شرح مبدأ التصيد الاحتيالي في Web3: التفويض، الإذن وPermit2
تُعتبر هجمات التصيد بالتوقيع من أكثر الأساليب شيوعًا لدى قراصنة الويب 3. على الرغم من أن الخبراء الأمنيين يقومون بالترويج للمعرفة ذات الصلة، لا يزال هناك العديد من المستخدمين الذين يقعوا في الفخ يوميًا. أحد الأسباب الرئيسية وراء ذلك هو أن معظم الناس يفتقرون إلى الفهم الأساسي لمنطق تفاعل المحفظة، كما أن مستوى التعلم يكون مرتفعًا بالنسبة لغير التقنيين.
لذلك، سنقوم بشرح المبادئ الأساسية لعملية الاحتيال بالتوقيع بطريقة مرئية وسهلة الفهم، محاولين استخدام أبسط اللغات ليتمكن المستخدمون العاديون من فهم المخاطر المرتبطة بها.
أولاً، نحتاج إلى فهم عمليتين أساسيتين عند استخدام المحفظة: "التوقيع" و"التفاعل". ببساطة، التوقيع يحدث خارج سلسلة الكتل (غير متصل)، ولا يتطلب دفع رسوم الغاز؛ بينما التفاعل يحدث على سلسلة الكتل (متصل)، ويتطلب دفع رسوم الغاز.
تتمثل السيناريوهات النموذجية للتوقيع في التحقق من الهوية، مثل تسجيل الدخول إلى تطبيق لامركزي (DApp). على سبيل المثال، عندما تريد تبادل الرموز على DEX معين، تحتاج أولاً إلى ربط المحفظة والتوقيع، لإثبات الموقع "أنا مالك هذه المحفظة". هذه العملية لن تغير أي بيانات أو حالة على blockchain، لذلك لا حاجة لدفع الرسوم.
بالمقارنة، تتضمن التفاعلات عمليات فعلية على السلسلة. على سبيل المثال، عند استبدال الرموز في DEX معين، تحتاج أولاً إلى دفع رسوم، وتفويض العقد الذكي لـ DEX لاستخدام رموزك (تسمى هذه الخطوة "التفويض" أو "approve"). بعد ذلك، تحتاج أيضًا إلى دفع رسوم أخرى لتنفيذ عملية الاستبدال الفعلية.
بعد فهم هذه المفاهيم الأساسية، دعونا نلقي نظرة على بعض طرق الصيد الشائعة:
تصيد الإذن:
هذه طريقة تقليدية للاحتيال في Web3. يقوم القراصنة بإنشاء موقع ويب رائع يتظاهر بأنه مشروع NFT، ويقومون بإغراء المستخدمين للنقر على أزرار مثل "استلام الإيصال". في الواقع، بعد أن ينقر المستخدم، سيُطلب منه تفويض رموزه إلى عنوان القراصنة. بمجرد أن يؤكد المستخدم، يمكن للقراصنة الحصول على السيطرة على أصوله.
ومع ذلك، نظرًا لأن تفويض التصيد يحتاج إلى دفع رسوم الغاز، فإن العديد من المستخدمين يكونون أكثر حذرًا عند إجراء العمليات المالية، لذا فإن هذه الطريقة يمكن الوقاية منها نسبيًا.
تصيد توقيع تصريح:
تُعتبر Permit ميزة توسيع تفويض ضمن معيار ERC-20. تتيح للمستخدمين الموافقة على استخدام رموزهم من قبل الآخرين من خلال التوقيع، دون الحاجة إلى التفاعل المباشر على السلسلة. بعبارة بسيطة، مثل توقيع على "إذن"، يسمح لشخص ما باستخدام رموزك. يمكن لحامل هذا "الإذن" إثبات تفويضك للعقد الذكي، مما يتيح له نقل أصولك.
يمكن للقراصنة من خلال المواقع المزيفة استبدال عمليات الاتصال بالمحفظة العادية بتصيد Permit، مما يحفز المستخدمين على التوقيع، وبالتالي الحصول على السيطرة على أصولهم.
تصيد توقيع Permit2:
Permit2 ليست وظيفة قياسية لـ ERC-20، بل هي ميزة قدمتها بعض منصات التداول اللامركزية لتحسين تجربة المستخدم. إنها تسمح للمستخدمين بمنح صلاحيات كبيرة دفعة واحدة، وبعد ذلك يكفي التوقيع في كل عملية تداول دون الحاجة لإعادة التفويض. وبالتالي، يمكن أن توفر تكاليف الغاز وتزيد من كفاءة التداول.
ومع ذلك، إذا كان المستخدم قد استخدم هذا الـ DEX من قبل ومنح صلاحيات غير محدودة (وهو ما يكون عادةً الإعداد الافتراضي)، فقد يصبح هدفًا للاحتيال باستخدام Permit2. كل ما يحتاجه القراصنة هو تحفيز المستخدم على التوقيع، ليتمكنوا من تحويل الرموز التي تم تفويضها.
