الأمن في عالم البلوكتشين: كشف احتيال العقود الذكية
تكنولوجيا العملات المشفرة والبلوكتشين تغير من المشهد المالي، لكنها أيضاً تجلب تهديدات أمنية جديدة. لم يعد المحتالون مقيدين باستغلال ثغرات تقنية، بل حولوا العقود الذكية الخاصة بالبلوكتشين نفسها إلى أدوات هجوم. يستخدمون أساليب هندسة اجتماعية مصممة بعناية، مستغلين شفافية البلوكتشين وعدم قابليتها للعكس، لتحويل ثقة المستخدمين إلى وسائل لسرقة الأصول. من تزوير العقود الذكية إلى التلاعب بالمعاملات عبر السلاسل، هذه الهجمات ليست فقط خفية وصعبة الكشف، بل أيضاً أكثر خداعاً بسبب مظهرها "الشرعي". ستقوم هذه المقالة بتحليل حالات حقيقية، وكشف كيف يقوم المحتالون بتحويل البروتوكولات إلى وسائل هجوم، وتقديم استراتيجيات شاملة للحماية.
١. كيف يمكن أن تتحول الاتفاقيات القانونية إلى أدوات احتيال؟
كان بروتوكول البلوكتشين في الأصل مصممًا لضمان الأمان والثقة، ولكن قام المحتالون باستغلال ميزاته، بالاشتراك مع إهمال المستخدمين، لخلق مجموعة متنوعة من أساليب الهجوم الخفية. فيما يلي بعض الأساليب الشائعة وتفاصيلها التقنية:
(1) تفويض العقود الذكية الخبيثة
المبادئ التقنية:
في بلوكتشين مثل إيثيريوم، يسمح معيار رمز ERC-20 للمستخدمين بتفويض طرف ثالث لسحب كمية محددة من الرموز من محفظتهم من خلال وظيفة "Approve". تُستخدم هذه الميزة على نطاق واسع في بروتوكولات DeFi، لكنها أيضًا تُستخدم من قبل المحتالين.
طريقة العمل:
قام المحتالون بإنشاء تطبيقات لامركزية (DApp) تتنكر كمشاريع قانونية، مما يُغرِى المستخدمين بربط محفظاتهم ومنح التفويض. على السطح، يبدو أنه يتم منح تفويض لعدد قليل من الرموز، لكن في الواقع قد يكون لها حد غير محدود. بمجرد إكمال التفويض، يمكن للمحتالين سحب جميع الرموز المقابلة من محفظة المستخدم في أي وقت.
حالات حقيقية:
في أوائل عام 2023، أدى موقع تصيد انتحل صفة "ترقية Uniswap V3" إلى خسارة مئات المستخدمين لعدة ملايين من دولارات USDT و ETH. كانت هذه المعاملات متوافقة تمامًا مع معيار ERC-20، وكان من الصعب على الضحايا استرداد أصولهم من خلال الوسائل القانونية.
(2) توقيع الصيد
المبدأ الفني:
تتطلب معاملات البلوكتشين من المستخدمين إنشاء توقيع باستخدام المفتاح الخاص لإثبات صحة المعاملة. يستغل المحتالون هذه العملية لتزوير طلبات التوقيع وسرقة الأصول.
طريقة العمل:
يتلقى المستخدم رسائل تتنكر كإشعارات رسمية، مما يؤدي به إلى مواقع ضارة تطلب منه ربط محفظته والتوقيع على "تحقق من المعاملة". هذه المعاملة قد تؤدي فعليًا إلى نقل أصول المستخدم مباشرة أو تفويض المحتالين بالتحكم في مجموعة NFTs الخاصة بالمستخدم.
حالات حقيقية:
تعرض مجتمع مشروع NFT معروف لهجوم تصيد توقيع، حيث فقد العديد من المستخدمين NFTs تقدر قيمتها بملايين الدولارات بسبب توقيعهم على معاملات "استلام الإيهام" المزورة. استخدم المهاجمون معيار توقيع EIP-712 لتزوير طلبات تبدو آمنة.
(3) الرموز المزيفة و"هجوم الغبار"
المبادئ التقنية:
تسمح الانفتاحية للبلوكتشين لأي شخص بإرسال رموز إلى أي عنوان. يستغل المحتالون هذه النقطة من خلال إرسال كميات صغيرة من العملات المشفرة إلى عدة عناوين محفظة، وتتبع نشاط المحفظة وربطه بالأفراد أو الشركات.
