تحليل المنطق الأساسي لعمليات التصيد الاحتيالي في Web3
في الفترة الأخيرة، أصبح "التصيد الاحتيالي بالتوقيع" هو أكثر أساليب الاحتيال استخدامًا من قبل القراصنة في Web3. على الرغم من أن الخبراء في الصناعة يواصلون نشر المعرفة حول الوقاية، إلا أن العديد من المستخدمين لا يزالون يقعوا في الفخ. ويرجع ذلك أساسًا إلى أن معظم الأشخاص يفتقرون إلى الفهم العميق لآلية التفاعل مع المحفظة، وأنه من الصعب على غير المتخصصين التعلم.
لمساعدة المزيد من الأشخاص على فهم هذه المشكلة، سنقوم بشرح مبدأ تصيد التوقيع من خلال الرسوم التوضيحية بطريقة مفصلة، وسنسعى جاهدين لشرحها بلغة بسيطة وسهلة الفهم.
أولاً، نحتاج إلى فهم أن عمليات المحفظة تنقسم بشكل أساسي إلى فئتين: "التوقيع" و"التفاعل". ببساطة، يحدث التوقيع خارج سلسلة الكتل (غير متصل)، ولا يحتاج إلى دفع رسوم الغاز؛ بينما يحدث التفاعل داخل سلسلة الكتل (متصل)، ويتطلب دفع رسوم الغاز.
التوقيع عادة ما يستخدم للتحقق من الهوية، مثل تسجيل الدخول إلى المحفظة أو الاتصال بتطبيق لامركزي (DApp). هذه العملية لا تغير أي بيانات أو حالة على البلوك تشين، لذلك لا حاجة لدفع رسوم.
التفاعل يتضمن العمليات الفعلية على البلوكشين. على سبيل المثال، عندما ترغب في تبادل الرموز في DEX معين، تحتاج أولاً إلى منح عقد الذكاء الخاص بـ DEX إذنًا لاستخدام رموزك (ما يُعرف بعملية "approve")، ثم تقوم بتنفيذ عملية التبادل الفعلية. كلا الخطوتين تحتاجان لدفع رسوم الغاز.
بعد فهم هذه المفاهيم الأساسية، دعونا نلقي نظرة على ثلاثة أنواع شائعة من أساليب الصيد: صيد التفويض، وصيد توقيع الإذن، وصيد توقيع الإذن 2.
التصيد المصرح به:
هذه طريقة تقليدية للصيد. يقوم القراصنة بإنشاء موقع ويب يتنكر كمشروع قانوني، ويغوي المستخدمين بالنقر على أزرار مثل "استلام الإيهام". في الواقع، بعد النقر، سيُطلب من المستخدمين تفويض توكناتهم إلى عنوان القراصنة. نظرًا لأن هذه العملية تتطلب دفع رسوم الغاز، فإن العديد من المستخدمين أصبحوا أكثر حذرًا عند مواجهة عمليات تتطلب إنفاق المال، لذلك فإن هذه الطريقة أصبحت نسبيًا سهلة الحماية.
توقيع تصيد التصاريح:
تُعتبر Permit ميزة موسعة لمعيار ERC-20، حيث تسمح للمستخدمين بالموافقة على نقل الرموز الخاصة بهم للآخرين من خلال التوقيع. هذه الطريقة لا تتطلب دفع رسوم الغاز مباشرة، مما يجعل من السهل على المستخدمين أن يكونوا أقل حذرًا. يمكن للقراصنة إنشاء مواقع تصيد، حيث يتم استبدال عمليات تسجيل الدخول العادية بطلبات توقيع Permit، مما يمنحهم إذن نقل أصول المستخدم.
تصيد توقيع Permit2:
Permit2 هو ميزة أطلقتها بعض منصات التداول اللامركزية (DEX) لتحسين تجربة المستخدم. يسمح للمستخدمين بتفويض مبلغ كبير مرة واحدة، وبعد ذلك يحتاجون فقط إلى توقيع لتنفيذ المعاملات، مما يوفر عناء تفويض كل معاملة. ومع ذلك، فإن هذا يوفر أيضًا طرقًا جديدة للاختراق. إذا كان المستخدم قد استخدم هذه المنصة من قبل ومنحها تفويضًا غير محدود، فيمكن للمخترقين ببساطة خداع المستخدم للحصول على توقيع واحد لنقل أصول المستخدم.
لتفادي هذه الهجمات الاحتيالية، نقترح:
تعزيز الوعي بالأمان، يجب التحقق بعناية من العمليات الفعلية المنفذة في كل مرة يتم فيها إجراء عمليات على المحفظة.
