السلاح ذو الحدين للمحافظ متعددة التوقيع: فخاخ الاحتيال والحماية الأمنية

المحافظ متعددة التوقيع تحظى بشعبية كبيرة بفضل ميزاتها الأمنية الممتازة، ولكن من المفارقات أن هذه الميزات نفسها تُستغل من قبل المحتالين. ستكشف هذه المقالة عن آلية عمل عمليات الاحتيال باستخدام المحافظ متعددة التوقيع، وتقدم استراتيجيات حماية عملية لمساعدة المستخدمين على استخدام المحافظ متعددة التوقيع بثقة وحماية أصولهم الرقمية.

نور وظلام المحافظ متعددة التوقيع

تقنية التوقيع المتعدد كانت أصلاً مصممة لتعزيز أمان الأصول. في المحافظ ذات المفتاح الواحد التقليدية، يكفي مفتاح خاص واحد للتحكم الكامل في الأصول، وإذا تم تسريب هذا المفتاح، فإن الأصول تكون معرضة للسرقة. أما المحافظ متعددة التوقيع فتتطلب توقيع اثنين على الأقل أو أكثر من المفاتيح الخاصة للموافقة على المعاملة، تماماً كما أن صندوق الأمان يحتاج إلى عدة مفاتيح لفتحه.

هذا التصميم جعل المحافظ متعددة التوقيع تتألق في التعاون بين فرق الشركات، والمنظمات اللامركزية (DAO)، وإدارة أموال العائلات. ومع ذلك، بسبب تعقيدها وخصائصها متعددة الصلاحيات، وجد المحتالون فرصة للاستغلال.

أكثر أنواع الاحتيال انتشارًا على شبكة Tron

في بيئة البلوكشين، يُعد الاحتيال عبر المحافظ متعددة التوقيع على شبكة Tron من الأكثر انتشارًا. يستخدم المحتالون بشكل رئيسي طريقتين:

النوع الأول: فخ الصلاحيات الاحتيالي

يهدف هذا الاحتيال إلى جعل الضحايا يضيفون المحتالين كموقعين مشتركين في المحفظة دون علمهم. غالبًا ما يتظاهر المحتالون بأنهم خدمة دعم، أو مطورون، أو طرف ثالث موثوق به، ويقومون بإيهام المستخدمين بضرورة إدخال كلمات التذكير أو المفاتيح الخاصة. بمجرد أن يقع المستخدم في الفخ، يستطيع المحتالون السيطرة جزئيًا أو كليًا على المحفظة، ومن ثم سرقة أو تجميد الأصول. غالبًا ما يصاحب هذا الاحتيال رسائل تصيد احتيالية عبر البريد الإلكتروني أو انتحال شخصية.

النوع الثاني: فخ رسوم المعاملات

على عكس الأول، هذا الاحتيال أكثر خفاءً ولا يتطلب من المستخدم مشاركة معلومات حساسة. ينشر المحتالون على وسائل التواصل الاجتماعي (تعليقات يوتيوب، تويتر، تليجرام، وغيرها) عنوان محفظة يبدو ثريًا وكلمات تذكير مرتبطة به، لجذب الطماعين ل"استلام الأموال". بعد أن يقوم المستخدمون باستيراد المحفظة، يرون أن فيها كميات كبيرة من USDT وغيرها من الرموز، لكن المعاملات لا تتم بسبب نقص رسوم TRX. عندها، يشن المحتالون هجومهم، ويقنعون المستخدمين بإرسال TRX لدفع الرسوم.

المأساة أن TRX المدفوع يدخل إلى المحفظة متعددة التوقيع، بينما لا يملك الضحية صلاحية التوقيع على المعاملة، ولا يستطيع سحب الأصول الموجودة في المحفظة. وبهذا، ينتهي الأمر بأن تذهب أموال TRX التي أرسلوها إلى أيدي المحتالين.

تحليل حالة احتيال مصممة بعناية

لفهم كيفية عمل هذه الأنواع من الاحتيال بشكل أفضل، سنحلل حالة حقيقية.

نشر المحتالون على يوتيوب كلمات تذكير لمحفظة معينة. استخدم شخص ما تطبيق SafePal لاستيراد هذه الكلمات، ووجد أن المحفظة تحتوي على 2022 USDT. بدا أن المحفظة “مليئة” بالأموال، لكن بعد التدقيق، ظهرت مشكلة: أن المحفظة تفتقر إلى TRX كافية لدفع رسوم المعاملة.

