البلوكتشين احتيال الاتجاهات الجديدة: بروتوكول يصبح سلاح المهاجمين
تت reshaping العملات المشفرة وتكنولوجيا البلوكتشين النظام المالي، لكنها أيضاً جلبت تحديات أمنية جديدة. لم يعد المحتالون محصورين في استغلال ثغرات تقنية، بل حولوا بروتوكولات عقود البلوكتشين الذكية نفسها إلى أدوات هجوم. يستغلون الفخاخ المصممة بعناية للهندسة الاجتماعية، جنباً إلى جنب مع شفافية البلوكتشين وعدم قابليته للعكس، لتحويل ثقة المستخدمين إلى أداة لسرقة الأصول. من تزوير العقود الذكية إلى التلاعب بالمعاملات عبر السلاسل، هذه الهجمات ليست فقط خفية وصعبة الكشف، بل أكثر خداعاً بسبب "الشرعية" التي ترتديها. ستقوم هذه المقالة من خلال تحليل الحالات، بكشف كيف يحول المحتالون البروتوكولات إلى وسائط هجوم، وتقديم استراتيجيات شاملة للحماية.
١. كيف تطور البروتوكول القانوني ليصبح أداة احتيال
البلوكتشين بروتوكول الهدف منه هو ضمان الأمان والثقة، لكن المحتالين يستغلون ميزاته، مع دمج إهمال المستخدمين، لخلق طرق هجوم خفية متعددة. فيما يلي بعض الأساليب الشائعة والتفاصيل الفنية الخاصة بها:
(1) تفويض عقد ذكي خبيث
المبادئ الفنية:
معيار رموز ERC-20 يسمح للمستخدمين بتفويض طرف ثالث لسحب كمية محددة من الرموز من محفظتهم من خلال دالة "Approve". تُستخدم هذه الميزة على نطاق واسع في بروتوكولات DeFi، لكنها أيضًا تُستغل من قبل المحتالين.
طريقة العمل:
ينشئ المحتالون تطبيقات لامركزية تتنكر كمشاريع شرعية، مما يعرض المستخدمين للاتصال بمحافظهم ومنح الأذونات. يبدو للوهلة الأولى أن الأذونات تتعلق بكمية صغيرة من الرموز، لكن قد تكون في الواقع بحدود غير محدودة. بمجرد اكتمال التفويض، يمكن للمحتالين سحب كافة الرموز المعنية من محفظة المستخدم في أي وقت.
حالة:
في بداية عام 2023، تسبب موقع تصيد احتيالي متنكّر في شكل "ترقية DEX معينة" في خسارة مئات المستخدمين لمبالغ ضخمة من USDT و ETH. كانت هذه المعاملات تتوافق تمامًا مع معيار ERC-20، مما جعل من الصعب على الضحايا استرداد أموالهم من خلال القنوات القانونية.
(2) توقيع الصيد
المبادئ التقنية:
تتطلب معاملات البلوكتشين من المستخدمين إنشاء توقيع من خلال المفتاح الخاص. يستغل المحتالون هذه العملية لتزوير طلبات التوقيع وسرقة الأصول.
آلية العمل:
تلقى المستخدمون رسائل تتنكر في شكل إشعارات رسمية، وتم توجيههم إلى مواقع ويب ضارة لإجراء "التحقق". في الواقع، قد يكونون قد وقعوا على معاملات لنقل الأصول أو منح حق التحكم في NFT.
حالة:
تعرض مجتمع مشروع NFT معروف لهجوم تصيد توقيع، حيث فقد العديد من المستخدمين NFTs بقيمة ملايين الدولارات بسبب توقيعهم على معاملات "استلام توزيع" مزورة. استغل المهاجمون معيار توقيع EIP-712، وقاموا بتزوير طلبات تبدو آمنة.
(3) رموز مزيفة و"هجوم الغبار"
المبادئ التقنية:
تسمح علانية البلوكتشين لأي شخص بإرسال رموز إلى أي عنوان. يستغل المحتالون هذه النقطة من خلال إرسال كميات صغيرة من العملات المشفرة لتتبع أنشطة المحفظة.
