تحليل أساليب الاحتيال بتوقيع Web3: من التفويض إلى Permit2
في الفترة الأخيرة، أصبحت "هجمات التصيد عبر التوقيع" واحدة من أكثر طرق الهجوم المفضلة لدى قراصنة Web3. على الرغم من أن خبراء الأمان وشركات المحافظ يقومون باستمرار بنشر المعرفة ذات الصلة، إلا أن العديد من المستخدمين لا يزالون يقعوا في الفخ يوميًا. أحد الأسباب الرئيسية وراء ذلك هو أن معظم المستخدمين يفتقرون إلى الفهم الأساسي للمنطق الكامن وراء تفاعلات المحافظ، وأن عائق التعلم مرتفع.
لمساعدة المزيد من الناس على فهم هذه المشكلة، ستقوم هذه المقالة بشرح المنطق الأساسي للاحتيال بالتوقيع في Web3 بطريقة بسيطة وسهلة الفهم، خاصةً للمستخدمين غير المألوفين بالتكنولوجيا.
أولاً، نحتاج إلى فهم أن هناك نوعين رئيسيين من العمليات عند استخدام المحفظة: "التوقيع" و"التفاعل". ببساطة، يحدث التوقيع خارج سلسلة الكتل (غير متصل بالسلسلة) ولا يتطلب دفع رسوم غاز؛ بينما يحدث التفاعل داخل سلسلة الكتل (متصل بالسلسلة) ويتطلب دفع رسوم غاز.
تُستخدم التوقيعات عادةً للتحقق من الهوية، مثل تسجيل الدخول إلى المحفظة أو الاتصال بتطبيق لامركزي معين. لا يؤثر هذا العملية على سلسلة الكتل، لذلك لا حاجة لدفع أي رسوم. بينما تتضمن التفاعلات العمليات الفعلية على السلسلة، مثل تبادل الرموز على بورصة لامركزية، مما يتطلب دفع رسوم الغاز.
بعد فهم الفرق بين التوقيع والتفاعل، دعونا نلقي نظرة على بعض طرق الصيد الشائعة:
التصيد الاحتيالي المصرح به:
هذه طريقة كلاسيكية للصيد. يقوم القراصنة بإنشاء موقع مزيف لإغراء المستخدمين للقيام بعمليات التفويض. عندما ينقر المستخدم على أزرار مثل "استلام الإهداء"، فإنه في الواقع يقوم بتفويض عنوان القراصنة للتصرف في رموزه. على الرغم من أن هذه الطريقة تتطلب دفع رسوم الغاز، لا يزال هناك مستخدمون قد يقعوا ضحية لذلك.
توقيع التصيد الاحتيالي:
تُعدّ ميزة التصريح (Permit) من الوظائف الموسعة لمعيار ERC-20، حيث تتيح للمستخدمين تفويض الآخرين للتصرف في رموزهم من خلال التوقيع. يمكن للقراصنة استغلال هذه الآلية من خلال إغراء المستخدمين بتوقيع رسالة تبدو غير ضارة، لكنها في الواقع تُعتبر "إذنًا" لنقل أصول المستخدمين إلى القراصنة.
تصيد توقيع Permit2:
Permit2 هي ميزة أطلقتها بعض منصات DEX، تهدف إلى تبسيط إجراءات المستخدمين. ومع ذلك، إذا كان المستخدم قد منح تفويضًا غير محدود لعقد Permit2، يمكن للقراصنة استغلال ذلك لتنفيذ هجمات تصيد.
لتجنب هذه الهجمات الاحتيالية، يمكن للمستخدمين اتخاذ التدابير التالية:
زيادة الوعي بالأمان، يجب فحص كل عملية محفظة بعناية في كل مرة.
فصل الأموال الكبيرة عن محفظة الاستخدام اليومي لتقليل الخسائر المحتملة.
تعلم كيفية التعرف على تنسيق توقيع Permit و Permit2، وكن حذرًا من التوقيعات التي تحتوي على عنوان المخول، عنوان المخول له، وكمية التفويض وغيرها من المعلومات.
