تقوم العملات المشفرة وتكنولوجيا البلوكتشين بإعادة تشكيل النظام المالي، لكنها في الوقت نفسه تجلب تهديدات أمنية جديدة. على عكس الثغرات التقنية التقليدية، بدأ بعض المجرمين في استخدام العقود الذكية للبلوكتشين كأداة للهجوم. يقومون بتصميم فخاخ هندسية اجتماعية بعناية، مستفيدين من شفافية البلوكتشين وعدم قابليته للعكس، لتحويل ثقة المستخدمين إلى وسيلة لسرقة الأصول. من تزوير العقود الذكية إلى التلاعب بالمعاملات عبر السلاسل، هذه الهجمات ليست فقط خفية وصعبة الكشف، بل إنها أكثر خداعًا بسبب مظهرها "الشرعي". ستقوم هذه المقالة بتحليل أمثلة لتكشف كيف يحول المجرمون البروتوكولات إلى أدوات هجوم، وتقديم استراتيجيات شاملة للحماية.
١. كيف يمكن أن تصبح البروتوكولات أدوات احتيال؟
ينبغي أن تضمن بروتوكولات البلوكتشين الأمان والثقة، لكن المجرمين استغلوا خصائصها، جنبًا إلى جنب مع إهمال المستخدمين، لإنشاء طرق متعددة للهجمات الخفية:
(1) تفويض العقود الذكية الخبيثة
المبادئ التقنية:
على بلوكتشين مثل الإيثيريوم، يسمح معيار رموز ERC-20 للمستخدمين بتفويض طرف ثالث لسحب كمية محددة من الرموز من محفظتهم من خلال دالة "Approve". تُستخدم هذه الميزة على نطاق واسع في بروتوكولات DeFi، لكنها تُستغل أيضًا من قبل العناصر الإجرامية.
طريقة العمل:
إن المجرمين ينشئون تطبيقات لامركزية تبدو كأنها مشاريع قانونية، مما يُغري المستخدمين بربط محافظهم ومنح الأذونات. يبدو في الظاهر أنه يتم منح إذن لعدد قليل من الرموز، لكن في الواقع قد يكون المبلغ غير محدود. بعد الانتهاء من التفويض، يمكن للمجرمين سحب جميع الرموز المقابلة من محفظة المستخدم في أي وقت.
(2) توقيع تصيد
المبادئ التقنية:
تتطلب معاملات البلوكتشين من المستخدمين إنشاء توقيع من خلال المفتاح الخاص. يستغل المجرمون هذه العملية لتزوير طلبات التوقيع وسرقة الأصول.
طريقة العمل:
تلقى المستخدم رسالة تتظاهر بأنها إشعار رسمي، وتم توجيهه إلى موقع ضار لتوقيع "تحقق من المعاملة". قد تقوم هذه المعاملة بنقل أصول المستخدم مباشرة أو تفويض السيطرة على مجموعة NFTs الخاصة بالمستخدم.
(3) الرموز المزيفة و"هجوم الغبار"
المبادئ التقنية:
تسمح علنية البلوكتشين بإرسال الرموز إلى أي عنوان. يستغل المجرمون هذه النقطة من خلال إرسال كميات صغيرة من العملات المشفرة لتتبع نشاط المحافظ.
طريقة العمل:
تقوم العناصر غير القانونية بإصدار رموز "الغبار" على شكل إيردروب، لإغراء المستخدمين بزيارة موقع معين للاستفسار عن التفاصيل. من خلال تحليل المعاملات اللاحقة للمستخدم، يتم تحديد عناوين المحافظ النشطة وتنفيذ عمليات الاحتيال المستهدفة.
ثانياً، لماذا يصعب اكتشاف هذه الاحتيالات؟
هذه الحيل ناجحة بشكل رئيسي لأنها مخفية في آليات البلوكتشين المشروعة:
تعقيد التكنولوجيا: من الصعب على المستخدمين العاديين فهم كود العقود الذكية وطلبات التوقيع.
الشرعية على البلوكتشين: جميع المعاملات مسجلة على البلوكتشين، تبدو شفافة، ولكن غالبًا ما يدرك الضحايا المشكلة فقط بعد فوات الأوان.
الهندسة الاجتماعية: استغلال نقاط الضعف البشرية مثل الطمع أو الخوف أو الثقة.
التمويه المتقن: قد تستخدم مواقع التصيد URLs مشابهة للاسم الرسمي، وحتى تعزز الثقة من خلال شهادة HTTPS.
ثلاثة، كيف تحمي محفظة العملات المشفرة؟
مواجهة هذه الاحتيالات التي توجد فيها الحروب النفسية والتقنية تتطلب استراتيجيات متعددة الطبقات لحماية الأصول:
تحقق وإدارة أذونات التفويض
استخدم أداة فحص التفويض لمراجعة سجلات التفويض في المحفظة بانتظام.