كيفية العمل:
يُرسل المحتالون رموزًا صغيرة إلى عناوين متعددة، وقد تحمل هذه الرموز أسماء مضللة. عندما يحاول المستخدمون سحب الأموال، قد يحصل المهاجمون على إذن للوصول إلى المحفظة. بالإضافة إلى ذلك، من خلال تحليل المعاملات اللاحقة، يمكن للمحتالين تحديد العناوين النشطة للمستخدمين وتنفيذ عمليات احتيال أكثر دقة.
حالة دراسة:
حدثت هجمات غبار "رموز الغاز" على شبكة الإيثيريوم، مما أثر على آلاف المحافظ. بعض المستخدمين فقدوا ETH ورموز أخرى بسبب الفضول والتفاعل.
٢. الأسباب التي تجعل هذه الاحتيالات صعبة الاكتشاف
تنجح هذه الاحتيالات بشكل رئيسي لأنها مخفية داخل آليات البلوكتشين الشرعية، مما يجعل من الصعب على المستخدمين العاديين التعرف على طبيعتها الخبيثة. تشمل الأسباب الرئيسية ما يلي:
التعقيد الفني: من الصعب على المستخدمين غير الفنيين فهم كود العقود الذكية وطلبات التوقيع.
الشرعية على البلوكتشين: جميع المعاملات مسجلة على البلوكتشين، تبدو شفافة، لكن الضحايا غالبًا ما يدركون المشكلة بعد فوات الأوان.
الهندسة الاجتماعية: يستخدم المحتالون نقاط ضعف الطبيعة البشرية، مثل الجشع أو الخوف أو الثقة.
تمويه دقيق: قد تستخدم مواقع التصيد URLs تبدو مشابهة جداً للاسم الرسمي للنطاق، وحتى تعزز المصداقية من خلال شهادات HTTPS.
٣. كيفية حماية محفظة العملات المشفرة الخاصة بك
في مواجهة هذه الخدع التي تتواجد فيها الحيل التقنية والنفسية، يتطلب حماية الأصول استراتيجيات متعددة المستويات:
تحقق من وإدارة أذونات التفويض
استخدم أدوات احترافية للتحقق من سجلات تفويض المحفظة
قم بإلغاء التفويضات غير الضرورية بانتظام، خاصةً التفويضات غير المحدودة للعناوين غير المعروفة.
تأكد من أن مصدر DApp موثوق قبل كل تفويض
تحقق من الروابط والمصادر
أدخل عنوان URL الرسمي يدويًا، وتجنب النقر على الروابط في وسائل التواصل الاجتماعي أو البريد الإلكتروني
تحقق بعناية من اسم نطاق الموقع وشهادة SSL
استخدام المحفظة الباردة والتوقيع المتعدد
تخزين معظم الأصول في محفظة الأجهزة
استخدم أدوات التوقيع المتعدد للأصول الكبيرة، يتطلب تأكيد المعاملة بواسطة مفاتيح متعددة
التعامل بحذر مع طلبات التوقيع
اقرأ بعناية تفاصيل المعاملة في نافذة المحفظة المنبثقة
استخدم أدوات احترافية لتحليل محتوى التوقيع، أو استشر خبراء التكنولوجيا
إنشاء محفظة مستقلة للعمليات عالية المخاطر، وتخزين كمية صغيرة فقط من الأصول
التعامل مع هجمات الغبار
بعد استلام رموز غير معروفة، لا تتفاعل
تأكيد مصدر الرمز من خلال البلوكتشين
تجنب نشر عنوان المحفظة، أو استخدم عنوانًا جديدًا لإجراء العمليات الحساسة
الخاتمة
يمكن أن يقلل تنفيذ التدابير الأمنية المذكورة أعلاه بشكل كبير من خطر أن تصبح ضحية لخطط الاحتيال المتقدمة. ومع ذلك، فإن الأمان الحقيقي لا يعتمد فقط على التكنولوجيا. عندما تبني المحافظ الصلبة خط دفاع مادي، وتوزع التوقيعات المتعددة المخاطر، فإن فهم المستخدم للمنطق التفويضي والموقف الحذر تجاه السلوك على البلوكتشين هو الخط الدفاعي الأخير.
