في الآونة الأخيرة، أصبحت "هجمات التصيد عن طريق التوقيع" من أكثر أساليب الاحتيال المفضلة لدى قراصنة Web3. على الرغم من أن خبراء الأمان ومحافظ العملات الرقمية الكبرى يواصلون نشر المعلومات المتعلقة بهذا الموضوع، لا يزال العديد من المستخدمين يقع في الفخ يوميًا. أحد الأسباب الرئيسية وراء ذلك هو أن معظم الناس يفتقرون إلى الفهم الأساسي لمنطق التفاعل مع المحافظ، بالإضافة إلى أن مستوى التعلم مرتفع بالنسبة للأشخاص غير التقنيين.
لمساعدة المزيد من الأشخاص على فهم هذه المشكلة، ستقوم هذه المقالة بشرح المبادئ الأساسية لعملية التوقيع الاحتيالي بطريقة رسومية وسهلة الفهم، مع السعي لجعل المستخدمين غير ذوي الخلفية التقنية يفهمونها بسهولة.
أولاً، نحتاج إلى فهم أن هناك نوعين رئيسيين من العمليات عند استخدام المحفظة: التوقيع والتفاعل. ببساطة، يحدث التوقيع خارج السلسلة (خارج السلسلة)، ولا يتطلب دفع رسوم الغاز؛ بينما يحدث التفاعل على السلسلة (داخل السلسلة)، ويتطلب دفع رسوم الغاز.
تتمثل السيناريوهات النموذجية للتوقيع في التحقق من الهوية، مثل تسجيل الدخول إلى المحفظة. عندما ترغب في استخدام تطبيق لامركزي (DApp)، يجب عليك أولاً الاتصال بالمحفظة والتوقيع لإثبات أنك مالك هذه المحفظة. هذه العملية لن تؤدي إلى أي تغييرات في البيانات أو الحالة على blockchain، لذا لا حاجة لدفع أي رسوم.
بالمقارنة، يتضمن التفاعل عمليات فعلية على السلسلة. على سبيل المثال، عند إجراء تبادل الرموز على DEX معين، تحتاج أولاً إلى منح الإذن للعقد الذكي لتحريك رموزك (المعروف باسم "التفويض" أو "approve")، ثم تقوم بتنفيذ عملية التبادل الفعلية. كلا الخطوتين تتطلبان دفع رسوم الغاز.
بعد فهم الفرق بين التوقيع والتفاعل، دعونا نستكشف ثلاثة أنواع شائعة من عمليات الاحتيال: احتيال التفويض، احتيال توقيع التصريح، واحتيال توقيع التصريح 2.
تعتبر عمليات التصيد الاحتيالي المعتمدة على التفويض أسلوبًا كلاسيكيًا يستفيد من آليات التفويض. قد يقوم القراصنة بإنشاء موقع تصيد مزيف يتنكر كمشروع NFT، مما يحفز المستخدمين على النقر على زر "استلام الأيردروب". في الواقع، ستطلب هذه العملية من المستخدمين تفويض عنوان القراصنة للتصرف في رموزهم.
تعتبر عمليات التصيد باستخدام توقيع Permit و Permit2 أكثر سرية. Permit هو ميزة موسعة لمعيار ERC-20، تسمح للمستخدمين بتفويض الآخرين لنقل رموزهم من خلال التوقيع. Permit2 هو ميزة أطلقتها بعض منصات التداول اللامركزية، تهدف إلى تبسيط إجراءات المستخدم وتقليل تكاليف الغاز. على الرغم من أن هاتين الآليتين ميسرتان، إلا أنه يمكن للقراصنة استغلالهما لتنفيذ هجمات تصيد.
لمنع تصيد التوقيع، يجب على المستخدمين:
تعزيز الوعي بالأمان، يجب فحص كل عملية محفظة بعناية في كل مرة.
فصل الأموال الكبيرة عن المحفظة المستخدمة يوميًا لتقليل الخسائر المحتملة.
تعلم كيفية التعرف على تنسيق توقيع Permit و Permit2، بما في ذلك عنوان الموقع التفاعلي، عنوان الجهة المصرحة، عنوان الجهة المستفيدة، كمية التفويض، الرقم العشوائي ووقت الانتهاء وغيرها من المعلومات الأساسية.
من خلال فهم هذه المبادئ الأساسية واتخاذ الاحتياطات المناسبة، يمكن للمستخدمين حماية أصولهم الرقمية بشكل أفضل وتجنب أن يصبحوا ضحايا للاحتيال بالتوقيع.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 6
أعجبني
6
5
مشاركة
تعليق
0/400
SchrödingersNode
· 07-12 10:53
هل وقعت في الوحدة؟
شاهد النسخة الأصليةرد0
OptionWhisperer
· 07-09 17:28
البطيء تم اصطياده ست مرات هذا العام أثناء السير سقطت المحفظة
شاهد النسخة الأصليةرد0
DefiPlaybook
· 07-09 12:32
وفقًا لبيانات السلسلة في الأشهر الثلاثة الماضية، فإن هجمات التصيد الاحتيالي من هذا النوع تمثل 42.7% من خسائر Web3.
