مخاطر الأمان في عالم البلوكتشين: تحليل أساليب الاحتيال في العقود الذكية
تقوم العملات الرقمية وتقنية البلوكتشين بإعادة تشكيل المجال المالي، لكن هذه الثورة جلبت أيضًا تحديات أمنية جديدة. لم يعد المحتالون مقتصرين على استغلال الثغرات التقنية، بل قاموا بتحويل بروتوكولات العقود الذكية الخاصة بالبلوكتشين نفسها إلى أدوات للهجوم. من خلال الفخاخ الاجتماعية المصممة بعناية، يستغلون شفافية البلوكتشين وعدم قابليته للعكس، محولين ثقة المستخدمين إلى وسيلة لسرقة الأصول. من تزوير العقود الذكية إلى التلاعب بالمعاملات عبر السلاسل، هذه الهجمات ليست فقط خفية وصعبة الاكتشاف، بل تصبح أكثر خداعًا بسبب مظهرها "الشرعي". ستقوم هذه المقالة من خلال تحليل الأمثلة، بكشف كيفية تحويل المحتالين للبروتوكولات إلى وسيلة للهجوم، وتقديم حلول شاملة من الحماية التقنية إلى الوقاية السلوكية، لمساعدة المستخدمين على السير بأمان في عالم لامركزي.
1. كيف أصبحت الاتفاقية أداة احتيال؟
يجب أن تضمن بروتوكولات البلوكتشين الأمان والثقة، ولكن المحتالين يستغلون ميزاتها، مع دمج إهمال المستخدمين، لإنشاء طرق هجوم خفية متعددة. فيما يلي بعض الأساليب وتفاصيلها الفنية:
(1) تفويض العقود الذكية الخبيثة
المبادئ التقنية:
على بلوكتشين مثل الإيثيريوم، يسمح معيار ERC-20 للمستخدمين بتفويض طرف ثالث (عادةً ما يكون عقد ذكي) من محفظتهم لسحب كمية محددة من الرموز من خلال وظيفة "Approve". تُستخدم هذه الوظيفة على نطاق واسع في بروتوكولات DeFi، حيث يحتاج المستخدمون إلى تفويض العقود الذكية لإجراء المعاملات أو الرهن أو تعدين السيولة. ومع ذلك، يستغل المحتالون هذه الآلية لتصميم عقود خبيثة.
طريقة التشغيل:
ينشئ المحتالون تطبيقًا لامركزيًا يتنكر كمشروع شرعي، وغالبًا ما يتم الترويج له من خلال مواقع التصيد أو وسائل التواصل الاجتماعي. يقوم المستخدمون بربط محفظتهم ويتم إغراؤهم بالنقر على "Approve"، في الظاهر هو تفويض لعدد قليل من الرموز، ولكن في الواقع قد يكون بسقف غير محدود (قيمة uint256.max). بمجرد انتهاء التفويض، يحصل عنوان عقد المحتالين على الإذن لاستدعاء وظيفة "TransferFrom" في أي وقت، وسحب جميع الرموز المقابلة من محفظة المستخدم.
حالة:
في بداية عام 2023، أدى موقع تصيد انتحل صفة "ترقية Uniswap V3" إلى خسارة مئات المستخدمين لملايين الدولارات من USDT وETH. تُظهر البيانات على السلسلة أن هذه المعاملات تتوافق تمامًا مع معيار ERC-20، مما يجعل من الصعب على الضحايا استعادة أموالهم من خلال الوسائل القانونية، لأن التفويض تم توقيعه طواعية.
(2) توقيع الاحتيال
مبادئ التقنية:
تتطلب معاملات البلوكتشين من المستخدمين إنشاء توقيع باستخدام المفتاح الخاص لإثبات شرعية المعاملة. عادةً ما تظهر المحفظة طلب توقيع، وبعد تأكيد المستخدم، يتم بث المعاملة إلى الشبكة. يستغل المحتالون هذه العملية لتزوير طلبات التوقيع وسرقة الأصول.
طريقة العمل:
تلقى المستخدم بريدًا إلكترونيًا أو رسالة تتنكر على أنها إشعار رسمي، مثل "انتظار استلام إيردروب NFT الخاص بك، يرجى التحقق من المحفظة". بعد النقر على الرابط، يتم توجيه المستخدم إلى موقع ويب ضار، يطلب منه ربط المحفظة وتوقيع "معاملة التحقق". قد تكون هذه المعاملة في الواقع استدعاء لوظيفة "Transfer"، تنقل مباشرة ETH أو الرموز من المحفظة إلى عنوان المحتال؛ أو عملية "SetApprovalForAll"، لتفويض المحتال بالتحكم في مجموعة NFT الخاصة بالمستخدم.
