اتجاهات جديدة في احتيال البلوكتشين: العقود الذكية تصبح أداة للهجوم
تعمل العملات المشفرة وتقنية البلوكتشين على إعادة تشكيل المشهد المالي، لكنها تخلق أيضًا نوعًا جديدًا من التهديدات. لم يعد المحتالون يعتمدون فقط على ثغرات تقنية، بل يحولون بروتوكولات العقود الذكية للبلوكتشين نفسها إلى أدوات هجوم. من خلال فخاخ هندسية اجتماعية مصممة بعناية، يستغلون شفافية البلوكتشين وعدم القابلية للتراجع، مما يحول ثقة المستخدمين إلى أداة لسرقة الأصول. من تزوير العقود الذكية إلى التلاعب بالمعاملات عبر السلاسل، لا تقتصر هذه الهجمات على كونها خفية وصعبة المتابعة، بل تصبح أكثر خداعًا بسبب غلافها "الشرعي".
1. كيف أصبحت العقود الذكية أداة احتيال؟
يجب أن تضمن بروتوكولات البلوكتشين الأمان والثقة، ولكن المحتالين يستغلون ميزاتها، مع دمج إهمال المستخدمين، لإنشاء طرق هجوم سرية متعددة. فيما يلي بعض الأساليب الشائعة وتفاصيلها التقنية:
(1) تفويض العقود الذكية الضارة
المبدأ التقني:
معيار رموز ERC-20 يسمح للمستخدمين بتفويض طرف ثالث لسحب كمية معينة من الرموز من محفظتهم من خلال وظيفة "Approve". يستغل المحتالون هذه الآلية لتصميم عقود خبيثة.
طريقة العمل:
قام المحتالون بإنشاء DApp متخفية في شكل مشاريع شرعية، مما يدفع المستخدمين لمنح الأذونات. يبدو ظاهريًا أنه يتم منح أذونات لعدد قليل من الرموز، لكن في الواقع قد تكون هناك حدود غير محدودة. بمجرد الانتهاء من منح الإذن، يمكن للمحتالين سحب جميع الرموز المقابلة من محفظة المستخدم في أي وقت.
حالة:
في أوائل عام 2023، أدى موقع تصيد انتحل صفة ترقية معينة لـ DEX إلى خسارة مئات المستخدمين لملايين الدولارات من USDT و ETH. كانت هذه المعاملات متوافقة تمامًا مع معيار ERC-20، مما جعل من الصعب على الضحايا استرداد أصولهم.
(2) توقيع الصيد
المبادئ التقنية:
تتطلب معاملات البلوكتشين من المستخدمين إنشاء توقيع باستخدام المفتاح الخاص. يستغل المحتالون هذه العملية لتزوير طلبات التوقيع وسرقة الأصول.
طريقة العمل:
تلقى المستخدم رسالة مت disguised كإشعار رسمي، وتم توجيهه إلى موقع ضار لتوقيع "التحقق من الصفقة". قد تقوم هذه الصفقة في الواقع بنقل أصول المستخدم مباشرة أو تفويض المحتالين بالتحكم في NFT للمستخدم.
مثال:
تعرض مجتمع مشروع NFT معروف لهجوم تصيد توقيع، حيث فقد العديد من المستخدمين NFTs بقيمة ملايين الدولارات بسبب توقيعهم على معاملات "استلام إيردروب" المزيفة.
(3) رموز مزيفة و"هجوم الغبار"
المبادئ التقنية:
يستخدم المحتالون شفافية البلوكتشين لإرسال كميات صغيرة من العملات المشفرة إلى عدة عناوين محفظة، لمتابعة أنشطة المحفظة وربط المعلومات الشخصية.
طريقة العمل:
يقدم المحتالون رموز "الغبار" على شكل توزيع مجاني، مما يدفع المستخدمين إلى زيارة موقع معين للتحقق من التفاصيل. من خلال تحليل معاملات المستخدمين اللاحقة، يتم تحديد عناوين المحافظ النشطة لتنفيذ عمليات احتيال أكثر دقة.