بشكل عام، جوهر هجمات التصيد الاحتيالي بالتوقيع هو تحفيز المستخدم على توقيع "ورقة" تسمح للآخرين بالتحكم في أصوله. فهم مبادئ هذه الهجمات والبقاء في حالة تأهب أمر بالغ الأهمية لحماية الأصول الرقمية الخاصة بك.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 16
أعجبني
16
7
مشاركة
تعليق
0/400
AirdropBlackHole
· منذ 14 س
مبتدئ لا يزال يتعرض للخداع؟
شاهد النسخة الأصليةرد0
BearMarketHustler
· منذ 14 س
又是حمقىخداع الناس لتحقيق الربح大礼包
شاهد النسخة الأصليةرد0
ForkTrooper
· منذ 14 س
هناك الكثير من الحمقى ينتظرون الخداع لتحقيق الربح
شاهد النسخة الأصليةرد0
MonkeySeeMonkeyDo
· منذ 14 س
لا تنخدع، وقع بهدوء
شاهد النسخة الأصليةرد0
DefiOldTrickster
· منذ 14 س
لقد جربت هذه الحيلة من قبل. بصراحة، من الأفضل أن أفتح مخزنًا عاريًا بشجاعة.
شاهد النسخة الأصليةرد0
GateUser-40edb63b
· منذ 14 س
لا يزال هناك بعض الحمقى لم يتم خداعهم لتحقيق الربح
تحليل شامل لعمليات التصيد الاحتيالي في Web3: من فخوص التفويض إلى مخاطر Permit2
تحليل أساليب الاحتيال بتوقيع Web3: من التفويض إلى Permit2
في الفترة الأخيرة، أصبحت "هجمات التصيد عبر التوقيع" واحدة من أكثر طرق الهجوم المفضلة لدى قراصنة Web3. على الرغم من أن خبراء الأمان وشركات المحافظ يقومون باستمرار بنشر المعرفة ذات الصلة، إلا أن العديد من المستخدمين لا يزالون يقعوا في الفخ يوميًا. أحد الأسباب الرئيسية وراء ذلك هو أن معظم المستخدمين يفتقرون إلى الفهم الأساسي للمنطق الكامن وراء تفاعلات المحافظ، وأن عائق التعلم مرتفع.
لمساعدة المزيد من الناس على فهم هذه المشكلة، ستقوم هذه المقالة بشرح المنطق الأساسي للاحتيال بالتوقيع في Web3 بطريقة بسيطة وسهلة الفهم، خاصةً للمستخدمين غير المألوفين بالتكنولوجيا.
أولاً، نحتاج إلى فهم أن هناك نوعين رئيسيين من العمليات عند استخدام المحفظة: "التوقيع" و"التفاعل". ببساطة، يحدث التوقيع خارج سلسلة الكتل (غير متصل بالسلسلة) ولا يتطلب دفع رسوم غاز؛ بينما يحدث التفاعل داخل سلسلة الكتل (متصل بالسلسلة) ويتطلب دفع رسوم غاز.
تُستخدم التوقيعات عادةً للتحقق من الهوية، مثل تسجيل الدخول إلى المحفظة أو الاتصال بتطبيق لامركزي معين. لا يؤثر هذا العملية على سلسلة الكتل، لذلك لا حاجة لدفع أي رسوم. بينما تتضمن التفاعلات العمليات الفعلية على السلسلة، مثل تبادل الرموز على بورصة لامركزية، مما يتطلب دفع رسوم الغاز.
بعد فهم الفرق بين التوقيع والتفاعل، دعونا نلقي نظرة على بعض طرق الصيد الشائعة:
توقيع التصيد الاحتيالي: تُعدّ ميزة التصريح (Permit) من الوظائف الموسعة لمعيار ERC-20، حيث تتيح للمستخدمين تفويض الآخرين للتصرف في رموزهم من خلال التوقيع. يمكن للقراصنة استغلال هذه الآلية من خلال إغراء المستخدمين بتوقيع رسالة تبدو غير ضارة، لكنها في الواقع تُعتبر "إذنًا" لنقل أصول المستخدمين إلى القراصنة.
تصيد توقيع Permit2: Permit2 هي ميزة أطلقتها بعض منصات DEX، تهدف إلى تبسيط إجراءات المستخدمين. ومع ذلك، إذا كان المستخدم قد منح تفويضًا غير محدود لعقد Permit2، يمكن للقراصنة استغلال ذلك لتنفيذ هجمات تصيد.
لتجنب هذه الهجمات الاحتيالية، يمكن للمستخدمين اتخاذ التدابير التالية:
بشكل عام، جوهر هجمات التصيد الاحتيالي بالتوقيع هو تحفيز المستخدم على توقيع "ورقة" تسمح للآخرين بالتحكم في أصوله. فهم مبادئ هذه الهجمات والبقاء في حالة تأهب أمر بالغ الأهمية لحماية الأصول الرقمية الخاصة بك.