تحليل أساليب هجمات الصيد في Web3: المنطق الأساسي لعمليات الصيد بالتوقيع وتدابير الوقاية
في الآونة الأخيرة، أصبحت "صيد التوقيع" واحدة من أساليب الهجوم المفضلة لدى قراصنة Web3. على الرغم من أن خبراء الصناعة والشركات الكبرى في مجال المحفظة والأمان يواصلون نشر المعرفة ذات الصلة، لا يزال هناك العديد من المستخدمين الذين يقعون في الفخ. أحد الأسباب الرئيسية وراء ذلك هو أن معظم الناس يفتقرون إلى الفهم العميق للمنطق الأساسي لتفاعل المحفظة، مما يجعل التعلم صعبًا بالنسبة لغير المتخصصين.
لمساعدة المزيد من الناس على فهم هذه المشكلة، سنشرح المنطق الأساسي للاحتيال بالتوقيع بطريقة بسيطة وسهلة الفهم.
أولاً، نحتاج إلى فهم أن هناك عمليتين أساسيتين عند استخدام المحفظة: "التوقيع" و"التفاعل". ببساطة، يحدث التوقيع خارج سلسلة الكتلة (خارج السلسلة)، ولا يحتاج إلى دفع رسوم الغاز؛ بينما يحدث التفاعل على سلسلة الكتلة (داخل السلسلة)، ويحتاج إلى دفع رسوم الغاز.
تُستخدم التوقيعات عادةً للتحقق من الهوية، مثل تسجيل الدخول إلى المحفظة. على سبيل المثال، عندما ترغب في تبادل الرموز في DEX معين، يجب عليك أولاً ربط المحفظة، وفي هذه الحالة تحتاج إلى توقيع لإثبات أنك مالك هذه المحفظة. لن يتسبب هذه العملية في أي تغيير في البيانات أو الحالة على blockchain، لذا لا حاجة لدفع رسوم.
بالمقارنة، تتضمن التفاعلات عمليات فعلية على السلسلة. على سبيل المثال، عندما تقوم بتبادل الرموز على أي DEX، تحتاج أولاً إلى دفع رسوم لتفويض العقد الذكي للعمل على رموزك (أي عملية الموافقة)، ثم تدفع رسومًا أخرى لتنفيذ عملية التبادل الفعلية.
بعد فهم الفرق بين التوقيع والتفاعل، دعونا نلقي نظرة على بعض أساليب الصيد الشائعة: صيد التفويض، وصيد توقيع Permit، وصيد توقيع Permit2.
يعد التصيد الاحتيالي المصرح به تقنية كلاسيكية في التصيد الاحتيالي في Web3، حيث يستفيد من آلية التفويض (approve). قد يقوم القراصنة بإنشاء موقع تصيد مموه على أنه مشروع NFT، ويغوون المستخدمين للنقر على زر "استلام الإهداء". في الواقع، ستطلب هذه العملية من المستخدمين تفويض رموزهم إلى عنوان القراصنة. ومع ذلك، نظرًا لأن هذه العملية تتطلب دفع رسوم الغاز، فإن العديد من المستخدمين سيكونون أكثر حذرًا عند مواجهة العمليات التي تتطلب إنفاق الأموال، مما يجعل من السهل نسبيًا اتخاذ تدابير الوقاية.
تُعتبر عمليات التصيد المرتبطة بتوقيع Permit و Permit2 من المناطق الأكثر خطورة في أمان أصول Web3 الحالية. يصعب الوقاية من هذين النوعين من الهجمات لأن المستخدمين عادةً ما يحتاجون إلى توقيع للدخول إلى المحفظة قبل استخدام تطبيقات اللامركزية، مما قد يؤدي إلى تكوين تفكير راسخ حول "الأمان". بالإضافة إلى ذلك، نظرًا لأن التوقيع لا يتطلب دفع أي رسوم، ومع عدم فهم معظم المستخدمين للمعاني وراء كل توقيع، تصبح هذه الأنواع من هجمات التصيد أكثر خطورة.