حالة:
تعرض مجتمع مشروع NFT مشهور لهجوم تصيد عبر التوقيع، حيث فقد العديد من المستخدمين NFTs تقدر قيمتها بملايين الدولارات بسبب توقيعهم على معاملات "استلام التوزيع المجاني" المزورة. استغل المهاجمون معيار التوقيع EIP-712، وقاموا بتزوير طلبات تبدو آمنة.
(3) الرموز المميزة المزيفة و"هجوم الغبار"
المبادئ التقنية:
تسمح شفافية البلوكتشين لأي شخص بإرسال رموز إلى أي عنوان، حتى إذا لم يطلب المستلم ذلك بشكل نشط. يستغل المحتالون هذه النقطة من خلال إرسال كميات صغيرة من العملات المشفرة إلى عدة عناوين محفظة، لتتبع نشاط المحفظة وربطها بالأفراد أو الشركات المالكة للمحفظة.
كيفية العمل:
يُرسل المهاجمون كميات صغيرة من رموز "الغبار" إلى عدد كبير من العناوين، وقد تحمل هذه الرموز أسماء أو بيانات وصفية مغرية. قد يشعر المستخدمون بالفضول للاستعلام عنها أو محاولة استبدال هذه الرموز، مما يكشف المزيد من معلومات المحفظة. يقوم المهاجمون بتحليل المعاملات اللاحقة لتحديد عناوين المحافظ النشطة للمستخدمين، وتنفيذ عمليات الاحتيال بشكل أكثر دقة.
حالة:
ظهرت هجمات "غبار الغاز" على شبكة الإيثيريوم، مما أثر على آلاف المحفظات. فقد بعض المستخدمين بسبب فضولهم في التفاعل، خسائر في ETH وERC-20.
ثانياً، لماذا يصعب اكتشاف هذه الحيل؟
تنجح هذه الاحتيالات إلى حد كبير لأنها مخفية داخل آليات البلوكتشين القانونية، مما يجعل من الصعب على المستخدمين العاديين التمييز بين طبيعتها الخبيثة. تشمل الأسباب الرئيسية ما يلي:
تعقيد التكنولوجيا: إن كود العقود الذكية وطلبات التوقيع يصعب فهمها على المستخدمين غير التقنيين.
الشرعية على البلوكتشين: جميع المعاملات مسجلة على البلوكتشين، وتبدو شفافة، لكن الضحايا غالباً ما يدركون عواقب التفويض أو التوقيع بعد حدوث ذلك.
الهندسة الاجتماعية: يستغل المحتالون نقاط الضعف البشرية، مثل الجشع أو الخوف أو الثقة.
التخفي الذكي: قد تستخدم مواقع التصيد URLs مشابهة للاسم الرسمي للنطاق، بل وحتى تعزز المصداقية من خلال شهادات HTTPS.
٣. كيف تحمي محفظة العملات المشفرة الخاصة بك؟
في مواجهة هذه الحيل التي تتواجد فيها الحروب النفسية والتقنية، فإن حماية الأصول تتطلب استراتيجيات متعددة المستويات:
تحقق من وإدارة أذونات التفويض
استخدم أداة فحص التفويض لفحص سجل التفويضات في المحفظة بانتظام.
إلغاء التفويضات غير الضرورية، خاصةً التفويضات غير المحدودة للعناوين غير المعروفة.
تأكد من أن DApp يأتي من مصدر موثوق قبل كل ترخيص.
تحقق من الرابط والمصدر
أدخل عنوان URL الرسمي يدويًا، وتجنب النقر على الروابط في وسائل التواصل الاجتماعي أو البريد الإلكتروني.
تأكد من أن الموقع يستخدم اسم النطاق وشهادة SSL الصحيحة.
احذر من الأخطاء الإملائية أو الأحرف الزائدة في أسماء النطاقات.
استخدام المحفظة الباردة والتوقيع المتعدد
الاحتفاظ بمعظم الأصول في محفظة الأجهزة، والتوصيل بالإنترنت عند الحاجة فقط.
بالنسبة للأصول الكبيرة، استخدم أدوات التوقيع المتعدد، واطلب تأكيد المعاملات من عدة مفاتيح.
تعامل بحذر مع طلبات التوقيع
اقرأ تفاصيل المعاملة بعناية في نافذة المحفظة.
استخدم وظيفة فك التشفير لمتصفح البلوكتشين لتحليل محتوى التوقيع، أو استشر خبيرًا تقنيًا.
لإنشاء محفظة مستقلة للعمليات عالية المخاطر، قم بتخزين كمية صغيرة من الأصول.
مواجهة هجوم الغبار
بعد استلام رموز غير معروفة، لا تتفاعل معها. قم بتمييزها كـ"بريد مزعج" أو إخفائها.
