في عالم Web3، أصبحت "احتيال التوقيع" وسيلة جديدة مفضلة للهاكرز. على الرغم من أن الخبراء الأمنيين وشركات المحافظ يستمرون في نشر المعرفة ذات الصلة، إلا أن هناك عددًا كبيرًا من المستخدمين يقع في الفخ كل يوم. أحد الأسباب الرئيسية لذلك هو أن معظم المستخدمين يفتقرون إلى الفهم الأساسي لآليات التفاعل مع المحافظ، وأن مستوى التعلم في هذا المجال مرتفع بالنسبة لغير الفنيين.
لمساعدة المزيد من الناس على فهم هذه المشكلة، سنقوم بشرح مبدأ تصيد التوقيع بطريقة سهلة الفهم.
أولاً، نحتاج إلى فهم أن عمليات المحفظة تنقسم أساسًا إلى فئتين: "التوقيع" و"التفاعل". ببساطة، التوقيع هو عملية تحدث خارج سلسلة الكتل ولا تحتاج إلى دفع رسوم الغاز؛ بينما التفاعل يتم على سلسلة الكتل ويتطلب دفع رسوم الغاز.
تستخدم التوقيعات عادةً للتحقق من الهوية، مثل تسجيل الدخول إلى المحفظة. عندما ترغب في استخدام تطبيق لامركزي (DApp)، تحتاج أولاً إلى التوقيع لإثبات أنك مالك المحفظة. هذه العملية لن تغير أي بيانات أو حالة على blockchain، لذلك لا تحتاج إلى دفع رسوم.
التفاعل يتضمن عمليات فعلية على السلسلة. على سبيل المثال، عندما تريد تبادل الرموز في بورصة لامركزية (DEX)، تحتاج أولاً إلى تفويض العقد الذكي للـ DEX لاستخدام رموزك، وهذا ما يسمى بعملية "التفويض" (approve). بعد ذلك، تحتاج مرة أخرى إلى التفاعل مع العقد لتأكيد تنفيذ عملية التبادل. كلا الخطوتين تتطلبان دفع رسوم الغاز.
بعد فهم الفرق بين التوقيع والتفاعل، دعونا نلقي نظرة على بعض طرق الاحتيال الشائعة: احتيال التفويض، احتيال توقيع Permit، واحتيال توقيع Permit2.
تُعتبر عملية التصيد الاحتيالي عن طريق التفويض أسلوباً تقليدياً في الاحتيال. يقوم الهاكر بإنشاء موقع مزيف، غالباً ما يتنكر كمشروع NFT أو نشاط توزيع مجاني. عندما ينقر المستخدم على زر "استلام التوزيع المجاني"، فإنه في الواقع يُفوض عنوان الهاكر باستخدام رموزه الخاصة. نظرًا لأن هذه العملية تتطلب دفع رسوم الغاز، يصبح العديد من المستخدمين حذرين عند رؤية طلب الدفع من المحفظة، مما يمنحهم الفرصة لتجنب الخداع.
توقيع Permit و Permit2 لعمليات الاحتيال أصبح أكثر خفاءً، وأصعب في الوقاية. هذا لأن المستخدمين اعتادوا على إجراء عمليات التوقيع قبل استخدام التطبيقات اللامركزية، مما يجعل من السهل تجاهل المخاطر الموجودة.
Permit هو ميزة موسعة لمعيار ERC-20، تسمح للمستخدمين بالموافقة على استخدام رموزهم من قبل الآخرين من خلال التوقيع. على عكس التفويض التقليدي، لا يحتاج Permit إلى دفع المستخدم لرسوم الغاز. هاكر يمكن أن يستغل هذا، ويغري المستخدمين بالتوقيع على رسائل تبدو غير ضارة، لكنها في الواقع تفوض هاكر لنقل أصول المستخدم.
Permit2 هي ميزة أطلقتها بعض DEXs لتحسين تجربة المستخدم. إنها تسمح للمستخدمين بتفويض مبلغ كبير مرة واحدة لعقد Permit2، وبعد ذلك كل معاملة تتطلب فقط توقيع تأكيد، دون الحاجة لتفويض مرة أخرى. هذه الآلية على الرغم من كونها مريحة، إلا أنها تزيد من خطر التعرض للاختراق، خاصة بالنسبة لأولئك الذين استخدموا هذا DEX سابقًا وقدموا تفويضًا غير محدود.
لمنع تصيد التوقيع، يجب على المستخدمين:
تعزيز الوعي بالأمان، يجب فحص ما تفعله بعناية في كل عملية.
فصل الأموال الرئيسية عن محفظة الاستخدام اليومي لتقليل الخسائر المحتملة.
تعلم كيفية التعرف على تنسيقات توقيع Permit و Permit2، وعند مواجهة طلبات توقيع ذات صلة يجب أن تكون حذرًا بشكل خاص.
تنسيق التوقيع عادةً ما يتضمن المعلومات التالية:
رابط التفاعل
عنوان الجهة المانحة
عنوان الجهة المخولة
كمية التفويض
رقم عشوائي
وقت الانتهاء
من خلال فهم هذه المبادئ واتخاذ تدابير وقائية مناسبة، يمكن للمستخدمين حماية أصولهم الرقمية بشكل أفضل وتجنب أن يصبحوا ضحايا للاحتيال بالتوقيع.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 13
أعجبني
13
4
إعادة النشر
مشاركة
تعليق
0/400
GateUser-74b10196
· منذ 17 س
متى سيتم توفير التأمين للحمقى؟
شاهد النسخة الأصليةرد0
Ser_Liquidated
· منذ 17 س
又被 يُستغل بغباء.了吧 亲眼见过
شاهد النسخة الأصليةرد0
ForkThisDAO
· منذ 17 س
توقيع الاسم وتم اقتطاف القسائم
شاهد النسخة الأصليةرد0
0xTherapist
· منذ 17 س
تس تس، خسارة نصف الثروة في أقل من دقيقة بسبب التوقيع.