حالة:
ظهرت في شبكة الإيثيريوم هجمات "غبار GAS" التي أثرت على آلاف المحافظ. بعض المستخدمين فقدوا ETH و ERC-20 tokens بسبب فضولهم في التفاعل.
ثانياً، لماذا يصعب اكتشاف هذه الاحتيالات؟
تنجح هذه الاحتيالات بشكل رئيسي لأنها مخفية في آليات البلوكتشين الشرعية، مما يجعل من الصعب على المستخدمين العاديين التمييز بين طبيعتها الخبيثة. الأسباب الرئيسية تشمل:
تعقيد التكنولوجيا: شفرة العقود الذكية وطلبات التوقيع غير واضحة للمستخدمين غير التقنيين.
الشرعية على البلوكتشين: يتم تسجيل جميع المعاملات على البلوكتشين، وبالرغم من أنها تبدو شفافة، إلا أن الضحايا غالباً ما يدركون عواقب التفويض أو التوقيع بعد فوات الأوان.
الهندسة الاجتماعية: يستغل المحتالون نقاط ضعف الطبيعة البشرية، مثل الجشع والخوف أو الثقة.
التمويه المتقن: قد تستخدم مواقع التصيد URLs مشابهة للاسم الرسمي، وحتى تزيد من مصداقيتها من خلال شهادات HTTPS.
٣. كيف تحمي محفظة العملات المشفرة الخاصة بك؟
في مواجهة هذه الاحتيالات التي تجمع بين الحرب النفسية والتقنية، تحتاج حماية الأصول إلى استراتيجيات متعددة المستويات:
تحقق من إدارة أذونات التفويض
استخدم أداة التحقق من التفويض في متصفح البلوكتشين لفحص سجلات تفويض المحفظة بشكل دوري.
إلغاء التفويضات غير الضرورية، خاصةً التفويضات غير المحدودة للعناوين غير المعروفة.
تأكد من أن مصدر DApp موثوق قبل كل تفويض.
تحقق من الرابط والمصدر
أدخل عنوان URL الرسمي يدويًا، وتجنب النقر على الروابط في وسائل التواصل الاجتماعي أو البريد الإلكتروني.
تأكد من استخدام اسم النطاق وشهادة SSL الصحيحة للموقع.
احترس من الأخطاء الإملائية أو الأحرف الزائدة في أسماء النطاقات.
استخدام المحفظة الباردة والتوقيعات المتعددة
قم بتخزين معظم الأصول في محفظة الأجهزة، واصنع اتصالًا بالشبكة فقط عند الضرورة.
بالنسبة للأصول الكبيرة، استخدم أدوات التوقيع المتعدد، واطلب تأكيد المعاملات من عدة مفاتيح.
تعامل بحذر مع طلبات التوقيع
عند كل توقيع، اقرأ بعناية تفاصيل الصفقة في نافذة المحفظة المنبثقة.
استخدم وظيفة فك التشفير في متصفح البلوكتشين لتحليل محتوى التوقيع.
إنشاء محفظة مستقلة للعمليات عالية المخاطر، وتخزين كمية صغيرة من الأصول.
مواجهة هجوم الغبار
عند استلام رموز غير معروفة، لا تتفاعل معها. قم بتصنيفها على أنها "بريد مزعج" أو قم بإخفائها.
تأكد من مصدر الرمز المميز من خلال متصفح البلوكتشين، وكن حذرًا من الإرسال الجماعي.
تجنب الكشف عن عنوان المحفظة، أو استخدام عنوان جديد للقيام بعمليات حساسة.