تأكد من مصدر الرمز من خلال متصفح البلوكتشين، احذر من الإرسال بالجملة.
تجنب الكشف عن عنوان المحفظة، أو استخدام عنوان جديد للعمليات الحساسة.
الخاتمة
يمكن أن تؤدي تنفيذ التدابير الأمنية المذكورة أعلاه إلى تقليل خطر أن تصبح ضحية لخطط الاحتيال المتقدمة بشكل كبير. ومع ذلك، فإن الأمان الحقيقي لا يعتمد فقط على الحماية التقنية، بل يتطلب أيضًا فهم المستخدم للمنطق التفويضي وحرصه على سلوكياته على البلوكتشين. كل تحليل للبيانات قبل التوقيع، وكل مراجعة للصلاحيات بعد التفويض، هي بمثابة الحفاظ على سيادته الرقمية.
في عالم البلوكتشين حيث الكود هو القانون، يتم تسجيل كل نقرة، وكل صفقة بشكل دائم، ولا يمكن تغييرها. لذلك، فإن جعل الوعي بالأمان عادة، والحفاظ على التوازن بين الثقة والتحقق، هو المفتاح لحماية الأصول الرقمية.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
العقود الذكية诈骗新手法:بروتوكول沦为攻击工具 如何防范?
مخاطر الأمان في عالم البلوكتشين: تحليل أساليب الاحتيال في العقود الذكية
تقوم العملات الرقمية وتقنية البلوكتشين بإعادة تشكيل المجال المالي، لكن هذه الثورة جلبت أيضًا تحديات أمنية جديدة. لم يعد المحتالون مقتصرين على استغلال الثغرات التقنية، بل قاموا بتحويل بروتوكولات العقود الذكية الخاصة بالبلوكتشين نفسها إلى أدوات للهجوم. من خلال الفخاخ الاجتماعية المصممة بعناية، يستغلون شفافية البلوكتشين وعدم قابليته للعكس، محولين ثقة المستخدمين إلى وسيلة لسرقة الأصول. من تزوير العقود الذكية إلى التلاعب بالمعاملات عبر السلاسل، هذه الهجمات ليست فقط خفية وصعبة الاكتشاف، بل تصبح أكثر خداعًا بسبب مظهرها "الشرعي". ستقوم هذه المقالة من خلال تحليل الأمثلة، بكشف كيفية تحويل المحتالين للبروتوكولات إلى وسيلة للهجوم، وتقديم حلول شاملة من الحماية التقنية إلى الوقاية السلوكية، لمساعدة المستخدمين على السير بأمان في عالم لامركزي.
1. كيف أصبحت الاتفاقية أداة احتيال؟
يجب أن تضمن بروتوكولات البلوكتشين الأمان والثقة، ولكن المحتالين يستغلون ميزاتها، مع دمج إهمال المستخدمين، لإنشاء طرق هجوم خفية متعددة. فيما يلي بعض الأساليب وتفاصيلها الفنية:
(1) تفويض العقود الذكية الخبيثة
المبادئ التقنية:
على بلوكتشين مثل الإيثيريوم، يسمح معيار ERC-20 للمستخدمين بتفويض طرف ثالث (عادةً ما يكون عقد ذكي) من محفظتهم لسحب كمية محددة من الرموز من خلال وظيفة "Approve". تُستخدم هذه الوظيفة على نطاق واسع في بروتوكولات DeFi، حيث يحتاج المستخدمون إلى تفويض العقود الذكية لإجراء المعاملات أو الرهن أو تعدين السيولة. ومع ذلك، يستغل المحتالون هذه الآلية لتصميم عقود خبيثة.
طريقة التشغيل:
ينشئ المحتالون تطبيقًا لامركزيًا يتنكر كمشروع شرعي، وغالبًا ما يتم الترويج له من خلال مواقع التصيد أو وسائل التواصل الاجتماعي. يقوم المستخدمون بربط محفظتهم ويتم إغراؤهم بالنقر على "Approve"، في الظاهر هو تفويض لعدد قليل من الرموز، ولكن في الواقع قد يكون بسقف غير محدود (قيمة uint256.max). بمجرد انتهاء التفويض، يحصل عنوان عقد المحتالين على الإذن لاستدعاء وظيفة "TransferFrom" في أي وقت، وسحب جميع الرموز المقابلة من محفظة المستخدم.
حالة:
في بداية عام 2023، أدى موقع تصيد انتحل صفة "ترقية Uniswap V3" إلى خسارة مئات المستخدمين لملايين الدولارات من USDT وETH. تُظهر البيانات على السلسلة أن هذه المعاملات تتوافق تمامًا مع معيار ERC-20، مما يجعل من الصعب على الضحايا استعادة أموالهم من خلال الوسائل القانونية، لأن التفويض تم توقيعه طواعية.