في المستقبل، بغض النظر عن كيفية تطور التكنولوجيا، فإن الحماية الأساسية تكمن دائمًا في تحويل الوعي بالأمان إلى عادة، والحفاظ على التوازن بين الثقة والتحقق. في عالم البلوكتشين، يتم تسجيل كل نقرة، وكل صفقة بشكل دائم، ولا يمكن تغييرها. لذلك، فإن بناء الوعي بالأمان والعادات الجيدة أمر بالغ الأهمية.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 8
أعجبني
8
4
مشاركة
تعليق
0/400
ForkMonger
· منذ 5 س
هههه بروتوكولات هي مجرد نقاط هجوم تنتظر الحدوث... داروين كان محقًا
شاهد النسخة الأصليةرد0
ShibaMillionairen't
· منذ 5 س
يُستغل بغباء. لن يخسر الشخص الذي يخدع الناس لتحقيق الربح أبداً.
البلوكتشين بروتوكول أصبح سلاحاً جديداً للاحتيال: يصعب الكشف عنه، ويجب على المستخدمين زيادة اليقظة
البلوكتشين احتيال الاتجاهات الجديدة: بروتوكول يصبح سلاح المهاجمين
تت reshaping العملات المشفرة وتكنولوجيا البلوكتشين النظام المالي، لكنها أيضاً جلبت تحديات أمنية جديدة. لم يعد المحتالون محصورين في استغلال ثغرات تقنية، بل حولوا بروتوكولات عقود البلوكتشين الذكية نفسها إلى أدوات هجوم. يستغلون الفخاخ المصممة بعناية للهندسة الاجتماعية، جنباً إلى جنب مع شفافية البلوكتشين وعدم قابليته للعكس، لتحويل ثقة المستخدمين إلى أداة لسرقة الأصول. من تزوير العقود الذكية إلى التلاعب بالمعاملات عبر السلاسل، هذه الهجمات ليست فقط خفية وصعبة الكشف، بل أكثر خداعاً بسبب "الشرعية" التي ترتديها. ستقوم هذه المقالة من خلال تحليل الحالات، بكشف كيف يحول المحتالون البروتوكولات إلى وسائط هجوم، وتقديم استراتيجيات شاملة للحماية.
١. كيف تطور البروتوكول القانوني ليصبح أداة احتيال
البلوكتشين بروتوكول الهدف منه هو ضمان الأمان والثقة، لكن المحتالين يستغلون ميزاته، مع دمج إهمال المستخدمين، لخلق طرق هجوم خفية متعددة. فيما يلي بعض الأساليب الشائعة والتفاصيل الفنية الخاصة بها:
(1) تفويض عقد ذكي خبيث
المبادئ الفنية: معيار رموز ERC-20 يسمح للمستخدمين بتفويض طرف ثالث لسحب كمية محددة من الرموز من محفظتهم من خلال دالة "Approve". تُستخدم هذه الميزة على نطاق واسع في بروتوكولات DeFi، لكنها أيضًا تُستغل من قبل المحتالين.
طريقة العمل: ينشئ المحتالون تطبيقات لامركزية تتنكر كمشاريع شرعية، مما يعرض المستخدمين للاتصال بمحافظهم ومنح الأذونات. يبدو للوهلة الأولى أن الأذونات تتعلق بكمية صغيرة من الرموز، لكن قد تكون في الواقع بحدود غير محدودة. بمجرد اكتمال التفويض، يمكن للمحتالين سحب كافة الرموز المعنية من محفظة المستخدم في أي وقت.
حالة: في بداية عام 2023، تسبب موقع تصيد احتيالي متنكّر في شكل "ترقية DEX معينة" في خسارة مئات المستخدمين لمبالغ ضخمة من USDT و ETH. كانت هذه المعاملات تتوافق تمامًا مع معيار ERC-20، مما جعل من الصعب على الضحايا استرداد أموالهم من خلال القنوات القانونية.
(2) توقيع الصيد
المبادئ التقنية: تتطلب معاملات البلوكتشين من المستخدمين إنشاء توقيع من خلال المفتاح الخاص. يستغل المحتالون هذه العملية لتزوير طلبات التوقيع وسرقة الأصول.