فصل الأموال الكبيرة عن المحفظة المستخدمة يوميًا لتقليل الخسائر المحتملة.
تعلم كيفية التعرف على تنسيق توقيع Permit و Permit2. إذا رأيت طلب توقيع يحتوي على المعلومات التالية، يجب أن تكون حذرًا بشكل خاص:
تفاعلي(交互网址)
المالك (عنوان المفوض)
Spender (عنوان الجهة المخولة)
القيمة (عدد التفويض)
Nonce (رقم عشوائي)
Deadline (موعد نهائي)
من خلال فهم مبادئ تقنيات الصيد هذه وطرق الوقاية منها، يمكننا حماية أصولنا الرقمية بشكل أفضل. في عالم Web3، من الضروري أن نكون يقظين ونتعلم باستمرار.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 14
أعجبني
14
4
إعادة النشر
مشاركة
تعليق
0/400
BasementAlchemist
· 08-12 17:27
أه، لقد تم استغلالي بغباء مرة أخرى.
شاهد النسخة الأصليةرد0
GasGuzzler
· 08-12 17:24
التوقيع هو فخ.
شاهد النسخة الأصليةرد0
CountdownToBroke
· 08-12 17:21
توقيع؟ تذكرت ما حدث لي عندما تعرضت للخداع بـ 13u...
مبادئ هجمات التصيد الاحتيالي على توقيعات Web3 ودليل الحماية
تحليل المنطق الأساسي لعمليات التصيد الاحتيالي في Web3
في الفترة الأخيرة، أصبح "التصيد الاحتيالي بالتوقيع" هو أكثر أساليب الاحتيال استخدامًا من قبل القراصنة في Web3. على الرغم من أن الخبراء في الصناعة يواصلون نشر المعرفة حول الوقاية، إلا أن العديد من المستخدمين لا يزالون يقعوا في الفخ. ويرجع ذلك أساسًا إلى أن معظم الأشخاص يفتقرون إلى الفهم العميق لآلية التفاعل مع المحفظة، وأنه من الصعب على غير المتخصصين التعلم.
لمساعدة المزيد من الأشخاص على فهم هذه المشكلة، سنقوم بشرح مبدأ تصيد التوقيع من خلال الرسوم التوضيحية بطريقة مفصلة، وسنسعى جاهدين لشرحها بلغة بسيطة وسهلة الفهم.
أولاً، نحتاج إلى فهم أن عمليات المحفظة تنقسم بشكل أساسي إلى فئتين: "التوقيع" و"التفاعل". ببساطة، يحدث التوقيع خارج سلسلة الكتل (غير متصل)، ولا يحتاج إلى دفع رسوم الغاز؛ بينما يحدث التفاعل داخل سلسلة الكتل (متصل)، ويتطلب دفع رسوم الغاز.
التوقيع عادة ما يستخدم للتحقق من الهوية، مثل تسجيل الدخول إلى المحفظة أو الاتصال بتطبيق لامركزي (DApp). هذه العملية لا تغير أي بيانات أو حالة على البلوك تشين، لذلك لا حاجة لدفع رسوم.
التفاعل يتضمن العمليات الفعلية على البلوكشين. على سبيل المثال، عندما ترغب في تبادل الرموز في DEX معين، تحتاج أولاً إلى منح عقد الذكاء الخاص بـ DEX إذنًا لاستخدام رموزك (ما يُعرف بعملية "approve")، ثم تقوم بتنفيذ عملية التبادل الفعلية. كلا الخطوتين تحتاجان لدفع رسوم الغاز.
بعد فهم هذه المفاهيم الأساسية، دعونا نلقي نظرة على ثلاثة أنواع شائعة من أساليب الصيد: صيد التفويض، وصيد توقيع الإذن، وصيد توقيع الإذن 2.
لتفادي هذه الهجمات الاحتيالية، نقترح:
تعزيز الوعي بالأمان، يجب التحقق بعناية من العمليات الفعلية المنفذة في كل مرة يتم فيها إجراء عمليات على المحفظة.
فصل الأموال الكبيرة عن المحفظة المستخدمة يوميًا لتقليل الخسائر المحتملة.
تعلم كيفية التعرف على تنسيق توقيع Permit و Permit2. إذا رأيت طلب توقيع يحتوي على المعلومات التالية، يجب أن تكون حذرًا بشكل خاص:
من خلال فهم مبادئ تقنيات الصيد هذه وطرق الوقاية منها، يمكننا حماية أصولنا الرقمية بشكل أفضل. في عالم Web3، من الضروري أن نكون يقظين ونتعلم باستمرار.