في الآونة الأخيرة، أصبحت "احتيالات التوقيع" واحدة من أكثر أساليب الاحتيال المفضلة لدى قراصنة Web3. على الرغم من أن الخبراء في الصناعة والشركات الكبرى في مجال المحفظة والأمان يقومون بشكل مستمر بتوعية المستخدمين، لا يزال هناك عدد كبير من المستخدمين يقع في الفخ. أحد الأسباب الرئيسية وراء ذلك هو أن معظم الناس يفتقرون إلى الفهم العميق لآلية التفاعل مع المحفظة، وأنه من الصعب على غير المتخصصين تعلمها.
لمساعدة المزيد من الناس على فهم هذه المشكلة، سنحاول شرح المنطق الأساسي لاصطياد التوقيعات بطريقة بسيطة وسهلة الفهم.
أولاً، نحتاج إلى فهم أن هناك نوعين رئيسيين من العمليات عند استخدام المحفظة: "التوقيع" و"التفاعل". ببساطة، يحدث التوقيع خارج سلسلة الكتل (غير متصل)، ولا يتطلب دفع رسوم الغاز؛ بينما يحدث التفاعل على سلسلة الكتل (متصل)، ويتطلب دفع رسوم الغاز.
التوقيع يُستخدم عادةً للتحقق من الهوية، مثل تسجيل الدخول إلى المحفظة. عندما ترغب في تبادل الرموز على أي DEX، تحتاج أولاً إلى ربط المحفظة، وفي هذه المرحلة تحتاج إلى توقيع لإثبات أنك مالك هذه المحفظة. هذه العملية لن تُحدث أي بيانات أو تغييرات في الحالة على البلوكشين، لذا لا حاجة لدفع رسوم.
التفاعل يحدث عند إجراء تبادل الرموز فعليًا. تحتاج أولاً إلى دفع رسوم، وإخبار العقد الذكي: "أوافق على أنك تستطيع استخدام 100 USDT الخاصة بي"، وتسمى هذه الخطوة التفويض (approve). ثم تحتاج إلى دفع رسوم أخرى، وإخبار العقد الذكي: "الآن، يرجى تنفيذ عملية التبادل"، لإتمام المعاملة.
بعد فهم الفرق بين التوقيع والتفاعل، دعونا نقدم ثلاث طرق شائعة للصيد الاحتيالي: الصيد الاحتيالي من خلال التفويض، وتوقيع Permit، وتوقيع Permit2.
التصيد المصرح به هو واحد من أكثر أساليب الاحتيال كلاسيكية في Web3. يقوم المخترقون بإنشاء موقع تصيد يتنكر كمشروع NFT، مما يجذب المستخدمين للنقر على زر "استلام الإطلاق المجاني". في الواقع، فإن واجهة المحفظة التي تظهر بعد النقر تهدف إلى منح المخترقين الحق في استخدام رموز المستخدم. بمجرد أن يؤكد المستخدم، يمكن للمخترق أن ينجح في سرقة الأصول.
ومع ذلك، فإن لصوص التصريح لديهم نقطة ضعف: نظرًا لأنهم يحتاجون إلى دفع رسوم الغاز، فإن العديد من المستخدمين يصبحون أكثر حذرًا عند إجراء عمليات مالية، مما يجعل من السهل نسبيًا الوقاية منها.
تعتبر عمليات التصيد الاحتيالي لتوقيع Permit وPermit2 من أكبر مشكلات أمان الأصول في Web3 في الوقت الحالي. السبب في صعوبة الحماية من هاتين الطريقتين هو أنه يجب على المستخدمين توقيع الدخول إلى المحفظة عند استخدام DApp. لقد تشكل لدى العديد من الأشخاص التفكير المعتاد "هذا الإجراء آمن"، بالإضافة إلى عدم الحاجة لدفع أي رسوم، وعدم فهم معظم الأشخاص لمعاني كل توقيع.
آلية Permit هي وظيفة موسعة مصرح بها بموجب معيار ERC-20. ببساطة، يمكنك من خلال التوقيع منح الآخرين إذنًا لاستخدام رموزك. على عكس التفويض (Approve)، فإن Permit هو أنك توقع على "ورقة"، مما يسمح لشخص ما باستخدام رموزك. الشخص الذي يحمل هذه "الورقة" يمكنه دفع رسوم الغاز إلى العقد الذكي، ليخبر العقد: "هو يسمح لي باستخدام رموزه"، وبالتالي نقل أصولك. في هذه العملية، أنت فقط وقعت، لكنك في الواقع سمحت للآخرين باستدعاء التفويض (Approve) ونقل رموزك.