آلية العمل: تلقى المستخدمون رسائل تتنكر في شكل إشعارات رسمية، وتم توجيههم إلى مواقع ويب ضارة لإجراء "التحقق". في الواقع، قد يكونون قد وقعوا على معاملات لنقل الأصول أو منح حق التحكم في NFT.
حالة: تعرض مجتمع مشروع NFT معروف لهجوم تصيد توقيع، حيث فقد العديد من المستخدمين NFTs بقيمة ملايين الدولارات بسبب توقيعهم على معاملات "استلام توزيع" مزورة. استغل المهاجمون معيار توقيع EIP-712، وقاموا بتزوير طلبات تبدو آمنة.
(3) رموز مزيفة و"هجوم الغبار"
المبادئ التقنية: تسمح علانية البلوكتشين لأي شخص بإرسال رموز إلى أي عنوان. يستغل المحتالون هذه النقطة من خلال إرسال كميات صغيرة من العملات المشفرة لتتبع أنشطة المحفظة.
كيفية العمل: يُرسل المحتالون رموزًا صغيرة إلى عناوين متعددة، وقد تحمل هذه الرموز أسماء مضللة. عندما يحاول المستخدمون سحب الأموال، قد يحصل المهاجمون على إذن للوصول إلى المحفظة. بالإضافة إلى ذلك، من خلال تحليل المعاملات اللاحقة، يمكن للمحتالين تحديد العناوين النشطة للمستخدمين وتنفيذ عمليات احتيال أكثر دقة.
حالة دراسة: حدثت هجمات غبار "رموز الغاز" على شبكة الإيثيريوم، مما أثر على آلاف المحافظ. بعض المستخدمين فقدوا ETH ورموز أخرى بسبب الفضول والتفاعل.
٢. الأسباب التي تجعل هذه الاحتيالات صعبة الاكتشاف
تنجح هذه الاحتيالات بشكل رئيسي لأنها مخفية داخل آليات البلوكتشين الشرعية، مما يجعل من الصعب على المستخدمين العاديين التعرف على طبيعتها الخبيثة. تشمل الأسباب الرئيسية ما يلي:
التعقيد الفني: من الصعب على المستخدمين غير الفنيين فهم كود العقود الذكية وطلبات التوقيع.
الشرعية على البلوكتشين: جميع المعاملات مسجلة على البلوكتشين، تبدو شفافة، لكن الضحايا غالبًا ما يدركون المشكلة بعد فوات الأوان.
الهندسة الاجتماعية: يستخدم المحتالون نقاط ضعف الطبيعة البشرية، مثل الجشع أو الخوف أو الثقة.
تمويه دقيق: قد تستخدم مواقع التصيد URLs تبدو مشابهة جداً للاسم الرسمي للنطاق، وحتى تعزز المصداقية من خلال شهادات HTTPS.
٣. كيفية حماية محفظة العملات المشفرة الخاصة بك
في مواجهة هذه الخدع التي تتواجد فيها الحيل التقنية والنفسية، يتطلب حماية الأصول استراتيجيات متعددة المستويات:
تحقق من وإدارة أذونات التفويض
تحقق من الروابط والمصادر
استخدام المحفظة الباردة والتوقيع المتعدد
التعامل بحذر مع طلبات التوقيع
التعامل مع هجمات الغبار
الخاتمة
يمكن أن يقلل تنفيذ التدابير الأمنية المذكورة أعلاه بشكل كبير من خطر أن تصبح ضحية لخطط الاحتيال المتقدمة. ومع ذلك، فإن الأمان الحقيقي لا يعتمد فقط على التكنولوجيا. عندما تبني المحافظ الصلبة خط دفاع مادي، وتوزع التوقيعات المتعددة المخاطر، فإن فهم المستخدم للمنطق التفويضي والموقف الحذر تجاه السلوك على البلوكتشين هو الخط الدفاعي الأخير.
في المستقبل، بغض النظر عن كيفية تطور التكنولوجيا، فإن الحماية الأساسية تكمن دائمًا في تحويل الوعي بالأمان إلى عادة، والحفاظ على التوازن بين الثقة والتحقق. في عالم البلوكتشين، يتم تسجيل كل نقرة، وكل صفقة بشكل دائم، ولا يمكن تغييرها. لذلك، فإن بناء الوعي بالأمان والعادات الجيدة أمر بالغ الأهمية.