طريقة العمل:
المحتالون يوزعون "الغبار" على محافظ المستخدمين على شكل توزيع مجاني، وهذه الرموز قد تحمل أسماء أو بيانات وصفية مغرية. قد يحاول المستخدمون استرداد هذه الرموز، مما يمكّن المهاجمين من الوصول إلى محافظ المستخدمين من خلال عنوان العقد.
حالات حقيقية:
ظهرت هجمات "غبار الغاز" على شبكة الإيثيريوم، مما أثر على آلاف المحفظات. فقد بعض المستخدمين ETH وERC-20 بسبب فضولهم في التفاعل.
٢. لماذا يصعب اكتشاف هذه الاحتيالات؟
تنجح هذه الاحتيالات بشكل رئيسي لأنها مخفية داخل آليات البلوكتشين الشرعية، مما يجعل من الصعب على المستخدمين العاديين التمييز بين طبيعتها الخبيثة. تشمل الأسباب الرئيسية ما يلي:
التعقيد الفني: من الصعب على المستخدمين غير التقنيين فهم كود العقود الذكية وطلبات التوقيع.
الشرعية على البلوكتشين: جميع المعاملات مسجلة على البلوكتشين، وتبدو شفافة، ولكن الضحايا غالبًا ما يدركون المشكلة بعد حدوثها.
الهندسة الاجتماعية: يستغل المحتالون نقاط الضعف الإنسانية مثل الجشع والخوف والثقة.
التمويه البارع: قد تستخدم مواقع الصيد URL مشابهة للاسم الرسمي، وحتى من خلال شهادة HTTPS لزيادة المصداقية.
٣. كيف تحمي محفظة العملات المشفرة الخاصة بك؟
في مواجهة هذه الحيل التي تتواجد فيها التكنولوجيا والحرب النفسية، تحتاج حماية الأصول إلى استراتيجيات متعددة المستويات:
تحقق وأدر إدارة الأذونات
استخدم أداة فحص التفويض لمراجعة سجلات التفويض في المحفظة بانتظام.
إلغاء التفويضات غير الضرورية، خاصةً التفويضات غير المحدودة للعناوين غير المعروفة.
تأكد من أن DApp يأتي من مصدر موثوق قبل كل تفويض.
تحقق من الرابط والمصدر
أدخل عنوان URL الرسمي يدويًا، وتجنب النقر على الروابط في وسائل التواصل الاجتماعي أو البريد الإلكتروني.
تأكد من أن الموقع يستخدم اسم النطاق وشهادة SSL الصحيحة.
احذر من أسماء النطاقات مع الأخطاء الإملائية أو الأحرف الزائدة.
استخدام المحفظة الباردة والتوقيع المتعدد
قم بتخزين معظم الأصول في محفظة الأجهزة، واصل الشبكة فقط عند الضرورة.
استخدم أدوات التوقيع المتعدد للأصول الكبيرة، واطلب تأكيد المعاملات من عدة مفاتيح.
تعامل بحذر مع طلبات التوقيع
اقرأ تفاصيل المعاملة بعناية في نافذة المحفظة.
استخدم وظيفة تحليل محتوى التوقيع في متصفح البلوكتشين.
إنشاء محفظة مستقلة للعمليات عالية المخاطر، وتخزين كمية صغيرة من الأصول.
### 应对粉尘 الهجمات
بعد استلام رموز غير معروفة، لا تتفاعل معها. قم بتصنيفها على أنها "بريد مزعج" أو إخفائها.
من خلال متصفح البلوكتشين تأكيد مصدر التوكن، احذر من الإرسال بالجملة.
تجنب الكشف عن عنوان المحفظة، أو استخدام عنوان جديد لإجراء عمليات حساسة.
الخاتمة
يمكن أن يؤدي تنفيذ التدابير الأمنية المذكورة أعلاه إلى تقليل كبير في خطر أن تصبح ضحية لخطط الاحتيال المتقدمة. ومع ذلك، فإن الأمان الحقيقي لا يعتمد فقط على الحماية التقنية، بل يتطلب أيضًا فهم المستخدم لمنطق التفويض وحرصه على السلوك على البلوكتشين. إن تحليل البيانات قبل كل توقيع، ومراجعة الأذونات بعد كل تفويض، هي جميعها إجراءات للحفاظ على سيادتك الرقمية.