الخاتمة
من خلال تنفيذ التدابير الأمنية المذكورة أعلاه، يمكن للمستخدمين تقليل بشكل كبير من خطر أن يصبحوا ضحايا لخطط الاحتيال المتقدمة. ومع ذلك، فإن الأمان الحقيقي لا يعتمد فقط على الحماية التقنية، بل يتطلب أيضًا من المستخدمين فهم منطق التفويض والحرص على السلوك على البلوكتشين. كل تحليل للبيانات قبل التوقيع، وكل مراجعة للصلاحيات بعد التفويض، هي عبارة عن قسم على السيادة الرقمية الخاصة بهم.
في المستقبل، بغض النظر عن كيفية تطور التكنولوجيا، ستظل الخط الدفاعي الأكثر أهمية هي: تحويل الوعي بالأمان إلى عادة، والحفاظ على التوازن بين الثقة والتحقق. في عالم البلوكتشين، يتم تسجيل كل نقرة، وكل معاملة بشكل دائم، ولا يمكن تغييرها. لذلك، من الضروري تنمية وعي الأمان وعادات التشغيل الحذرة.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
اتجاهات جديدة في احتيال العقود الذكية: فخاخ أمان البلوكتشين واستراتيجيات الحماية
اتجاهات جديدة في احتيال البلوكتشين: العقود الذكية تصبح أداة للهجوم
تعمل العملات المشفرة وتقنية البلوكتشين على إعادة تشكيل المشهد المالي، لكنها تخلق أيضًا نوعًا جديدًا من التهديدات. لم يعد المحتالون يعتمدون فقط على ثغرات تقنية، بل يحولون بروتوكولات العقود الذكية للبلوكتشين نفسها إلى أدوات هجوم. من خلال فخاخ هندسية اجتماعية مصممة بعناية، يستغلون شفافية البلوكتشين وعدم القابلية للتراجع، مما يحول ثقة المستخدمين إلى أداة لسرقة الأصول. من تزوير العقود الذكية إلى التلاعب بالمعاملات عبر السلاسل، لا تقتصر هذه الهجمات على كونها خفية وصعبة المتابعة، بل تصبح أكثر خداعًا بسبب غلافها "الشرعي".
1. كيف أصبحت العقود الذكية أداة احتيال؟
يجب أن تضمن بروتوكولات البلوكتشين الأمان والثقة، ولكن المحتالين يستغلون ميزاتها، مع دمج إهمال المستخدمين، لإنشاء طرق هجوم سرية متعددة. فيما يلي بعض الأساليب الشائعة وتفاصيلها التقنية:
(1) تفويض العقود الذكية الضارة
المبدأ التقني: معيار رموز ERC-20 يسمح للمستخدمين بتفويض طرف ثالث لسحب كمية معينة من الرموز من محفظتهم من خلال وظيفة "Approve". يستغل المحتالون هذه الآلية لتصميم عقود خبيثة.
طريقة العمل: قام المحتالون بإنشاء DApp متخفية في شكل مشاريع شرعية، مما يدفع المستخدمين لمنح الأذونات. يبدو ظاهريًا أنه يتم منح أذونات لعدد قليل من الرموز، لكن في الواقع قد تكون هناك حدود غير محدودة. بمجرد الانتهاء من منح الإذن، يمكن للمحتالين سحب جميع الرموز المقابلة من محفظة المستخدم في أي وقت.
حالة: في أوائل عام 2023، أدى موقع تصيد انتحل صفة ترقية معينة لـ DEX إلى خسارة مئات المستخدمين لملايين الدولارات من USDT و ETH. كانت هذه المعاملات متوافقة تمامًا مع معيار ERC-20، مما جعل من الصعب على الضحايا استرداد أصولهم.
(2) توقيع الصيد
المبادئ التقنية: تتطلب معاملات البلوكتشين من المستخدمين إنشاء توقيع باستخدام المفتاح الخاص. يستغل المحتالون هذه العملية لتزوير طلبات التوقيع وسرقة الأصول.
طريقة العمل: تلقى المستخدم رسالة مت disguised كإشعار رسمي، وتم توجيهه إلى موقع ضار لتوقيع "التحقق من الصفقة". قد تقوم هذه الصفقة في الواقع بنقل أصول المستخدم مباشرة أو تفويض المحتالين بالتحكم في NFT للمستخدم.
