرف الزائدة في اسم النطاق.
استخدام المحفظة الباردة والتوقيعات المتعددة
قم بتخزين معظم الأصول في محفظة الأجهزة، واتصل بالإنترنت فقط عند الضرورة.
بالنسبة للأصول الكبيرة، استخدم أدوات التوقيع المتعدد، واطلب تأكيد المعاملات من مفاتيح متعددة.
تعامل بحذر مع طلبات التوقيع
اقرأ تفاصيل المعاملة في نافذة المحفظة بعناية في كل مرة تقوم فيها بالتوقيع.
استخدم وظيفة فك التشفير في متصفح البلوكتشين لتحليل محتوى التوقيع، أو استشر خبراء التكنولوجيا.
إنشاء محفظة مستقلة للعمليات عالية المخاطر، وتخزين كمية قليلة من الأصول.
مواجهة هجوم الغبار
بعد استلام الرموز غير المعروفة، لا تتفاعل معها. قم بإعلامها على أنها "قمامة" أو اخفها.
تأكيد مصدر التوكن من خلال متصفح البلوكتشين، إذا كان إرسالاً جماعياً، فكن حذراً جداً.
تجنب الكشف عن عنوان المحفظة، أو استخدم عنوانًا جديدًا لإجراء عمليات حساسة.
الخاتمة
يمكن أن تقلل تنفيذ التدابير الأمنية المذكورة أعلاه بشكل كبير من خطر أن تصبح ضحية لخطط الاحتيال المتقدمة، لكن الأمان الحقيقي لا يعتمد فقط على التكنولوجيا. عندما يقوم محفظة الأجهزة بإنشاء خط دفاع مادي، وتوزع التوقيعات المتعددة المخاطر، فإن فهم المستخدم لمنطق التفويض، والحرص على السلوك على البلوكتشين، هو آخر حصن ضد الهجمات.
في المستقبل، بغض النظر عن كيفية تطور التكنولوجيا، فإن الخط الدفاعي الأكثر أهمية هو: تحويل الوعي بالأمان إلى عادة، وبناء توازن بين الثقة والتحقق. في عالم البلوكتشين حيث الكود هو القانون، يتم تسجيل كل نقرة، وكل معاملة بشكل دائم، ولا يمكن تغييرها. يجب أن نكون حذرين ونتصرف بحذر حتى نتمكن من التقدم بأمان في هذا المجال الجديد من التمويل الرقمي.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 6
أعجبني
6
4
إعادة النشر
مشاركة
تعليق
0/400
Degen4Breakfast
· 08-17 05:27
البلوكتشين 永远的حمقى
شاهد النسخة الأصليةرد0
WagmiWarrior
· 08-17 05:15
افتحوا أعينكم الأربعة قبل التصريح، أيها الجميع
شاهد النسخة الأصليةرد0
WalletWhisperer
· 08-17 05:10
شباب نشيطون مختصون في خسارة مؤقتة
شاهد النسخة الأصليةرد0
MEV_Whisperer
· 08-17 05:07
تذكر، أن تتبع المصدر هو الطريق الرئيسي! بدلاً من البحث طوال اليوم في التفويض، من الأفضل دراسة مبادئ MEV.
مخاطر تفويض العقود الذكية: تحديات جديدة في أمان البلوكتشين واستراتيجيات الحماية
العقود الذكية المصرح بها: كتلة أمان البلوكتشين السيف ذو الحدين
تقوم العملات المشفرة وتقنية البلوكتشين بإعادة تشكيل المجال المالي، لكن هذه الثورة قد جلبت أيضًا تحديات أمنية جديدة. لم يعد المهاجمون مقيدين باستغلال ثغرات تقنية، بل قاموا بتحويل بروتوكولات البلوكتشين نفسها إلى أدوات هجوم. من خلال فخاخ هندسية اجتماعية مصممة بعناية، يستغلون شفافية البلوكتشين وعدم القابلية للإرجاع، مما يحول ثقة المستخدمين إلى وسيلة لسرقة الأصول. من العقود الذكية المصممة بدقة إلى التلاعب بالمعاملات عبر السلاسل، لا تقتصر هذه الهجمات على كونها خفية وصعبة الاكتشاف فحسب، بل إنها أكثر خداعًا بسبب مظهرها "الشرعي". ستقوم هذه المقالة بتحليل حالات حقيقية، وكشف كيف يحول المهاجمون البروتوكولات إلى وسائل هجوم، وتقديم حلول شاملة من الحماية التقنية إلى الوقاية السلوكية، لمساعدتك في السير بأمان في عالم لامركزي.