في عالم البلوكتشين حيث القانون هو الشيفرة، يتم تسجيل كل نقرة ومعاملة بشكل دائم ولا يمكن تغييره. لذلك، فإن تحويل الوعي بالأمان إلى عادة، والحفاظ على التوازن بين الثقة والتحقق، هو المفتاح لحماية الأصول الرقمية.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 22
أعجبني
22
5
مشاركة
تعليق
0/400
DaoGovernanceOfficer
· 08-03 13:27
*أ sigh* بالحديث بشكل تجريبي، 93.7% من هذه "الاستغلالات" ناتجة عن أخطاء أساسية في الحوكمة...
كشف احتيال العقود الذكية: فخاخ أمان البلوكتشين واستراتيجيات الحماية
الأمن في عالم البلوكتشين: كشف احتيال العقود الذكية
تكنولوجيا العملات المشفرة والبلوكتشين تغير من المشهد المالي، لكنها أيضاً تجلب تهديدات أمنية جديدة. لم يعد المحتالون مقيدين باستغلال ثغرات تقنية، بل حولوا العقود الذكية الخاصة بالبلوكتشين نفسها إلى أدوات هجوم. يستخدمون أساليب هندسة اجتماعية مصممة بعناية، مستغلين شفافية البلوكتشين وعدم قابليتها للعكس، لتحويل ثقة المستخدمين إلى وسائل لسرقة الأصول. من تزوير العقود الذكية إلى التلاعب بالمعاملات عبر السلاسل، هذه الهجمات ليست فقط خفية وصعبة الكشف، بل أيضاً أكثر خداعاً بسبب مظهرها "الشرعي". ستقوم هذه المقالة بتحليل حالات حقيقية، وكشف كيف يقوم المحتالون بتحويل البروتوكولات إلى وسائل هجوم، وتقديم استراتيجيات شاملة للحماية.
١. كيف يمكن أن تتحول الاتفاقيات القانونية إلى أدوات احتيال؟
كان بروتوكول البلوكتشين في الأصل مصممًا لضمان الأمان والثقة، ولكن قام المحتالون باستغلال ميزاته، بالاشتراك مع إهمال المستخدمين، لخلق مجموعة متنوعة من أساليب الهجوم الخفية. فيما يلي بعض الأساليب الشائعة وتفاصيلها التقنية:
(1) تفويض العقود الذكية الخبيثة
المبادئ التقنية: في بلوكتشين مثل إيثيريوم، يسمح معيار رمز ERC-20 للمستخدمين بتفويض طرف ثالث لسحب كمية محددة من الرموز من محفظتهم من خلال وظيفة "Approve". تُستخدم هذه الميزة على نطاق واسع في بروتوكولات DeFi، لكنها أيضًا تُستخدم من قبل المحتالين.
طريقة العمل: قام المحتالون بإنشاء تطبيقات لامركزية (DApp) تتنكر كمشاريع قانونية، مما يُغرِى المستخدمين بربط محفظاتهم ومنح التفويض. على السطح، يبدو أنه يتم منح تفويض لعدد قليل من الرموز، لكن في الواقع قد يكون لها حد غير محدود. بمجرد إكمال التفويض، يمكن للمحتالين سحب جميع الرموز المقابلة من محفظة المستخدم في أي وقت.
حالات حقيقية: في أوائل عام 2023، أدى موقع تصيد انتحل صفة "ترقية Uniswap V3" إلى خسارة مئات المستخدمين لعدة ملايين من دولارات USDT و ETH. كانت هذه المعاملات متوافقة تمامًا مع معيار ERC-20، وكان من الصعب على الضحايا استرداد أصولهم من خلال الوسائل القانونية.
(2) توقيع الصيد
المبدأ الفني: تتطلب معاملات البلوكتشين من المستخدمين إنشاء توقيع باستخدام المفتاح الخاص لإثبات صحة المعاملة. يستغل المحتالون هذه العملية لتزوير طلبات التوقيع وسرقة الأصول.
