اتجاهات جديدة في احتيال بروتوكول البلوكتشين: تفويض العقود الذكية كوسيلة رئيسية للهجوم

robot
إنشاء الملخص قيد التقدم

العالم البلوكتشين تهديدات جديدة: بروتوكول الاحتيال واستراتيجيات الحماية

مع تطور العملات المشفرة وتكنولوجيا البلوكتشين، تظهر تهديدات جديدة بصمت. لم يعد المحتالون محصورين في الثغرات التقنية التقليدية، بل تحول بروتوكول العقود الذكية في البلوكتشين نفسه إلى أداة للهجوم. يستغلون شفافية البلوكتشين وعدم قابليته للتغيير، من خلال فخاخ هندسة اجتماعية مصممة بعناية، لتحويل ثقة المستخدمين إلى أداة لسرقة الأصول. من تزوير العقود الذكية إلى التلاعب بالمعاملات عبر السلاسل، هذه الهجمات ليست فقط خفية وصعبة الكشف، ولكنها أيضاً أكثر خداعاً بسبب مظهرها "المشروع". ستقوم هذه المقالة من خلال تحليل الأمثلة، بكشف كيف يحول المحتالون البروتوكول إلى وسيلة للهجوم، وتقديم استراتيجيات شاملة للحماية.

١. آلية عمل بروتوكول الاحتيال

يجب أن تضمن بروتوكولات البلوكتشين الأمان والثقة، ولكن المحتالين يستغلون خصائصها بمهارة، ويجمعونها مع إهمال المستخدمين، ليخلقوا طرق هجوم خفية متعددة. فيما يلي بعض الأساليب الشائعة وتفاصيلها التقنية:

1. تفويض العقد الذكي الخبيث

المبادئ التقنية: تسمح معايير رموز ERC-20 للمستخدمين بتفويض طرف ثالث لسحب كمية معينة من الرموز من محفظتهم من خلال وظيفة "Approve". تُستخدم هذه الوظيفة على نطاق واسع في بروتوكولات DeFi، لكنها استُغلت أيضًا من قبل المحتالين.

طريقة العمل: يخلق المحتالون تطبيقات لامركزية تتنكر كمشاريع شرعية، مما يجذب المستخدمين لربط محافظهم ومنح الأذونات. يبدو ظاهريًا أنه يتم منح إذن لمبلغ قليل من الرموز، لكن الواقع قد يكون بحدود غير محدودة. بمجرد إتمام التفويض، يمكن للمحتالين سحب جميع الرموز المقابلة من محفظة المستخدم في أي وقت.

حالة حقيقية: في أوائل عام 2023، أدى موقع تصيد احتيالي متخفي كـ "ترقية معينة لـ DEX" إلى خسارة المئات من المستخدمين لمبالغ كبيرة من USDT و ETH. كانت هذه المعاملات متوافقة تمامًا مع معيار ERC-20، وكان من الصعب على الضحايا استعادة أصولهم من خلال القنوات القانونية.

دليل البقاء في غابة DeFi المظلمة: عندما يتحول تفويض العقد الذكي إلى آلة حصاد الأصول

2. صيد التوقيع

المبادئ التقنية: تتطلب معاملات البلوكتشين من المستخدمين إنشاء توقيع عبر المفتاح الخاص. يستغل المحتالون هذه العملية لتزوير طلبات التوقيع لسرقة الأصول.

طريقة التشغيل: تلقى المستخدم رسالة مت disguised كإشعار رسمي، وتم توجيهه إلى موقع ضار لتوقيع "تحقق من المعاملة". قد تقوم هذه المعاملة بنقل أصول المستخدم مباشرة، أو تفويض المحتالين بالتحكم في مجموعة NFTs الخاصة بالمستخدم.

حالة حقيقية: تعرض مجتمع مشروع NFT معروف لهجوم تصيد عبر التوقيع، حيث فقد العديد من المستخدمين NFTs بقيمة ملايين الدولارات بسبب توقيعهم على معاملات "استلام الإطلاق الوهمي" المزورة. استغل المهاجمون معيار توقيع EIP-712 لتزوير طلبات تبدو آمنة.

3. الرموز الوهمية و"هجمات الغبار"

المبادئ التقنية: تسمح علنية البلوكتشين لأي شخص بإرسال الرموز إلى أي عنوان. يستغل المحتالون هذه النقطة من خلال إرسال كمية قليلة من العملات المشفرة لتتبع نشاط المحفظة وربطها بأفراد أو شركات.

طريقة العمل: يقوم المحتالون بإرسال رموز صغيرة إلى عدة عناوين، قد تحمل هذه الرموز أسماء أو بيانات وصفية مثيرة للاهتمام. عندما يحاول المستخدمون استردادها، قد يتمكن المهاجمون من الوصول إلى محفظة المستخدم من خلال عنوان العقد. والأكثر خفاءً، من خلال تحليل المعاملات اللاحقة للمستخدم، يتم تحديد عناوين المحافظ النشطة وتنفيذ عمليات احتيال دقيقة.

حالة حقيقية: حدثت هجمات غبار "رموز GAS" على شبكة الإيثريوم، مما أثر على آلاف المحافظ. فقد بعض المستخدمين ETH و رموز أخرى بسبب فضولهم في التفاعل.

دليل البقاء في الغابة المظلمة لـ DeFi: عندما تتحول تفويضات العقود الذكية إلى آلات حصاد الأصول

٢. أسباب صعوبة كشف الاحتيال

تعود نجاح هذه الاحتيالات إلى حد كبير إلى أنها مخفية داخل آليات البلوكتشين الشرعية، مما يجعل من الصعب على المستخدمين العاديين تمييز طبيعتها الخبيثة. تشمل الأسباب الرئيسية ما يلي:

  1. التعقيد الفني: يعد كود العقد الذكي وطلبات التوقيع غامضة بالنسبة للمستخدمين غير الفنيين.