Permit2 ليست ميزة من ERC-20، بل هي وظيفة قدمتها بعض منصات التداول اللامركزية لتسهيل الأمر على المستخدمين. إنها تسمح للمستخدمين بتفويض مبلغ كبير دفعة واحدة لعقد Permit2 الذكي، وبعد ذلك يتطلب الأمر توقيعًا فقط في كل عملية تداول، دون الحاجة لتفويض مرة أخرى. هذا يمكن أن يوفر رسوم الغاز للمستخدمين، ولكنه يزيد أيضًا من مخاطر الأمان.
لمنع هجمات التصيد عبر التوقيع، يمكننا اتخاذ التدابير التالية:
تعزيز الوعي الأمني، يجب فحص محتوى العملية بعناية في كل مرة يتم فيها إجراء عمليات على المحفظة.
فصل الأموال الكبيرة عن المحفظة المستخدمة يومياً لتقليل الخسائر المحتملة.
تعلم كيفية التعرف على تنسيق توقيع Permit وPermit2. عندما ترى توقيعًا يحتوي على المعلومات التالية، يجب أن تكون حذرًا للغاية:
تفاعلي: رابط تفاعلي
Owner:عنوان الجهة المصرح لها
Spender: عنوان الشخص المخول
القيمة: عدد التفويضات
Nonce:رقم عشوائي
Deadline:موعد انتهاء الصلاحية
من خلال فهم هذه المنطق الأساسية واتخاذ التدابير الوقائية المناسبة، يمكننا حماية أصولنا في Web3 بشكل أفضل.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 7
أعجبني
7
4
مشاركة
تعليق
0/400
MetaverseLandlord
· 07-19 17:06
السجن أفضل من داخل السلسلة
شاهد النسخة الأصليةرد0
pumpamentalist
· 07-19 16:56
الذي أخذ عملتك هو توقيع واحد فقط
شاهد النسخة الأصليةرد0
MonkeySeeMonkeyDo
· 07-19 16:50
مبتدئ لا تلعب بالتوقيع بعد..
شاهد النسخة الأصليةرد0
faded_wojak.eth
· 07-19 16:47
اللاعبون المبتدئون ، الذين ينخدعون كل يوم ، يرسل الجميع بسرعة بعض النصائح
تفسير احتيال توقيع Web3: استراتيجيات التفويض، ومصيدة التصريح وPermit2 وطرق الحماية منها
تحليل المنطق الأساسي للاحتيال بالتوقيع في Web3
في الآونة الأخيرة، أصبحت "احتيالات التوقيع" واحدة من أكثر أساليب الاحتيال المفضلة لدى قراصنة Web3. على الرغم من أن الخبراء في الصناعة والشركات الكبرى في مجال المحفظة والأمان يقومون بشكل مستمر بتوعية المستخدمين، لا يزال هناك عدد كبير من المستخدمين يقع في الفخ. أحد الأسباب الرئيسية وراء ذلك هو أن معظم الناس يفتقرون إلى الفهم العميق لآلية التفاعل مع المحفظة، وأنه من الصعب على غير المتخصصين تعلمها.
لمساعدة المزيد من الناس على فهم هذه المشكلة، سنحاول شرح المنطق الأساسي لاصطياد التوقيعات بطريقة بسيطة وسهلة الفهم.
أولاً، نحتاج إلى فهم أن هناك نوعين رئيسيين من العمليات عند استخدام المحفظة: "التوقيع" و"التفاعل". ببساطة، يحدث التوقيع خارج سلسلة الكتل (غير متصل)، ولا يتطلب دفع رسوم الغاز؛ بينما يحدث التفاعل على سلسلة الكتل (متصل)، ويتطلب دفع رسوم الغاز.
التوقيع يُستخدم عادةً للتحقق من الهوية، مثل تسجيل الدخول إلى المحفظة. عندما ترغب في تبادل الرموز على أي DEX، تحتاج أولاً إلى ربط المحفظة، وفي هذه المرحلة تحتاج إلى توقيع لإثبات أنك مالك هذه المحفظة. هذه العملية لن تُحدث أي بيانات أو تغييرات في الحالة على البلوكشين، لذا لا حاجة لدفع رسوم.