طريقة العمل: يتلقى المستخدم رسائل تتنكر كإشعارات رسمية، مما يؤدي به إلى مواقع ضارة تطلب منه ربط محفظته والتوقيع على "تحقق من المعاملة". هذه المعاملة قد تؤدي فعليًا إلى نقل أصول المستخدم مباشرة أو تفويض المحتالين بالتحكم في مجموعة NFTs الخاصة بالمستخدم.
حالات حقيقية: تعرض مجتمع مشروع NFT معروف لهجوم تصيد توقيع، حيث فقد العديد من المستخدمين NFTs تقدر قيمتها بملايين الدولارات بسبب توقيعهم على معاملات "استلام الإيهام" المزورة. استخدم المهاجمون معيار توقيع EIP-712 لتزوير طلبات تبدو آمنة.
(3) الرموز المزيفة و"هجوم الغبار"
المبادئ التقنية: تسمح الانفتاحية للبلوكتشين لأي شخص بإرسال رموز إلى أي عنوان. يستغل المحتالون هذه النقطة من خلال إرسال كميات صغيرة من العملات المشفرة إلى عدة عناوين محفظة، وتتبع نشاط المحفظة وربطه بالأفراد أو الشركات.
طريقة العمل: المحتالون يوزعون "الغبار" على محافظ المستخدمين على شكل توزيع مجاني، وهذه الرموز قد تحمل أسماء أو بيانات وصفية مغرية. قد يحاول المستخدمون استرداد هذه الرموز، مما يمكّن المهاجمين من الوصول إلى محافظ المستخدمين من خلال عنوان العقد.
حالات حقيقية: ظهرت هجمات "غبار الغاز" على شبكة الإيثيريوم، مما أثر على آلاف المحفظات. فقد بعض المستخدمين ETH وERC-20 بسبب فضولهم في التفاعل.
٢. لماذا يصعب اكتشاف هذه الاحتيالات؟
تنجح هذه الاحتيالات بشكل رئيسي لأنها مخفية داخل آليات البلوكتشين الشرعية، مما يجعل من الصعب على المستخدمين العاديين التمييز بين طبيعتها الخبيثة. تشمل الأسباب الرئيسية ما يلي:
التعقيد الفني: من الصعب على المستخدمين غير التقنيين فهم كود العقود الذكية وطلبات التوقيع.
الشرعية على البلوكتشين: جميع المعاملات مسجلة على البلوكتشين، وتبدو شفافة، ولكن الضحايا غالبًا ما يدركون المشكلة بعد حدوثها.
الهندسة الاجتماعية: يستغل المحتالون نقاط الضعف الإنسانية مثل الجشع والخوف والثقة.
التمويه البارع: قد تستخدم مواقع الصيد URL مشابهة للاسم الرسمي، وحتى من خلال شهادة HTTPS لزيادة المصداقية.
٣. كيف تحمي محفظة العملات المشفرة الخاصة بك؟
في مواجهة هذه الحيل التي تتواجد فيها التكنولوجيا والحرب النفسية، تحتاج حماية الأصول إلى استراتيجيات متعددة المستويات:
تحقق وأدر إدارة الأذونات
تحقق من الرابط والمصدر
استخدام المحفظة الباردة والتوقيع المتعدد
تعامل بحذر مع طلبات التوقيع
### 应对粉尘 الهجمات
الخاتمة
يمكن أن يؤدي تنفيذ التدابير الأمنية المذكورة أعلاه إلى تقليل كبير في خطر أن تصبح ضحية لخطط الاحتيال المتقدمة. ومع ذلك، فإن الأمان الحقيقي لا يعتمد فقط على الحماية التقنية، بل يتطلب أيضًا فهم المستخدم لمنطق التفويض وحرصه على السلوك على البلوكتشين. إن تحليل البيانات قبل كل توقيع، ومراجعة الأذونات بعد كل تفويض، هي جميعها إجراءات للحفاظ على سيادتك الرقمية.
في عالم البلوكتشين حيث القانون هو الشيفرة، يتم تسجيل كل نقرة ومعاملة بشكل دائم ولا يمكن تغييره. لذلك، فإن تحويل الوعي بالأمان إلى عادة، والحفاظ على التوازن بين الثقة والتحقق، هو المفتاح لحماية الأصول الرقمية.