١. كيف أصبحت البروتوكولات أدوات احتيال؟
البلوكتشين بروتوكول كان الهدف منه ضمان الأمان والثقة، ولكن المهاجمين استغلوا خصائصه، بالاقتران مع إهمال المستخدمين، لخلق طرق هجومية خفية متعددة. فيما يلي بعض الأساليب وتفاصيلها التقنية:
(1) تفويض العقود الذكية الخبيثة
مبادئ التقنية:
في البلوكتشين مثل الإيثيريوم، يسمح معيار رموز ERC-20 للمستخدمين من خلال دالة "Approve" بتفويض طرف ثالث (عادةً ما يكون عقدًا ذكيًا) لسحب كمية معينة من الرموز من محفظتهم. تُستخدم هذه الوظيفة على نطاق واسع في بروتوكولات DeFi، حيث يحتاج المستخدمون إلى تفويض العقود الذكية لإجراء المعاملات أو الرهان أو تعدين السيولة. ومع ذلك، قام المهاجمون باستغلال هذه الآلية لتصميم عقود خبيثة.
كيفية العمل:
المهاجمون يقومون بإنشاء تطبيقات لامركزية (DApp) تتظاهر بأنها مشاريع قانونية، وغالباً ما يتم الترويج لها من خلال مواقع التصيد أو وسائل التواصل الاجتماعي. يتصل المستخدمون بمحافظهم ويتم إغراؤهم بالنقر على "Approve"، والذي يبدو أنه تفويض لعدد قليل من الرموز، في حين أنه قد يكون في الواقع لمبلغ غير محدود (قيمة uint256.max). بمجرد الانتهاء من التفويض، يحصل عنوان عقد المهاجم على إذن لاستدعاء وظيفة "TransferFrom" في أي وقت، وسحب جميع الرموز المقابلة من محفظة المستخدم.
حالات حقيقية:
في أوائل عام 2023، أدى موقع احتيالي يتنكر ك"ترقية DEX معينة" إلى خسارة مئات المستخدمين لملايين الدولارات من USDT و ETH. تظهر البيانات على البلوكتشين أن هذه المعاملات تتوافق تمامًا مع معيار ERC-20، ولم يتمكن الضحايا حتى من استعادة أموالهم من خلال الوسائل القانونية، لأن التفويض كان موقعًا طوعًا.
(2) توقيع الصيد
المبدأ الفني:
تتطلب معاملات البلوكتشين من المستخدمين إنشاء توقيع باستخدام المفتاح الخاص لإثبات شرعية المعاملة. عادةً ما تظهر المحفظة طلب توقيع، وبعد تأكيد المستخدم، يتم بث المعاملة إلى الشبكة. يستغل المهاجمون هذه العملية لتزوير طلبات التوقيع وسرقة الأصول.
كيفية العمل:
يتلقى المستخدمون رسائل بريد إلكتروني أو رسائل على وسائل التواصل الاجتماعي مت disguised كإشعارات رسمية، مثل "توزيع NFT الخاص بك في انتظار الاستلام، يرجى التحقق من المحفظة". بعد النقر على الرابط، يُوجه المستخدم إلى موقع ضار، حيث يُطلب منه توصيل المحفظة وتوقيع "صفقة التحقق". قد تكون هذه الصفقة في الواقع استدعاء لوظيفة "Transfer"، مما يؤدي إلى نقل ETH أو الرموز مباشرة من المحفظة إلى عنوان المهاجم؛ أو عملية "SetApprovalForAll"، مما يمنح المهاجم السيطرة على مجموعة NFT الخاصة بالمستخدم.