حينها، بدأ الطمع في السيطرة على المستخدم. قرر المستخدم أن يودع بعض TRX لدفع الرسوم، ويأمل في سحب USDT. لكن عند محاولة إجراء المعاملة، تظهر رسالة أن المعاملة تتطلب موافقة عدة توقيعات. عندها، يدرك المستخدم أن هذه محفظة متعددة التوقيع.

حتى لو دفع المستخدم الرسوم، فلن يتمكن من نقل الأصول لأنه لا يملك صلاحية التوقيع. والأموال التي دفعها TRX تكون قد دخلت إلى المحفظة، ويمكن للمحتالين الاستيلاء عليها بسهولة.

التحقق من أدلة الاحتيال على البلوكشين

باستخدام متصفحات البلوكشين مثل TronScan، يمكن تتبع عمليات الاحتيال. إذا بحثت عن عنوان محفظة الاحتيال (مثل الذي ينتهي بـ Kk78Z)، ستكتشف أن هذا العنوان يخضع لسيطرة عنوان آخر (ينتهي بـ bHCoc).

على شبكة Tron، إعدادات صلاحيات المحافظ متعددة التوقيع مرنة جدًا. يمكن لكل موقع توقيع أن يمنح صلاحيات مختلفة:

• صلاحية المالك: السيطرة الكاملة على المحفظة، يمكن إضافة أو حذف الموقعين الآخرين، ونقل الأصول مباشرة
• صلاحية نشطة: يمكنها تنفيذ معظم المعاملات، لكن تحتاج إلى موافقة الموقعين الآخرين
• صلاحية محدودة: يمكنها تنفيذ وظائف معينة فقط، وغالبًا لا يمكنها نقل أصول كبيرة

في حالات الاحتيال النموذجية، يحتفظ المحتالون بصلاحية المالك، بينما تكون المحافظ التي يُستخدم لإيهام الضحايا مُعطاة أقل الصلاحيات. وبهذا، مهما دفع الضحايا من رسوم، فإنهم لا يستطيعون تجاوز قيود الصلاحيات.

نظام الحماية المكون من سبع طبقات لمستخدمي المحافظ متعددة التوقيع

نظرًا لأن المحافظ متعددة التوقيع تجمع بين الأمان والمخاطر، يحتاج المستخدمون إلى اتخاذ تدابير حماية منهجية. إليك استراتيجيات الحماية مرتبة حسب الأولوية:

الطبقة الأولى: حماية المفاتيح كحماية الحياة

أي مزود محفظة شرعي، أو منصة تبادل، أو مشروع، لن يطلب منك أبدًا تقديم المفتاح الخاص أو كلمات التذكير. هذه المعلومات تشبه كلمات المرور لحسابات البنك، ويجب أن تظل دائمًا تحت سيطرتك الكاملة.

طرق التنفيذ:

• كتابة كلمات التذكير أو المفاتيح الخاصة على ورق وتخزينها في مكان آمن ماديًا
• عدم حفظها على الهاتف، أو الكمبيوتر، أو السحابة
• عدم إدخالها في أي موقع أو تطبيق إلا إذا كنت تثق تمامًا بالمصدر الرسمي للمحفظة
• الحذر من أي طلبات لنسخ ولصق المفاتيح أو كلمات التذكير

الطبقة الثانية: استخدام محافظ من مصادر رسمية فقط

العملات الرقمية مليئة بالمحافظ والمنصات المزيفة. قبل تحميل أي تطبيق محفظة، تأكد من:

• التحقق من اسم المطور في متجر App Store أو Google Play
• مراجعة روابط التحميل الموصى بها على الموقع الرسمي
• قراءة تقييمات المستخدمين والتحقق من وجود تحذيرات
• التأكد من وجود علامة التحقق الرسمية (مثل العلامة الزرقاء)

محافظ مثل SafePal وTrust Wallet متوفرة عبر القنوات الرسمية وتتمتع بتقييمات أمان جيدة.