ويب 3 التحذير: أصبحت عمليات التوقيع الاحتيالية المفضلة للهاكر كيف تحمي نفسك
صيد التوقيع: فخاخ يحبها هاكر Web3
في عالم Web3، أصبحت "احتيال التوقيع" وسيلة جديدة مفضلة للهاكرز. على الرغم من أن الخبراء الأمنيين وشركات المحافظ يستمرون في نشر المعرفة ذات الصلة، إلا أن هناك عددًا كبيرًا من المستخدمين يقع في الفخ كل يوم. أحد الأسباب الرئيسية لذلك هو أن معظم المستخدمين يفتقرون إلى الفهم الأساسي لآليات التفاعل مع المحافظ، وأن مستوى التعلم في هذا المجال مرتفع بالنسبة لغير الفنيين.
لمساعدة المزيد من الناس على فهم هذه المشكلة، سنقوم بشرح مبدأ تصيد التوقيع بطريقة سهلة الفهم.
أولاً، نحتاج إلى فهم أن عمليات المحفظة تنقسم أساسًا إلى فئتين: "التوقيع" و"التفاعل". ببساطة، التوقيع هو عملية تحدث خارج سلسلة الكتل ولا تحتاج إلى دفع رسوم الغاز؛ بينما التفاعل يتم على سلسلة الكتل ويتطلب دفع رسوم الغاز.
تستخدم التوقيعات عادةً للتحقق من الهوية، مثل تسجيل الدخول إلى المحفظة. عندما ترغب في استخدام تطبيق لامركزي (DApp)، تحتاج أولاً إلى التوقيع لإثبات أنك مالك المحفظة. هذه العملية لن تغير أي بيانات أو حالة على blockchain، لذلك لا تحتاج إلى دفع رسوم.
التفاعل يتضمن عمليات فعلية على السلسلة. على سبيل المثال، عندما تريد تبادل الرموز في بورصة لامركزية (DEX)، تحتاج أولاً إلى تفويض العقد الذكي للـ DEX لاستخدام رموزك، وهذا ما يسمى بعملية "التفويض" (approve). بعد ذلك، تحتاج مرة أخرى إلى التفاعل مع العقد لتأكيد تنفيذ عملية التبادل. كلا الخطوتين تتطلبان دفع رسوم الغاز.
بعد فهم الفرق بين التوقيع والتفاعل، دعونا نلقي نظرة على بعض طرق الاحتيال الشائعة: احتيال التفويض، احتيال توقيع Permit، واحتيال توقيع Permit2.
تُعتبر عملية التصيد الاحتيالي عن طريق التفويض أسلوباً تقليدياً في الاحتيال. يقوم الهاكر بإنشاء موقع مزيف، غالباً ما يتنكر كمشروع NFT أو نشاط توزيع مجاني. عندما ينقر المستخدم على زر "استلام التوزيع المجاني"، فإنه في الواقع يُفوض عنوان الهاكر باستخدام رموزه الخاصة. نظرًا لأن هذه العملية تتطلب دفع رسوم الغاز، يصبح العديد من المستخدمين حذرين عند رؤية طلب الدفع من المحفظة، مما يمنحهم الفرصة لتجنب الخداع.
توقيع Permit و Permit2 لعمليات الاحتيال أصبح أكثر خفاءً، وأصعب في الوقاية. هذا لأن المستخدمين اعتادوا على إجراء عمليات التوقيع قبل استخدام التطبيقات اللامركزية، مما يجعل من السهل تجاهل المخاطر الموجودة.
Permit هو ميزة موسعة لمعيار ERC-20، تسمح للمستخدمين بالموافقة على استخدام رموزهم من قبل الآخرين من خلال التوقيع. على عكس التفويض التقليدي، لا يحتاج Permit إلى دفع المستخدم لرسوم الغاز. هاكر يمكن أن يستغل هذا، ويغري المستخدمين بالتوقيع على رسائل تبدو غير ضارة، لكنها في الواقع تفوض هاكر لنقل أصول المستخدم.
Permit2 هي ميزة أطلقتها بعض DEXs لتحسين تجربة المستخدم. إنها تسمح للمستخدمين بتفويض مبلغ كبير مرة واحدة لعقد Permit2، وبعد ذلك كل معاملة تتطلب فقط توقيع تأكيد، دون الحاجة لتفويض مرة أخرى. هذه الآلية على الرغم من كونها مريحة، إلا أنها تزيد من خطر التعرض للاختراق، خاصة بالنسبة لأولئك الذين استخدموا هذا DEX سابقًا وقدموا تفويضًا غير محدود.
لمنع تصيد التوقيع، يجب على المستخدمين:
تنسيق التوقيع عادةً ما يتضمن المعلومات التالية:
من خلال فهم هذه المبادئ واتخاذ تدابير وقائية مناسبة، يمكن للمستخدمين حماية أصولهم الرقمية بشكل أفضل وتجنب أن يصبحوا ضحايا للاحتيال بالتوقيع.