تصريح هو ميزة موسعة مُصرح بها بموجب معيار ERC-20. ببساطة، يسمح للمستخدمين بالموافقة على الآخرين لإجراء عمليات على رموزهم من خلال توقيع. يمكن للقراصنة استخدام مواقع تصيد احتيالية لإغراء المستخدمين بتوقيع تصريح، مما يمنحهم إذنًا للتحكم في أصول المستخدم.
تعتبر Permit2 ميزة أطلقتها بعض منصات التداول اللامركزية لتحسين تجربة المستخدم. حيث تسمح للمستخدمين بتفويض مبلغ كبير مرة واحدة لعقد Permit2 الذكي، وبعد ذلك يتطلب الأمر توقيعًا فقط في كل عملية تداول، دون الحاجة إلى تفويض متكرر. ومع ذلك، فإن هذا يوفر أيضًا فرصة للمخترقين.
لمنع هذه الهجمات التصيدية، نوصي بـ:
تعزيز الوعي بالأمان، يجب فحص تفاصيل العملية بدقة في كل مرة يتم فيها إجراء عملية على المحفظة.
فصل الأموال الكبيرة عن المحفظة المستخدمة يوميًا لتقليل الخسائر المحتملة.
تعلم كيفية التعرف على تنسيق توقيع Permit و Permit2. عندما ترى طلب توقيع يحتوي على المعلومات التالية، يجب أن تكون حذرًا:
تفاعلي:رابط التفاعل
Owner:عنوان الجهة المصرحة
Spender: عنوان الطرف المخول
القيمة: كمية التفويض
Nonce:رقم عشوائي
Deadline:موعد انتهاء الصلاحية
من خلال فهم مبادئ هذه الهجمات التصيدية وإجراءات الوقاية، يمكننا حماية أصولنا الرقمية بشكل أفضل، واستكشاف والتفاعل بأمان في عالم Web3.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تحليل هجمات تصيد توقيع Web3: دليل شامل للمنطق الأساسي وتدابير الوقاية
تحليل أساليب هجمات الصيد في Web3: المنطق الأساسي لعمليات الصيد بالتوقيع وتدابير الوقاية
في الآونة الأخيرة، أصبحت "صيد التوقيع" واحدة من أساليب الهجوم المفضلة لدى قراصنة Web3. على الرغم من أن خبراء الصناعة والشركات الكبرى في مجال المحفظة والأمان يواصلون نشر المعرفة ذات الصلة، لا يزال هناك العديد من المستخدمين الذين يقعون في الفخ. أحد الأسباب الرئيسية وراء ذلك هو أن معظم الناس يفتقرون إلى الفهم العميق للمنطق الأساسي لتفاعل المحفظة، مما يجعل التعلم صعبًا بالنسبة لغير المتخصصين.
لمساعدة المزيد من الناس على فهم هذه المشكلة، سنشرح المنطق الأساسي للاحتيال بالتوقيع بطريقة بسيطة وسهلة الفهم.
أولاً، نحتاج إلى فهم أن هناك عمليتين أساسيتين عند استخدام المحفظة: "التوقيع" و"التفاعل". ببساطة، يحدث التوقيع خارج سلسلة الكتلة (خارج السلسلة)، ولا يحتاج إلى دفع رسوم الغاز؛ بينما يحدث التفاعل على سلسلة الكتلة (داخل السلسلة)، ويحتاج إلى دفع رسوم الغاز.
تُستخدم التوقيعات عادةً للتحقق من الهوية، مثل تسجيل الدخول إلى المحفظة. على سبيل المثال، عندما ترغب في تبادل الرموز في DEX معين، يجب عليك أولاً ربط المحفظة، وفي هذه الحالة تحتاج إلى توقيع لإثبات أنك مالك هذه المحفظة. لن يتسبب هذه العملية في أي تغيير في البيانات أو الحالة على blockchain، لذا لا حاجة لدفع رسوم.
