تحليل المنطق الأساسي لعمليات الاحتيال بتوقيع Web3

في الآونة الأخيرة، أصبحت "خداع التوقيع" واحدة من أكثر أساليب الاحتيال المفضلة لدى القراصنة في Web3. على الرغم من أن الخبراء في الصناعة والشركات الأمنية يواصلون نشر المعرفة ذات الصلة، لا يزال هناك عدد كبير من المستخدمين الذين يقعوا في الفخ يوميًا. أحد الأسباب الرئيسية وراء هذه الظاهرة هو أن معظم الناس يفتقرون إلى الفهم لآلية التفاعل مع المحفظة الأساسية، وأنه بالنسبة لغير الفنيين، فإن عتبة التعلم مرتفعة.

لمساعدة المزيد من الناس على فهم هذه المشكلة، سنقوم بشرح المنطق الأساسي لعملية الصيد بالتوقيع من خلال الرسوم التوضيحية واللغة السهلة الفهم.

أولاً، نحتاج إلى فهم أن هناك عمليتين رئيسيتين عند استخدام المحفظة: "التوقيع" و "التفاعل". ببساطة، يحدث التوقيع خارج سلسلة الكتل (خارج السلسلة)، ولا يتطلب دفع رسوم الغاز؛ بينما يحدث التفاعل على سلسلة الكتل (داخل السلسلة)، ويتطلب دفع رسوم الغاز.

تُستخدم التوقيعات عادةً للتحقق من الهوية، مثل تسجيل الدخول إلى المحفظة. عندما تتصل بـ DEX معين، تحتاج إلى توقيع لإثبات أنك مالك تلك المحفظة. هذه العملية لن تغير أي بيانات أو حالة على البلوكشين، لذا لا داعي لدفع رسوم.

بالمقارنة، تتعلق التفاعلات بعمليات على السلسلة الفعلية. على سبيل المثال، عند إجراء تبادل توكن على DEX معين، تحتاج أولاً إلى منح إذن لعقد DEX الذكي لتحريك توكن الخاص بك (المسمى "تفويض" أو "approve")، ثم تقوم بتنفيذ عملية التبادل الفعلية. كلا الخطوتين تتطلبان دفع رسوم الغاز.

بعد فهم الفرق بين التوقيع والتفاعل، دعونا نلقي نظرة على ثلاثة أنواع شائعة من عمليات الاحتيال: احتيال التفويض، احتيال توقيع التصريح، واحتيال توقيع التصريح 2.

استغلال التصيد الاحتيالي آلية التفويض (approve). قد يقوم القراصنة بإنشاء موقع تصيد يرتدي شكل مشروع NFT، ويقومون بإغراء المستخدمين للنقر على زر "استلام الإهداء". في الواقع، ستطلب هذه العملية من المستخدمين تفويض عنوان القراصنة للتصرف في توكناتهم. نظرًا لضرورة دفع رسوم الغاز، يصبح العديد من المستخدمين أكثر حذرًا عند مواجهة مثل هذه الحالات، وبالتالي يكون من السهل نسبيًا الحماية من ذلك.

من الصعب حماية توقيعات Permit وPermit2 من التصيد الاحتيالي، لأن المستخدمين اعتادوا على تسجيل الدخول إلى المحفظة بتوقيع قبل استخدام التطبيقات اللامركزية، مما يسهل تكوين "هذا الإجراء آمن" كفكرة ثابتة.

آلية التصريح هي ميزة موسعة مخولة بموجب معيار ERC-20. يقوم المستخدمون بتوقيع الموافقة للآخرين لنقل رموزهم بدلاً من إجراء عمليات تفويض مباشرة على السلسلة. يمكن للقراصنة استغلال هذه الآلية بإغراء المستخدمين لتوقيع رسائل تسمح بنقل الأصول، ثم استخدام هذا التوقيع لنقل رموز المستخدم.

Permit2 هي ميزة أطلقتها بعض منصات التداول اللامركزية لتحسين تجربة المستخدم. إنها تتيح للمستخدمين منح تفويض لمبلغ كبير مرة واحدة لعقد Permit2 الذكي، وبعد ذلك تحتاج كل عملية تداول فقط إلى توقيع، دون الحاجة لدفع رسوم الغاز مرة أخرى. ومع ذلك، إذا كان المستخدم قد استخدم هذه المنصة من قبل ومنح تفويضًا غير محدود، فقد يصبح هدفًا لعمليات الاحتيال باستخدام Permit2.

بشكل عام، يعد التصيد بالإذن طريقة تجعل المستخدمين يمنحون القراصنة إذنًا مباشرًا للتحكم في توكناتهم، بينما يعتبر التصيد بالتوقيع طريقة لخداع المستخدمين لتوقيع "ترخيص" يسمح للقراصنة بنقل الأصول.

لتجنب هذه الهجمات الاحتيالية، يمكننا اتخاذ التدابير التالية:

1. تعزيز الوعي بالأمان، يجب التحقق بعناية من تفاصيل العملية المحددة في كل مرة يتم فيها إجراء عمليات على المحفظة.

2. فصل الأموال الكبيرة عن محفظة الاستخدام اليومي لتقليل الخسائر المحتملة.

3. تعلم كيفية التعرف على تنسيق توقيع Permit و Permit2. عندما ترى طلب توقيع يحتوي على ما يلي، كن حذرًا بشكل خاص:

   • تفاعلي：رابط تفاعلي
   • المالك: عنوان المفوض
   • Spender：عنوان الجهة المخولة
   • القيمة: عدد الإذن
   • Nonce: عدد عشوائي
   • Deadline：موعد انتهاء الصلاحية

من خلال فهم هذه الآليات الأساسية واتخاذ التدابير الوقائية المناسبة، يمكننا حماية أصولنا الرقمية بشكل أفضل وتجنب أن نصبح ضحايا لعمليات التصيد الاحتيالي بالتوقيع.