حالات حقيقية:
تعرض مجتمع مشروع NFT معروف لهجوم تصيد عبر التوقيع، حيث فقد العديد من المستخدمين NFTs تقدر قيمتها بملايين الدولارات بسبب توقيعهم على معاملات "استلام الإعلانات" المزيفة. استغل المهاجمون معيار توقيع EIP-712، وقاموا بتزوير طلبات تبدو آمنة.
(3) الرموز الوهمية وهجوم "الغبار"
المبادئ التقنية:
تسمح علنية البلوكتشين لأي شخص بإرسال الرموز إلى أي عنوان، حتى لو لم يطلب المستلم ذلك بشكل نشط. يستغل المهاجمون هذه النقطة من خلال إرسال كميات صغيرة من العملات المشفرة إلى العديد من عناوين المحافظ، لتتبع نشاط المحافظ وربطه بالأفراد أو الشركات التي تمتلك المحافظ.
كيفية العمل:
المهاجمون يرسلون كميات صغيرة من العملات المشفرة إلى عناوين مختلفة، في محاولة لمعرفة أي منها ينتمي إلى نفس المحفظة. ثم، يستخدمون هذه المعلومات لشن هجمات تصيد أو تهديدات ضد الضحايا. في معظم الحالات، يتم توزيع "الغبار" المستخدم في هجمات الغبار على شكل إيرادات على محافظ المستخدمين، وقد تحمل هذه الرموز أسماء أو بيانات تعريف معينة، مما يحفز المستخدمين على زيارة موقع معين للاستعلام عن التفاصيل.
حالات حقيقية:
ظهرت هجمات غبار "رموز الغاز" على شبكة الإيثيريوم، مما أثر على آلاف المحافظ. بعض المستخدمين فقدوا ETH و ERC-20 بسبب الفضول والتفاعل.
ثانياً، لماذا يصعب اكتشاف هذه الاحتيالات؟
نجحت هذه الاحتيالات إلى حد كبير لأنها مختبئة ضمن الآلية القانونية للبلوكتشين، مما يجعل من الصعب على المستخدمين العاديين تمييز طبيعتها الخبيثة. الأسباب الرئيسية تشمل:
٣. كيفية حماية محفظة العملات المشفرة الخاصة بك؟
في مواجهة هذه الحيل التي تتواجد فيها الحروب النفسية والتقنية، يحتاج حماية الأصول إلى استراتيجيات متعددة المستويات. فيما يلي التدابير التفصيلية للحماية:
تحقق من وإدارة أذونات التفويض
تحقق من الرابط والمصدر
استخدام المحفظة الباردة والتوقيعات المتعددة
تعامل بحذر مع طلبات التوقيع
مواجهة هجوم الغبار
الخاتمة
يمكن أن تقلل تنفيذ التدابير الأمنية المذكورة أعلاه بشكل كبير من خطر أن تصبح ضحية لخطط الاحتيال المتقدمة، لكن الأمان الحقيقي لا يعتمد فقط على التكنولوجيا. عندما يقوم محفظة الأجهزة بإنشاء خط دفاع مادي، وتوزع التوقيعات المتعددة المخاطر، فإن فهم المستخدم لمنطق التفويض، والحرص على السلوك على البلوكتشين، هو آخر حصن ضد الهجمات.
في المستقبل، بغض النظر عن كيفية تطور التكنولوجيا، فإن الخط الدفاعي الأكثر أهمية هو: تحويل الوعي بالأمان إلى عادة، وبناء توازن بين الثقة والتحقق. في عالم البلوكتشين حيث الكود هو القانون، يتم تسجيل كل نقرة، وكل معاملة بشكل دائم، ولا يمكن تغييرها. يجب أن نكون حذرين ونتصرف بحذر حتى نتمكن من التقدم بأمان في هذا المجال الجديد من التمويل الرقمي.