إلغاء التفويضات غير الضرورية، خاصةً التفويضات غير المحدودة للعناوين غير المعروفة.
تأكد من أن مصدر DApp موثوق قبل كل تفويض.
تحقق من الرابط والمصدر
أدخل عنوان URL الرسمي يدويًا، وتجنب النقر على الروابط في وسائل التواصل الاجتماعي أو البريد الإلكتروني.
تأكد من أن الموقع يستخدم اسم النطاق وشهادة SSL الصحيحة.
احترس من أخطاء تهجئة النطاق أو الأحرف الزائدة.
استخدام المحفظة الباردة والتوقيع المتعدد
تخزين معظم الأصول في محفظة الأجهزة، والاتصال بالإنترنت فقط عند الضرورة.
استخدم أدوات التوقيع المتعدد للأصول الكبيرة، مع طلب تأكيد المعاملات من مفاتيح متعددة.
تعامل بحذر مع طلبات التوقيع
اقرأ تفاصيل المعاملة بعناية في كل مرة تقوم فيها بالتوقيع.
استخدم الأدوات لتحليل محتوى التوقيع، أو استشر الخبراء.
لإنشاء محفظة مستقلة للعمليات عالية المخاطر، قم بتخزين كمية صغيرة من الأصول.
مواجهة هجمات الغبار
بعد استلام الرموز غير المعروفة، لا تتفاعل معها، وقم بتصنيفها على أنها "قمامة" أو إخفائها.
تأكيد مصدر الرمز المميز من خلال مستعرض البلوكتشين.
تجنب الكشف عن عنوان المحفظة، أو استخدام عنوان جديد للعمليات الحساسة.
الخاتمة
يمكن أن يقلل تنفيذ التدابير الأمنية المذكورة أعلاه بشكل كبير من المخاطر، ولكن الأمان الحقيقي لا يعتمد فقط على التكنولوجيا. عندما تشكل محافظ الأجهزة خط الدفاع الفيزيائي، وتوزع التوقيعات المتعددة المخاطر، فإن فهم المستخدم لمنطق التفويض والتوخي الحذر في السلوك على البلوكتشين هو الخط الدفاعي الأخير. إن تحليل البيانات قبل كل توقيع، ومراجعة الصلاحيات بعد كل تفويض، هي جميعها للحفاظ على السيادة الرقمية.
في المستقبل، بغض النظر عن كيفية تطور التكنولوجيا، فإن الخط الدفاعي الأساسي يكمن دائمًا في: تحويل الوعي بالأمان إلى عادة، والحفاظ على التوازن بين الثقة والتحقق. في عالم البلوكتشين، يتم تسجيل كل نقرة، وكل معاملة بشكل دائم، ولا يمكن تغييرها. يجب أن نظل يقظين لنستمر بأمان.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 22
أعجبني
22
7
مشاركة
تعليق
0/400
BlockchainTherapist
· 07-24 02:10
الفخ القديم، الخداع الجديد، الطريق لم يتغير، ما زال جشعًا~
شاهد النسخة الأصليةرد0
MidnightSnapHunter
· 07-21 02:43
شراء العملة ليس سهلاً فكيف تريد العقود؟ نصيحة لك بالتراجع
شاهد النسخة الأصليةرد0
SelfMadeRuggee
· 07-21 02:43
ليس شيئاً جديداً.. لقد محكوم العديد من المشاريع بالفعل.
شاهد النسخة الأصليةرد0
AirdropBuffet
· 07-21 02:38
البلوكتشين مجرد فخ، خطوة بخطوة فخاخ.
شاهد النسخة الأصليةرد0
FancyResearchLab
· 07-21 02:37
مرة أخرى، حيلة ذكية يجب أن تترك في أقل من 24 ساعة. قيمة أكاديمية مرتفعة.
العقود الذكية成诈骗新利器:كتلة安全威胁全面解析与防护策略
العقود الذكية漏洞:البلوكتشين الأمنية الجديدة التحدي
تقوم العملات المشفرة وتكنولوجيا البلوكتشين بإعادة تشكيل النظام المالي، لكنها في الوقت نفسه تجلب تهديدات أمنية جديدة. على عكس الثغرات التقنية التقليدية، بدأ بعض المجرمين في استخدام العقود الذكية للبلوكتشين كأداة للهجوم. يقومون بتصميم فخاخ هندسية اجتماعية بعناية، مستفيدين من شفافية البلوكتشين وعدم قابليته للعكس، لتحويل ثقة المستخدمين إلى وسيلة لسرقة الأصول. من تزوير العقود الذكية إلى التلاعب بالمعاملات عبر السلاسل، هذه الهجمات ليست فقط خفية وصعبة الكشف، بل إنها أكثر خداعًا بسبب مظهرها "الشرعي". ستقوم هذه المقالة بتحليل أمثلة لتكشف كيف يحول المجرمون البروتوكولات إلى أدوات هجوم، وتقديم استراتيجيات شاملة للحماية.