(2) توقيع الاحتيال
مبادئ التقنية:
تتطلب معاملات البلوكتشين من المستخدمين إنشاء توقيع باستخدام المفتاح الخاص لإثبات شرعية المعاملة. عادةً ما تظهر المحفظة طلب توقيع، وبعد تأكيد المستخدم، يتم بث المعاملة إلى الشبكة. يستغل المحتالون هذه العملية لتزوير طلبات التوقيع وسرقة الأصول.
طريقة العمل:
تلقى المستخدم بريدًا إلكترونيًا أو رسالة تتنكر على أنها إشعار رسمي، مثل "انتظار استلام إيردروب NFT الخاص بك، يرجى التحقق من المحفظة". بعد النقر على الرابط، يتم توجيه المستخدم إلى موقع ويب ضار، يطلب منه ربط المحفظة وتوقيع "معاملة التحقق". قد تكون هذه المعاملة في الواقع استدعاء لوظيفة "Transfer"، تنقل مباشرة ETH أو الرموز من المحفظة إلى عنوان المحتال؛ أو عملية "SetApprovalForAll"، لتفويض المحتال بالتحكم في مجموعة NFT الخاصة بالمستخدم.
حالة:
تعرض مجتمع مشروع NFT مشهور لهجوم تصيد عبر التوقيع، حيث فقد العديد من المستخدمين NFTs تقدر قيمتها بملايين الدولارات بسبب توقيعهم على معاملات "استلام التوزيع المجاني" المزورة. استغل المهاجمون معيار التوقيع EIP-712، وقاموا بتزوير طلبات تبدو آمنة.
(3) الرموز المميزة المزيفة و"هجوم الغبار"
المبادئ التقنية:
تسمح شفافية البلوكتشين لأي شخص بإرسال رموز إلى أي عنوان، حتى إذا لم يطلب المستلم ذلك بشكل نشط. يستغل المحتالون هذه النقطة من خلال إرسال كميات صغيرة من العملات المشفرة إلى عدة عناوين محفظة، لتتبع نشاط المحفظة وربطها بالأفراد أو الشركات المالكة للمحفظة.
كيفية العمل:
يُرسل المهاجمون كميات صغيرة من رموز "الغبار" إلى عدد كبير من العناوين، وقد تحمل هذه الرموز أسماء أو بيانات وصفية مغرية. قد يشعر المستخدمون بالفضول للاستعلام عنها أو محاولة استبدال هذه الرموز، مما يكشف المزيد من معلومات المحفظة. يقوم المهاجمون بتحليل المعاملات اللاحقة لتحديد عناوين المحافظ النشطة للمستخدمين، وتنفيذ عمليات الاحتيال بشكل أكثر دقة.
حالة:
ظهرت هجمات "غبار الغاز" على شبكة الإيثيريوم، مما أثر على آلاف المحفظات. فقد بعض المستخدمين بسبب فضولهم في التفاعل، خسائر في ETH وERC-20.
ثانياً، لماذا يصعب اكتشاف هذه الحيل؟
تنجح هذه الاحتيالات إلى حد كبير لأنها مخفية داخل آليات البلوكتشين القانونية، مما يجعل من الصعب على المستخدمين العاديين التمييز بين طبيعتها الخبيثة. تشمل الأسباب الرئيسية ما يلي:
٣. كيف تحمي محفظة العملات المشفرة الخاصة بك؟
في مواجهة هذه الحيل التي تتواجد فيها الحروب النفسية والتقنية، فإن حماية الأصول تتطلب استراتيجيات متعددة المستويات:
تحقق من وإدارة أذونات التفويض
تحقق من الرابط والمصدر
استخدام المحفظة الباردة والتوقيع المتعدد
تعامل بحذر مع طلبات التوقيع
مواجهة هجوم الغبار
الخاتمة
يمكن أن تؤدي تنفيذ التدابير الأمنية المذكورة أعلاه إلى تقليل خطر أن تصبح ضحية لخطط الاحتيال المتقدمة بشكل كبير. ومع ذلك، فإن الأمان الحقيقي لا يعتمد فقط على الحماية التقنية، بل يتطلب أيضًا فهم المستخدم للمنطق التفويضي وحرصه على سلوكياته على البلوكتشين. كل تحليل للبيانات قبل التوقيع، وكل مراجعة للصلاحيات بعد التفويض، هي بمثابة الحفاظ على سيادته الرقمية.
في عالم البلوكتشين حيث الكود هو القانون، يتم تسجيل كل نقرة، وكل صفقة بشكل دائم، ولا يمكن تغييرها. لذلك، فإن جعل الوعي بالأمان عادة، والحفاظ على التوازن بين الثقة والتحقق، هو المفتاح لحماية الأصول الرقمية.