تحليل مبادئ تصيد الويب 3: الفرق بين التفويض، الإذن و الإذن 2
في عالم Web3، أصبحت "احتيالات التوقيع" واحدة من أكثر أساليب الاحتيال استخدامًا من قبل القراصنة. على الرغم من أن خبراء الأمان يقومون باستمرار بتوعية الناس، لا يزال العديد من المستخدمين يقع في الفخ يوميًا. أحد الأسباب الرئيسية وراء ذلك هو أن معظم الناس يفتقرون إلى فهم المنطق الأساسي لتفاعل المحفظة، وأن مستوى التعلم مرتفع جدًا بالنسبة لغير المتخصصين. ستسعى هذه المقالة إلى شرح المبادئ الأساسية للاحتيال بالتوقيع بطريقة سهلة الفهم.
أولاً، نحتاج إلى فهم أن هناك نوعين رئيسيين من العمليات عند استخدام المحفظة: "التوقيع" و"التفاعل". ببساطة، يحدث التوقيع خارج سلسلة الكتل (خارج السلسلة) ولا يتطلب دفع رسوم الغاز؛ بينما يحدث التفاعل داخل سلسلة الكتل (داخل السلسلة) ويتطلب دفع رسوم الغاز.
عادةً ما تُستخدم التوقيعات للتحقق من الهوية، مثل تسجيل الدخول إلى المحفظة أو الاتصال بتطبيق لامركزي معين. هذه العملية لن تؤثر بشكل جوهري على blockchain، لذا لا داعي لدفع أي رسوم.
التفاعل يتضمن عمليات فعلية على السلسلة. على سبيل المثال، عند تبادل الرموز في DEX معين، تحتاج أولاً إلى تفويض العقد الذكي لاستخدام رموزك، ثم تنفيذ عملية التبادل. كلا الخطوتين تتطلبان دفع رسوم الغاز.
بعد فهم الفرق بين التوقيع والتفاعل، دعونا نلقي نظرة على بعض طرق الاحتيال الشائعة:
التصيد المصرح به:
هذه تقنية صيد كلاسيكية. يقوم المخترقون بتزوير موقع جميل (مثل مشروع NFT مزيف) لجذب المستخدمين للنقر على أزرار مثل "استلام الإيجابية". في الواقع، بعد النقر، سيقوم المستخدم بتفويض عنوان المخترق باستخدام رموزه الخاصة. تتطلب هذه الطريقة دفع رسوم الغاز، وبالتالي من السهل نسبيًا على المستخدمين الحذرين التعرف عليها.
توقيع تصيد التصاريح:
تُعتبر Permits ميزة موسعة لمعيار ERC-20، تتيح للمستخدمين الموافقة على استخدام رموزهم الخاصة من قبل الآخرين من خلال التوقيع. يمكن للمخترقين أن يحفزوا المستخدمين على توقيع رسالة تبدو غير ضارة، ولكنها في الواقع تفوض المخترق لنقل أصول المستخدم. هذه الطريقة لا تتطلب دفع رسوم الغاز، مما يجعل من السهل على المستخدمين الاسترخاء وعدم الانتباه.
تصيد توقيع Permit2:
تعتبر Permit2 ميزة طرحتها بعض منصات التداول اللامركزية (DEX) تهدف إلى تبسيط إجراءات المستخدم. حيث تتيح للمستخدمين تفويض مبالغ كبيرة مرة واحدة، وبعد ذلك يتطلب فقط توقيعاً في كل صفقة. ومع ذلك، إذا كان المستخدم قد استخدم هذه المنصة من قبل ومنح صلاحيات غير محدودة، يمكن للقراصنة استغلال هذه الآلية في عمليات الاحتيال.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 17
أعجبني
17
8
مشاركة
تعليق
0/400
NotSatoshi
· 07-23 20:48
التوقيع هو التوقيع، ولكن الأموال اختفت بالكامل
شاهد النسخة الأصليةرد0
WealthCoffee
· 07-22 10:47
كم من الوات تم اختراقه مرة أخرى من خلال الصيد؟
شاهد النسخة الأصليةرد0
LiquidationSurvivor
· 07-20 21:37
مبتدئ دائماً هو الأكثر عرضة للخداع
شاهد النسخة الأصليةرد0
gas_fee_trauma
· 07-20 21:37
لقد غادر حمقى آخر السوق
شاهد النسخة الأصليةرد0
RugResistant
· 07-20 21:29
مرة أخرى صيد السمك، متى سيكون له نهاية؟
شاهد النسخة الأصليةرد0
ValidatorViking
· 07-20 21:28
محارب قديم في مجال البنية التحتية هنا... رأيت العديد من المحافظ تتعرض للهزيمة بسبب هذه الحيل التوقيعية، أشعر بالأسف لذلك
شاهد النسخة الأصليةرد0
CountdownToBroke
· 07-20 21:23
لقد كنت حمقى لفترة طويلة، لقد رأيت كل أنواع الصيد.