مثال: تعرض مجتمع مشروع NFT معروف لهجوم تصيد توقيع، حيث فقد العديد من المستخدمين NFTs بقيمة ملايين الدولارات بسبب توقيعهم على معاملات "استلام إيردروب" المزيفة.
(3) رموز مزيفة و"هجوم الغبار"
المبادئ التقنية: يستخدم المحتالون شفافية البلوكتشين لإرسال كميات صغيرة من العملات المشفرة إلى عدة عناوين محفظة، لمتابعة أنشطة المحفظة وربط المعلومات الشخصية.
طريقة العمل: يقدم المحتالون رموز "الغبار" على شكل توزيع مجاني، مما يدفع المستخدمين إلى زيارة موقع معين للتحقق من التفاصيل. من خلال تحليل معاملات المستخدمين اللاحقة، يتم تحديد عناوين المحافظ النشطة لتنفيذ عمليات احتيال أكثر دقة.
حالة: ظهرت في شبكة الإيثيريوم هجمات "غبار GAS" التي أثرت على آلاف المحافظ. بعض المستخدمين فقدوا ETH و ERC-20 tokens بسبب فضولهم في التفاعل.
ثانياً، لماذا يصعب اكتشاف هذه الاحتيالات؟
تنجح هذه الاحتيالات بشكل رئيسي لأنها مخفية في آليات البلوكتشين الشرعية، مما يجعل من الصعب على المستخدمين العاديين التمييز بين طبيعتها الخبيثة. الأسباب الرئيسية تشمل:
تعقيد التكنولوجيا: شفرة العقود الذكية وطلبات التوقيع غير واضحة للمستخدمين غير التقنيين.
الشرعية على البلوكتشين: يتم تسجيل جميع المعاملات على البلوكتشين، وبالرغم من أنها تبدو شفافة، إلا أن الضحايا غالباً ما يدركون عواقب التفويض أو التوقيع بعد فوات الأوان.
الهندسة الاجتماعية: يستغل المحتالون نقاط ضعف الطبيعة البشرية، مثل الجشع والخوف أو الثقة.
التمويه المتقن: قد تستخدم مواقع التصيد URLs مشابهة للاسم الرسمي، وحتى تزيد من مصداقيتها من خلال شهادات HTTPS.
٣. كيف تحمي محفظة العملات المشفرة الخاصة بك؟
في مواجهة هذه الاحتيالات التي تجمع بين الحرب النفسية والتقنية، تحتاج حماية الأصول إلى استراتيجيات متعددة المستويات:
تحقق من إدارة أذونات التفويض
تحقق من الرابط والمصدر
استخدام المحفظة الباردة والتوقيعات المتعددة
تعامل بحذر مع طلبات التوقيع
مواجهة هجوم الغبار
الخاتمة
من خلال تنفيذ التدابير الأمنية المذكورة أعلاه، يمكن للمستخدمين تقليل بشكل كبير من خطر أن يصبحوا ضحايا لخطط الاحتيال المتقدمة. ومع ذلك، فإن الأمان الحقيقي لا يعتمد فقط على الحماية التقنية، بل يتطلب أيضًا من المستخدمين فهم منطق التفويض والحرص على السلوك على البلوكتشين. كل تحليل للبيانات قبل التوقيع، وكل مراجعة للصلاحيات بعد التفويض، هي عبارة عن قسم على السيادة الرقمية الخاصة بهم.
في المستقبل، بغض النظر عن كيفية تطور التكنولوجيا، ستظل الخط الدفاعي الأكثر أهمية هي: تحويل الوعي بالأمان إلى عادة، والحفاظ على التوازن بين الثقة والتحقق. في عالم البلوكتشين، يتم تسجيل كل نقرة، وكل معاملة بشكل دائم، ولا يمكن تغييرها. لذلك، من الضروري تنمية وعي الأمان وعادات التشغيل الحذرة.