بالمقارنة، تتضمن التفاعلات عمليات فعلية على السلسلة. على سبيل المثال، عندما تقوم بتبادل الرموز على أي DEX، تحتاج أولاً إلى دفع رسوم لتفويض العقد الذكي للعمل على رموزك (أي عملية الموافقة)، ثم تدفع رسومًا أخرى لتنفيذ عملية التبادل الفعلية.
بعد فهم الفرق بين التوقيع والتفاعل، دعونا نلقي نظرة على بعض أساليب الصيد الشائعة: صيد التفويض، وصيد توقيع Permit، وصيد توقيع Permit2.
يعد التصيد الاحتيالي المصرح به تقنية كلاسيكية في التصيد الاحتيالي في Web3، حيث يستفيد من آلية التفويض (approve). قد يقوم القراصنة بإنشاء موقع تصيد مموه على أنه مشروع NFT، ويغوون المستخدمين للنقر على زر "استلام الإهداء". في الواقع، ستطلب هذه العملية من المستخدمين تفويض رموزهم إلى عنوان القراصنة. ومع ذلك، نظرًا لأن هذه العملية تتطلب دفع رسوم الغاز، فإن العديد من المستخدمين سيكونون أكثر حذرًا عند مواجهة العمليات التي تتطلب إنفاق الأموال، مما يجعل من السهل نسبيًا اتخاذ تدابير الوقاية.
تُعتبر عمليات التصيد المرتبطة بتوقيع Permit و Permit2 من المناطق الأكثر خطورة في أمان أصول Web3 الحالية. يصعب الوقاية من هذين النوعين من الهجمات لأن المستخدمين عادةً ما يحتاجون إلى توقيع للدخول إلى المحفظة قبل استخدام تطبيقات اللامركزية، مما قد يؤدي إلى تكوين تفكير راسخ حول "الأمان". بالإضافة إلى ذلك، نظرًا لأن التوقيع لا يتطلب دفع أي رسوم، ومع عدم فهم معظم المستخدمين للمعاني وراء كل توقيع، تصبح هذه الأنواع من هجمات التصيد أكثر خطورة.
تصريح هو ميزة موسعة مُصرح بها بموجب معيار ERC-20. ببساطة، يسمح للمستخدمين بالموافقة على الآخرين لإجراء عمليات على رموزهم من خلال توقيع. يمكن للقراصنة استخدام مواقع تصيد احتيالية لإغراء المستخدمين بتوقيع تصريح، مما يمنحهم إذنًا للتحكم في أصول المستخدم.
تعتبر Permit2 ميزة أطلقتها بعض منصات التداول اللامركزية لتحسين تجربة المستخدم. حيث تسمح للمستخدمين بتفويض مبلغ كبير مرة واحدة لعقد Permit2 الذكي، وبعد ذلك يتطلب الأمر توقيعًا فقط في كل عملية تداول، دون الحاجة إلى تفويض متكرر. ومع ذلك، فإن هذا يوفر أيضًا فرصة للمخترقين.
لمنع هذه الهجمات التصيدية، نوصي بـ:
تعزيز الوعي بالأمان، يجب فحص تفاصيل العملية بدقة في كل مرة يتم فيها إجراء عملية على المحفظة.
فصل الأموال الكبيرة عن المحفظة المستخدمة يوميًا لتقليل الخسائر المحتملة.
تعلم كيفية التعرف على تنسيق توقيع Permit و Permit2. عندما ترى طلب توقيع يحتوي على المعلومات التالية، يجب أن تكون حذرًا:
من خلال فهم مبادئ هذه الهجمات التصيدية وإجراءات الوقاية، يمكننا حماية أصولنا الرقمية بشكل أفضل، واستكشاف والتفاعل بأمان في عالم Web3.