١. كيف يمكن أن تصبح البروتوكولات أدوات احتيال؟
ينبغي أن تضمن بروتوكولات البلوكتشين الأمان والثقة، لكن المجرمين استغلوا خصائصها، جنبًا إلى جنب مع إهمال المستخدمين، لإنشاء طرق متعددة للهجمات الخفية:
(1) تفويض العقود الذكية الخبيثة
المبادئ التقنية: على بلوكتشين مثل الإيثيريوم، يسمح معيار رموز ERC-20 للمستخدمين بتفويض طرف ثالث لسحب كمية محددة من الرموز من محفظتهم من خلال دالة "Approve". تُستخدم هذه الميزة على نطاق واسع في بروتوكولات DeFi، لكنها تُستغل أيضًا من قبل العناصر الإجرامية.
طريقة العمل: إن المجرمين ينشئون تطبيقات لامركزية تبدو كأنها مشاريع قانونية، مما يُغري المستخدمين بربط محافظهم ومنح الأذونات. يبدو في الظاهر أنه يتم منح إذن لعدد قليل من الرموز، لكن في الواقع قد يكون المبلغ غير محدود. بعد الانتهاء من التفويض، يمكن للمجرمين سحب جميع الرموز المقابلة من محفظة المستخدم في أي وقت.
(2) توقيع تصيد
المبادئ التقنية: تتطلب معاملات البلوكتشين من المستخدمين إنشاء توقيع من خلال المفتاح الخاص. يستغل المجرمون هذه العملية لتزوير طلبات التوقيع وسرقة الأصول.
طريقة العمل: تلقى المستخدم رسالة تتظاهر بأنها إشعار رسمي، وتم توجيهه إلى موقع ضار لتوقيع "تحقق من المعاملة". قد تقوم هذه المعاملة بنقل أصول المستخدم مباشرة أو تفويض السيطرة على مجموعة NFTs الخاصة بالمستخدم.
(3) الرموز المزيفة و"هجوم الغبار"
المبادئ التقنية: تسمح علنية البلوكتشين بإرسال الرموز إلى أي عنوان. يستغل المجرمون هذه النقطة من خلال إرسال كميات صغيرة من العملات المشفرة لتتبع نشاط المحافظ.
طريقة العمل: تقوم العناصر غير القانونية بإصدار رموز "الغبار" على شكل إيردروب، لإغراء المستخدمين بزيارة موقع معين للاستفسار عن التفاصيل. من خلال تحليل المعاملات اللاحقة للمستخدم، يتم تحديد عناوين المحافظ النشطة وتنفيذ عمليات الاحتيال المستهدفة.
ثانياً، لماذا يصعب اكتشاف هذه الاحتيالات؟
هذه الحيل ناجحة بشكل رئيسي لأنها مخفية في آليات البلوكتشين المشروعة:
ثلاثة، كيف تحمي محفظة العملات المشفرة؟
مواجهة هذه الاحتيالات التي توجد فيها الحروب النفسية والتقنية تتطلب استراتيجيات متعددة الطبقات لحماية الأصول:
تحقق وإدارة أذونات التفويض
تحقق من الرابط والمصدر
استخدام المحفظة الباردة والتوقيع المتعدد
تعامل بحذر مع طلبات التوقيع
مواجهة هجمات الغبار
الخاتمة
يمكن أن يقلل تنفيذ التدابير الأمنية المذكورة أعلاه بشكل كبير من المخاطر، ولكن الأمان الحقيقي لا يعتمد فقط على التكنولوجيا. عندما تشكل محافظ الأجهزة خط الدفاع الفيزيائي، وتوزع التوقيعات المتعددة المخاطر، فإن فهم المستخدم لمنطق التفويض والتوخي الحذر في السلوك على البلوكتشين هو الخط الدفاعي الأخير. إن تحليل البيانات قبل كل توقيع، ومراجعة الصلاحيات بعد كل تفويض، هي جميعها للحفاظ على السيادة الرقمية.
في المستقبل، بغض النظر عن كيفية تطور التكنولوجيا، فإن الخط الدفاعي الأساسي يكمن دائمًا في: تحويل الوعي بالأمان إلى عادة، والحفاظ على التوازن بين الثقة والتحقق. في عالم البلوكتشين، يتم تسجيل كل نقرة، وكل معاملة بشكل دائم، ولا يمكن تغييرها. يجب أن نظل يقظين لنستمر بأمان.