الطبقة الثالثة: مراجعة صلاحيات المحفظة بشكل دوري

مزايا المحافظ متعددة التوقيع تتطلب مسؤولية إدارة أكبر. يُنصح بمراجعة صلاحيات المحفظة على الأقل مرة واحدة شهريًا:

• فحص من لديه صلاحية التوقيع
• التأكد من أن جميع الصلاحيات التي منحتها هي التي تريدها
• حذف أي توقيعات مشبوهة أو غير ضرورية
• إلغاء صلاحيات التطبيقات غير المستخدمة أو القديمة

معظم المحافظ توفر صفحة إدارة الصلاحيات تعرض جميع التطبيقات والعناوين المصرح لها.

الطبقة الرابعة: تعزيز الأمان الفيزيائي — استخدام محفظة أجهزة

محفظة الأجهزة عبارة عن جهاز مادي مستقل يخزن المفاتيح الخاصة في بيئة غير متصلة بالإنترنت. حتى لو تمكن أحدهم من اختراق إعدادات التوقيع المتعدد، فلن يستطيع نقل الأصول بدون تأكيد فعلي من الجهاز.

مزايا محفظة الأجهزة:

• عدم كشف المفاتيح الخاصة على الشبكة
• توقيع المعاملات يتم داخليًا في الجهاز
• حتى لو تم اختراق الكمبيوتر أو الهاتف، تظل الأصول آمنة

للمستخدمين الذين يمتلكون أصولًا كبيرة، تعتبر محفظة الأجهزة ضرورية.

الطبقة الخامسة: تفعيل المصادقة الثنائية (2FA)

تقريبًا جميع تطبيقات المحافظ والمنصات تدعم 2FA. عند تفعيلها، حتى لو تمكن شخص ما من معرفة كلمة المرور، يحتاج إلى رمز التحقق على هاتفك للدخول.

يوصى باستخدام تطبيقات رمز التحقق المؤقت (TOTP) مثل Google Authenticator أو Authy، بدلاً من التحقق عبر الرسائل النصية، لأنها أكثر أمانًا وأسهل في الحماية.

الطبقة السادسة: التعلم المستمر واليقظة

تهديدات أمن العملات الرقمية تتطور باستمرار. تظهر طرق احتيال جديدة باستمرار، ويجب تحديث طرق الحماية بشكل دائم. يُنصح بـ:

• متابعة الإعلانات الأمنية الرسمية
• الانضمام إلى مجتمعات الأمان لمتابعة أحدث حالات الاحتيال
• التحقق من المعلومات الأمنية قبل إجراء معاملات كبيرة
• الحذر من الفرص الاستثمارية غير الموثوقة

الطبقة السابعة: التعرف على إشارات التحذير

تتحسن تطبيقات المحافظ الحديثة وتبدأ في إضافة ميزات تحذيرية أمنية، لتنبيه المستخدمين عند وجود نشاط مشبوه أو تصنيف المحفظة كأداة احتيال.

تعلم كيف تميز هذه الإشارات:

• تصنيف المحفظة على أنها “مخاطرة” أو “مجمّدة”
• وجود طلبات معاملات غير معتادة
• ظهور رسائل تحذيرية حول إعدادات الصلاحيات

الخلاصة: المفتاح لاستخدام المحافظ متعددة التوقيع بأمان

المحافظ متعددة التوقيع في جوهرها أدوات جيدة، فهي توفر مزايا أمان لا يمكن للمحافظ ذات المفتاح الواحد تقديمها. لكن، تمامًا كما هو الحال مع أي أداة قوية، فإن استخدامها بشكل غير صحيح يمكن أن يسبب ضررًا كبيرًا.

يستغل المحتالون طمع البشر، وفضولهم، وثقتهم، ليصمموا عمليات احتيال متقنة. يفضلون بشكل خاص المحافظ متعددة التوقيع على شبكة Tron، لأنها منخفضة التكلفة وسهلة التتبع.

لكن، الحماية ليست مستحيلة. من خلال إدارة المفاتيح بشكل صحيح، واستخدام التطبيقات الرسمية، ومراجعة الصلاحيات بانتظام، وتفعيل إجراءات أمان متعددة، يمكن للمستخدمين تقليل المخاطر بشكل كبير. الأهم هو البقاء دائمًا يقظًا، وتذكر: إذا بدا عرض ما جيدًا جدًا لدرجة تصعب تصديقه، فغالبًا ما يكون عملية احتيال.

السر في استخدام المحافظ متعددة التوقيع بأمان يكمن في فهم ميزاتها بشكل كامل والانتباه للتفاصيل الأمنية الدقيقة.