لمنع هذه المخاطر المتعلقة بالصيد الاحتيالي، يجب على المستخدمين:
تعزيز الوعي بالأمان، يجب فحص المحتوى المحدد بعناية في كل مرة يتم فيها إجراء عملية على المحفظة.
فصل الأموال الرئيسية عن المحفظة المستخدمة يوميًا لتقليل الخسائر المحتملة.
تعلم كيفية التعرف على تنسيقات توقيع Permit و Permit2، مع إيلاء اهتمام خاص لطلبات التوقيع التي تحتوي على الحقول التالية:
تفاعلي:رابط تفاعلي
المالك:عنوان الجهة المخولة
Spender: عنوان الجهة المخولة
القيمة: عدد التفويض
Nonce: عدد عشوائي
Deadline:موعد انتهاء الصلاحية
من خلال فهم هذه المبادئ الأساسية وتدابير الحماية، يمكن للمستخدمين حماية أصولهم الرقمية بشكل أفضل وتجنب الوقوع في فخاخ القراصنة.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
مخطط مبادئ التصيد الاحتيالي لتوقيع Web3: دليل الحماية من التفويض وPermit وPermit2
شرح مبدأ التصيد الاحتيالي في Web3: التفويض، الإذن وPermit2
تُعتبر هجمات التصيد بالتوقيع من أكثر الأساليب شيوعًا لدى قراصنة الويب 3. على الرغم من أن الخبراء الأمنيين يقومون بالترويج للمعرفة ذات الصلة، لا يزال هناك العديد من المستخدمين الذين يقعوا في الفخ يوميًا. أحد الأسباب الرئيسية وراء ذلك هو أن معظم الناس يفتقرون إلى الفهم الأساسي لمنطق تفاعل المحفظة، كما أن مستوى التعلم يكون مرتفعًا بالنسبة لغير التقنيين.
لذلك، سنقوم بشرح المبادئ الأساسية لعملية الاحتيال بالتوقيع بطريقة مرئية وسهلة الفهم، محاولين استخدام أبسط اللغات ليتمكن المستخدمون العاديون من فهم المخاطر المرتبطة بها.
أولاً، نحتاج إلى فهم عمليتين أساسيتين عند استخدام المحفظة: "التوقيع" و"التفاعل". ببساطة، التوقيع يحدث خارج سلسلة الكتل (غير متصل)، ولا يتطلب دفع رسوم الغاز؛ بينما التفاعل يحدث على سلسلة الكتل (متصل)، ويتطلب دفع رسوم الغاز.
تتمثل السيناريوهات النموذجية للتوقيع في التحقق من الهوية، مثل تسجيل الدخول إلى تطبيق لامركزي (DApp). على سبيل المثال، عندما تريد تبادل الرموز على DEX معين، تحتاج أولاً إلى ربط المحفظة والتوقيع، لإثبات الموقع "أنا مالك هذه المحفظة". هذه العملية لن تغير أي بيانات أو حالة على blockchain، لذلك لا حاجة لدفع الرسوم.
بالمقارنة، تتضمن التفاعلات عمليات فعلية على السلسلة. على سبيل المثال، عند استبدال الرموز في DEX معين، تحتاج أولاً إلى دفع رسوم، وتفويض العقد الذكي لـ DEX لاستخدام رموزك (تسمى هذه الخطوة "التفويض" أو "approve"). بعد ذلك، تحتاج أيضًا إلى دفع رسوم أخرى لتنفيذ عملية الاستبدال الفعلية.
بعد فهم هذه المفاهيم الأساسية، دعونا نلقي نظرة على بعض طرق الصيد الشائعة:
ومع ذلك، نظرًا لأن تفويض التصيد يحتاج إلى دفع رسوم الغاز، فإن العديد من المستخدمين يكونون أكثر حذرًا عند إجراء العمليات المالية، لذا فإن هذه الطريقة يمكن الوقاية منها نسبيًا.
يمكن للقراصنة من خلال المواقع المزيفة استبدال عمليات الاتصال بالمحفظة العادية بتصيد Permit، مما يحفز المستخدمين على التوقيع، وبالتالي الحصول على السيطرة على أصولهم.
ومع ذلك، إذا كان المستخدم قد استخدم هذا الـ DEX من قبل ومنح صلاحيات غير محدودة (وهو ما يكون عادةً الإعداد الافتراضي)، فقد يصبح هدفًا للاحتيال باستخدام Permit2. كل ما يحتاجه القراصنة هو تحفيز المستخدم على التوقيع، ليتمكنوا من تحويل الرموز التي تم تفويضها.
لمنع هذه المخاطر المتعلقة بالصيد الاحتيالي، يجب على المستخدمين:
من خلال فهم هذه المبادئ الأساسية وتدابير الحماية، يمكن للمستخدمين حماية أصولهم الرقمية بشكل أفضل وتجنب الوقوع في فخاخ القراصنة.