شاهد النسخة الأصليةرد0
GasFeeNightmare
· 07-09 12:26
آه، لماذا ارتفع الغاز مرة أخرى؟
شاهد النسخة الأصليةرد0
TokenEconomist
· 07-09 12:24
في الحقيقة، هذه مجرد مبادئ التشفير الأساسية 101...
تحليل مبدأ توقيع محفظة Web3: فهم المنطق الأساسي لحماية الأصول الرقمية
تحليل المنطق الأساسي لعملية تصيد توقيع Web3
في الآونة الأخيرة، أصبحت "هجمات التصيد عن طريق التوقيع" من أكثر أساليب الاحتيال المفضلة لدى قراصنة Web3. على الرغم من أن خبراء الأمان ومحافظ العملات الرقمية الكبرى يواصلون نشر المعلومات المتعلقة بهذا الموضوع، لا يزال العديد من المستخدمين يقع في الفخ يوميًا. أحد الأسباب الرئيسية وراء ذلك هو أن معظم الناس يفتقرون إلى الفهم الأساسي لمنطق التفاعل مع المحافظ، بالإضافة إلى أن مستوى التعلم مرتفع بالنسبة للأشخاص غير التقنيين.
لمساعدة المزيد من الأشخاص على فهم هذه المشكلة، ستقوم هذه المقالة بشرح المبادئ الأساسية لعملية التوقيع الاحتيالي بطريقة رسومية وسهلة الفهم، مع السعي لجعل المستخدمين غير ذوي الخلفية التقنية يفهمونها بسهولة.
أولاً، نحتاج إلى فهم أن هناك نوعين رئيسيين من العمليات عند استخدام المحفظة: التوقيع والتفاعل. ببساطة، يحدث التوقيع خارج السلسلة (خارج السلسلة)، ولا يتطلب دفع رسوم الغاز؛ بينما يحدث التفاعل على السلسلة (داخل السلسلة)، ويتطلب دفع رسوم الغاز.
تتمثل السيناريوهات النموذجية للتوقيع في التحقق من الهوية، مثل تسجيل الدخول إلى المحفظة. عندما ترغب في استخدام تطبيق لامركزي (DApp)، يجب عليك أولاً الاتصال بالمحفظة والتوقيع لإثبات أنك مالك هذه المحفظة. هذه العملية لن تؤدي إلى أي تغييرات في البيانات أو الحالة على blockchain، لذا لا حاجة لدفع أي رسوم.
بالمقارنة، يتضمن التفاعل عمليات فعلية على السلسلة. على سبيل المثال، عند إجراء تبادل الرموز على DEX معين، تحتاج أولاً إلى منح الإذن للعقد الذكي لتحريك رموزك (المعروف باسم "التفويض" أو "approve")، ثم تقوم بتنفيذ عملية التبادل الفعلية. كلا الخطوتين تتطلبان دفع رسوم الغاز.
بعد فهم الفرق بين التوقيع والتفاعل، دعونا نستكشف ثلاثة أنواع شائعة من عمليات الاحتيال: احتيال التفويض، احتيال توقيع التصريح، واحتيال توقيع التصريح 2.
تعتبر عمليات التصيد الاحتيالي المعتمدة على التفويض أسلوبًا كلاسيكيًا يستفيد من آليات التفويض. قد يقوم القراصنة بإنشاء موقع تصيد مزيف يتنكر كمشروع NFT، مما يحفز المستخدمين على النقر على زر "استلام الأيردروب". في الواقع، ستطلب هذه العملية من المستخدمين تفويض عنوان القراصنة للتصرف في رموزهم.
تعتبر عمليات التصيد باستخدام توقيع Permit و Permit2 أكثر سرية. Permit هو ميزة موسعة لمعيار ERC-20، تسمح للمستخدمين بتفويض الآخرين لنقل رموزهم من خلال التوقيع. Permit2 هو ميزة أطلقتها بعض منصات التداول اللامركزية، تهدف إلى تبسيط إجراءات المستخدم وتقليل تكاليف الغاز. على الرغم من أن هاتين الآليتين ميسرتان، إلا أنه يمكن للقراصنة استغلالهما لتنفيذ هجمات تصيد.
لمنع تصيد التوقيع، يجب على المستخدمين:
من خلال فهم هذه المبادئ الأساسية واتخاذ الاحتياطات المناسبة، يمكن للمستخدمين حماية أصولهم الرقمية بشكل أفضل وتجنب أن يصبحوا ضحايا للاحتيال بالتوقيع.