تحليل هجمات تصيد الويب 3: تفسير مخاطر التفويض، الإذن و الإذن 2
تحليل مبادئ تصيد الويب 3: الفرق بين التفويض، الإذن و الإذن 2
في عالم Web3، أصبحت "احتيالات التوقيع" واحدة من أكثر أساليب الاحتيال استخدامًا من قبل القراصنة. على الرغم من أن خبراء الأمان يقومون باستمرار بتوعية الناس، لا يزال العديد من المستخدمين يقع في الفخ يوميًا. أحد الأسباب الرئيسية وراء ذلك هو أن معظم الناس يفتقرون إلى فهم المنطق الأساسي لتفاعل المحفظة، وأن مستوى التعلم مرتفع جدًا بالنسبة لغير المتخصصين. ستسعى هذه المقالة إلى شرح المبادئ الأساسية للاحتيال بالتوقيع بطريقة سهلة الفهم.
أولاً، نحتاج إلى فهم أن هناك نوعين رئيسيين من العمليات عند استخدام المحفظة: "التوقيع" و"التفاعل". ببساطة، يحدث التوقيع خارج سلسلة الكتل (خارج السلسلة) ولا يتطلب دفع رسوم الغاز؛ بينما يحدث التفاعل داخل سلسلة الكتل (داخل السلسلة) ويتطلب دفع رسوم الغاز.
عادةً ما تُستخدم التوقيعات للتحقق من الهوية، مثل تسجيل الدخول إلى المحفظة أو الاتصال بتطبيق لامركزي معين. هذه العملية لن تؤثر بشكل جوهري على blockchain، لذا لا داعي لدفع أي رسوم.
التفاعل يتضمن عمليات فعلية على السلسلة. على سبيل المثال، عند تبادل الرموز في DEX معين، تحتاج أولاً إلى تفويض العقد الذكي لاستخدام رموزك، ثم تنفيذ عملية التبادل. كلا الخطوتين تتطلبان دفع رسوم الغاز.
بعد فهم الفرق بين التوقيع والتفاعل، دعونا نلقي نظرة على بعض طرق الاحتيال الشائعة:
التصيد المصرح به: هذه تقنية صيد كلاسيكية. يقوم المخترقون بتزوير موقع جميل (مثل مشروع NFT مزيف) لجذب المستخدمين للنقر على أزرار مثل "استلام الإيجابية". في الواقع، بعد النقر، سيقوم المستخدم بتفويض عنوان المخترق باستخدام رموزه الخاصة. تتطلب هذه الطريقة دفع رسوم الغاز، وبالتالي من السهل نسبيًا على المستخدمين الحذرين التعرف عليها.
توقيع تصيد التصاريح: تُعتبر Permits ميزة موسعة لمعيار ERC-20، تتيح للمستخدمين الموافقة على استخدام رموزهم الخاصة من قبل الآخرين من خلال التوقيع. يمكن للمخترقين أن يحفزوا المستخدمين على توقيع رسالة تبدو غير ضارة، ولكنها في الواقع تفوض المخترق لنقل أصول المستخدم. هذه الطريقة لا تتطلب دفع رسوم الغاز، مما يجعل من السهل على المستخدمين الاسترخاء وعدم الانتباه.
تصيد توقيع Permit2: تعتبر Permit2 ميزة طرحتها بعض منصات التداول اللامركزية (DEX) تهدف إلى تبسيط إجراءات المستخدم. حيث تتيح للمستخدمين تفويض مبالغ كبيرة مرة واحدة، وبعد ذلك يتطلب فقط توقيعاً في كل صفقة. ومع ذلك، إذا كان المستخدم قد استخدم هذه المنصة من قبل ومنح صلاحيات غير محدودة، يمكن للقراصنة استغلال هذه الآلية في عمليات الاحتيال.
لتجنب هجمات الصيد بالتوقيع، يُوصى باتخاذ التدابير التالية:
من خلال فهم هذه المبادئ والاحتياطات ضد الصيد الاحتيالي، يمكن للمستخدمين حماية أصولهم على الويب 3 بشكل أفضل.