  2. الشرعية على البلوكتشين: جميع المعاملات مسجلة على البلوكتشين، مما يبدو شفافًا، لكن الضحايا غالبًا ما يدركون المشكلة لاحقًا.

  3. الهندسة الاجتماعية: يستغل المحتالون نقاط ضعف البشرية، مثل الجشع والخوف أو الثقة.

  4. التمويه المعقد: قد تستخدم مواقع التصيد URLs تشبه أسماء النطاقات الرسمية، وحتى تعزز المصداقية من خلال شهادات HTTPS.

دليل البقاء في غابة DeFi المظلمة: عندما يتحول تفويض العقد الذكي إلى آلة حصاد الأصول

٣. استراتيجيات حماية محفظة العملات المشفرة

في مواجهة هذه الحيل التي تتواجد فيها الحروب النفسية والتقنية، تحتاج حماية الأصول إلى استراتيجيات متعددة المستويات:

1. تحقق من وإدارة أذونات التفويض

  • استخدم أداة فحص التفويض في متصفح البلوكتشين، وراجع وألغِ التفويضات غير الضرورية بانتظام.
  • قبل كل تفويض، تأكد من أن مصدر DApp موثوق.
  • يجب الانتباه بشكل خاص إلى التفويض "غير المحدود"، ويجب إلغاؤه على الفور.

2. تحقق من الروابط والمصادر

  • أدخل عنوان URL الرسمي يدويًا، وتجنب النقر على الروابط في وسائل التواصل الاجتماعي أو البريد الإلكتروني.
  • تحقق بعناية من اسم نطاق الموقع وشهادة SSL.
  • احترس من أي أخطاء إملائية أو متغيرات أسماء النطاق ذات الأحرف الزائدة.

3. استخدام المحفظة الباردة والتوقيع المتعدد

  • قم بتخزين معظم الأصول في محفظة الأجهزة، واتصل بالإنترنت فقط عند الضرورة.
  • استخدم أدوات التوقيع المتعدد للأصول الكبيرة، مما يتطلب تأكيد المعاملات من عدة مفاتيح.

4. التعامل بحذر مع طلبات التوقيع

  • اقرأ بعناية تفاصيل المعاملات الموقعة في كل مرة.
  • استخدم وظيفة فك التشفير لمتصفح البلوكتشين لتحليل محتوى التوقيع.
  • لإنشاء محفظة مستقلة للعمليات عالية المخاطر، يجب تخزين كمية صغيرة فقط من الأصول.

5. مواجهة هجمات الغبار

  • بعد استلام رموز غير معروفة، لا تتفاعل معها.
  • تأكد من مصدر الرمز من خلال البلوكتشين المتصفح، واحترس من الإرسال بالجملة.
  • تجنب نشر عنوان المحفظة، أو استخدام عنوان جديد للعمليات الحساسة.

دليل البقاء في غابة DeFi المظلمة: عندما يتحول تفويض العقد الذكي إلى آلة حصاد الأصول

خاتمة

يمكن أن يقلل تنفيذ التدابير الأمنية المذكورة أعلاه بشكل كبير من خطر أن تصبح ضحية لخطط الاحتيال المتقدمة. ومع ذلك، فإن الأمان الحقيقي لا يعتمد فقط على الحماية التكنولوجية. فهم المستخدم لمنطق التفويض والموقف الحذر تجاه السلوكيات على البلوكتشين هو الخط الدفاعي الأخير ضد الهجمات. تحليل البيانات قبل كل توقيع، ومراجعة الصلاحيات بعد كل تفويض، كلها هي حماية للسيادة الرقمية الخاصة بهم.

في عالم البلوكتشين، الشيفرة هي القانون، كل نقرة، وكل صفقة تُسجل بشكل دائم، ولا يمكن تغييرها. لذلك، فإن تحويل الوعي بالأمان إلى عادة، والحفاظ على التوازن بين الثقة والتحقق، هو المفتاح لضمان أمان الأصول.

شاهد النسخة الأصلية
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
  • أعجبني
  • 9
  • مشاركة
تعليق
0/400
LiquidatedTwicevip
· 07-08 07:17
لا توقع وانتهى الأمر
شاهد النسخة الأصليةرد0
FundingMartyrvip
· 07-07 20:34
إدارة التفويض أنصحكم أن تأخذوا الأمر بجدية
شاهد النسخة الأصليةرد0
SchrodingerProfitvip
· 07-07 03:21
مبتدئ太容易被خداع الناس لتحقيق الربح
شاهد النسخة الأصليةرد0
ContractTestervip
· 07-06 16:57
عجوز وعجوز يمكنهم تخمين التضليل التالي
شاهد النسخة الأصليةرد0
BlockTalkvip
· 07-06 09:32
عندما يكون المبتدئ في هذا الفخ
شاهد النسخة الأصليةرد0
GasSavingMastervip
· 07-06 09:21
من لم يتم خداعه من قبل؟
شاهد النسخة الأصليةرد0
MeaninglessApevip
· 07-06 09:14
太坑了 مبتدئ حمقى进场就被 خداع الناس لتحقيق الربح
شاهد النسخة الأصليةرد0
SybilSlayervip
· 07-06 09:08
احذر من العبارة التذكيرية الخاصة بك
شاهد النسخة الأصليةرد0
staking_grampsvip
· 07-06 09:04
مرة أخرى هذه الفخاخ لجمع المال
شاهد النسخة الأصليةرد0
عرض المزيد
  • تثبيت