التفاعل يحدث عند إجراء تبادل الرموز فعليًا. تحتاج أولاً إلى دفع رسوم، وإخبار العقد الذكي: "أوافق على أنك تستطيع استخدام 100 USDT الخاصة بي"، وتسمى هذه الخطوة التفويض (approve). ثم تحتاج إلى دفع رسوم أخرى، وإخبار العقد الذكي: "الآن، يرجى تنفيذ عملية التبادل"، لإتمام المعاملة.
بعد فهم الفرق بين التوقيع والتفاعل، دعونا نقدم ثلاث طرق شائعة للصيد الاحتيالي: الصيد الاحتيالي من خلال التفويض، وتوقيع Permit، وتوقيع Permit2.
التصيد المصرح به هو واحد من أكثر أساليب الاحتيال كلاسيكية في Web3. يقوم المخترقون بإنشاء موقع تصيد يتنكر كمشروع NFT، مما يجذب المستخدمين للنقر على زر "استلام الإطلاق المجاني". في الواقع، فإن واجهة المحفظة التي تظهر بعد النقر تهدف إلى منح المخترقين الحق في استخدام رموز المستخدم. بمجرد أن يؤكد المستخدم، يمكن للمخترق أن ينجح في سرقة الأصول.
ومع ذلك، فإن لصوص التصريح لديهم نقطة ضعف: نظرًا لأنهم يحتاجون إلى دفع رسوم الغاز، فإن العديد من المستخدمين يصبحون أكثر حذرًا عند إجراء عمليات مالية، مما يجعل من السهل نسبيًا الوقاية منها.
تعتبر عمليات التصيد الاحتيالي لتوقيع Permit وPermit2 من أكبر مشكلات أمان الأصول في Web3 في الوقت الحالي. السبب في صعوبة الحماية من هاتين الطريقتين هو أنه يجب على المستخدمين توقيع الدخول إلى المحفظة عند استخدام DApp. لقد تشكل لدى العديد من الأشخاص التفكير المعتاد "هذا الإجراء آمن"، بالإضافة إلى عدم الحاجة لدفع أي رسوم، وعدم فهم معظم الأشخاص لمعاني كل توقيع.
آلية Permit هي وظيفة موسعة مصرح بها بموجب معيار ERC-20. ببساطة، يمكنك من خلال التوقيع منح الآخرين إذنًا لاستخدام رموزك. على عكس التفويض (Approve)، فإن Permit هو أنك توقع على "ورقة"، مما يسمح لشخص ما باستخدام رموزك. الشخص الذي يحمل هذه "الورقة" يمكنه دفع رسوم الغاز إلى العقد الذكي، ليخبر العقد: "هو يسمح لي باستخدام رموزه"، وبالتالي نقل أصولك. في هذه العملية، أنت فقط وقعت، لكنك في الواقع سمحت للآخرين باستدعاء التفويض (Approve) ونقل رموزك.
Permit2 ليست ميزة من ERC-20، بل هي وظيفة قدمتها بعض منصات التداول اللامركزية لتسهيل الأمر على المستخدمين. إنها تسمح للمستخدمين بتفويض مبلغ كبير دفعة واحدة لعقد Permit2 الذكي، وبعد ذلك يتطلب الأمر توقيعًا فقط في كل عملية تداول، دون الحاجة لتفويض مرة أخرى. هذا يمكن أن يوفر رسوم الغاز للمستخدمين، ولكنه يزيد أيضًا من مخاطر الأمان.
لمنع هجمات التصيد عبر التوقيع، يمكننا اتخاذ التدابير التالية:
تعزيز الوعي الأمني، يجب فحص محتوى العملية بعناية في كل مرة يتم فيها إجراء عمليات على المحفظة.
فصل الأموال الكبيرة عن المحفظة المستخدمة يومياً لتقليل الخسائر المحتملة.
تعلم كيفية التعرف على تنسيق توقيع Permit وPermit2. عندما ترى توقيعًا يحتوي على المعلومات التالية، يجب أن تكون حذرًا للغاية:
من خلال فهم هذه المنطق الأساسية واتخاذ التدابير الوقائية المناسبة، يمكننا حماية أصولنا في Web3 بشكل أفضل.