البلوكتشين احتيال اتجاهات جديدة: بروتوكول الثغرات تصبح أدوات الهجوم

تقوم العملات المشفرة وتقنية البلوكتشين بإعادة تشكيل المشهد المالي، ولكن هذه التحولات جلبت أيضًا تحديات أمنية جديدة. لم يعد المحتالون مقيدين باستغلال الثغرات التقنية، بل قاموا بتحويل بروتوكولات العقود الذكية الخاصة بالبلوكتشين إلى وسائل هجوم. يستغلون بمهارة فخاخ الهندسة الاجتماعية، ويجمعون بين شفافية البلوكتشين وعدم قابليته للإلغاء، مما يحول ثقة المستخدمين إلى أداة لسرقة الأصول. من العقود الذكية المصممة بعناية إلى التلاعب بالمعاملات عبر السلاسل، هذه الهجمات ليست فقط خفية وصعبة الكشف، ولكنها أيضًا مريبة للغاية بسبب غلافها “الشرعي”. ستقوم هذه المقالة من خلال تحليل الحالات، بكشف كيف يقوم المحتالون بتحويل البروتوكولات إلى وسائط هجوم، وتقديم حلول شاملة من الحماية التقنية إلى الوقاية السلوكية، لمساعدتك على التقدم بأمان في بيئة لامركزية.

أولاً، كيف يتحول البروتوكول القانوني إلى أداة احتيال؟

بروتوكول البلوكتشين كان أساساً لضمان الأمان والثقة، ولكن المحتالين استغلوا خصائصه، مع دمج إهمال المستخدمين، لخلق العديد من أساليب الهجمات الخفية. فيما يلي بعض الطرق النموذجية والتفاصيل التقنية لها:

(1) تفويض العقد الذكي الخبيث

المبادئ التقنية: على البلوكتشين مثل الإيثيريوم، يسمح معيار رموز ERC-20 للمستخدمين من خلال دالة “Approve” بتفويض طرف ثالث (عادةً ما يكون عقد ذكي) لسحب عدد محدد من الرموز من محفظتهم. تُستخدم هذه الوظيفة على نطاق واسع في بروتوكولات DeFi، حيث يحتاج المستخدمون إلى تفويض العقود الذكية لإجراء المعاملات أو الرهن أو تعدين السيولة. ومع ذلك، يستغل المحتالون هذه الآلية لتصميم عقود خبيثة.

طريقة التشغيل: يُنشئ المحتالون تطبيقات لامركزية (DApp) تتظاهر بأنها مشروعات شرعية، وعادةً ما يتم الترويج لها من خلال مواقع التصيد أو وسائل التواصل الاجتماعي. يقوم المستخدمون بربط محفظتهم ويتعرضون للإغواء للنقر على “Approve”، والذي يبدو ظاهريًا كأنه تفويض لمبلغ صغير من الرموز، ولكنه في الواقع قد يكون بسقف غير محدود (قيمة uint256.max). بعد الانتهاء من التفويض، يحصل عنوان عقد المحتالين على الإذن، مما يمكنه من استدعاء دالة “TransferFrom” في أي وقت، وسحب جميع الرموز المقابلة من محفظة المستخدم.

حالات حقيقية: في أوائل عام 2023، أدى موقع تصيد انتحل صفة “ترقية Uniswap V3” إلى خسارة مئات المستخدمين لملايين الدولارات من USDT وETH. تظهر بيانات سلسلة الكتل أن هذه المعاملات تتوافق تمامًا مع معيار ERC-20، مما يجعل من الصعب على الضحايا استعادة أموالهم عبر القنوات القانونية، لأن التفويض تم توقيعه طواعية.

(2) توقيع الصيد

المبادئ التقنية: تتطلب معاملات البلوكتشين من المستخدمين إنشاء توقيع باستخدام المفتاح الخاص لإثبات شرعية المعاملة. عادةً ما تظهر محفظة الطلبات للتوقيع، وبعد تأكيد المستخدم يتم بث المعاملة إلى الشبكة. يستغل المحتالون هذه العملية لتزوير طلبات التوقيع وسرقة الأصول.

طريقة العمل: يتلقى المستخدمون رسائل بريد إلكتروني أو رسائل تتنكر في شكل إشعارات رسمية، مثل “العرض المجاني لـ NFT في انتظار الاستلام، يرجى التحقق من المحفظة”. بعد النقر على الرابط، يتم توجيه المستخدمين إلى موقع ويب ضار يطلب منهم توصيل المحفظة والتوقيع على “تحقق المعاملة”. قد تكون هذه المعاملة في الواقع استدعاء لوظيفة “Transfer”، تنقل مباشرة ETH أو الرموز من المحفظة إلى عنوان المحتال؛ أو عملية “SetApprovalForAll”، التي تمنح المحتال السيطرة على مجموعة NFTs الخاصة بالمستخدم.

حالات حقيقية: تعرض مجتمع مشروع NFT معروف لهجوم تصيد توقيع، حيث فقد العديد من المستخدمين NFTs بقيمة عدة ملايين من الدولارات بسبب توقيعهم على معاملات “استلام التوزيع المجاني” المزورة. استخدم المهاجمون معيار توقيع EIP-712 لتزوير طلبات تبدو آمنة.

(3) العملات المزيفة و"هجمات الغبار"

المبادئ التقنية: تسمح علنية البلوكتشين لأي شخص بإرسال الرموز إلى أي عنوان، حتى لو لم يطلب المستلم ذلك بشكل نشط. يستغل المحتالون هذه النقطة، حيث يرسلون كميات صغيرة من العملات المشفرة إلى عدة عناوين محافظ، ويتتبعون نشاط المحافظ، ويحاولون ربطها بأشخاص أو شركات.

طريقة التشغيل: عادةً ما يرسل المحتالون “غبار” إلى محافظ المستخدمين على شكل إيردروب، وقد تحمل هذه الرموز أسماء جذابة أو بيانات وصفية توجه المستخدمين لزيارة مواقع معينة للاستعلام عن التفاصيل. عندما يرغب المستخدمون في تحويل هذه الرموز إلى نقد، يمكن للمهاجمين الوصول إلى محفظة المستخدم من خلال عنوان العقد المرفق بالرموز. وما هو أكثر خفاءً هو أن هجوم الغبار يمكن أن يحلل معاملات المستخدم اللاحقة من خلال الهندسة الاجتماعية، ويستهدف عناوين المحافظ النشطة، وينفذ عمليات احتيال دقيقة.

حالات حقيقية: ظهرت هجمات “شظايا GAS” على شبكة الإيثيريوم، مما أثر على آلاف المحفظات. فقد بعض المستخدمين ETH و ERC-20 بسبب فضولهم في التفاعل.

ثانياً، لماذا يصعب اكتشاف هذه الاحتيالات؟

نجحت هذه الحيل إلى حد كبير لأنها مخفية داخل آليات البلوكتشين الشرعية، مما يجعل من الصعب على المستخدمين العاديين تمييز طبيعتها الخبيثة. الأسباب الرئيسية تشمل:

• تعقيد التكنولوجيا: يعد كود العقد الذكي وطلبات التوقيع غامضة بالنسبة للمستخدمين غير التقنيين. على سبيل المثال، قد تظهر طلبات “Approve” كبيانات معقدة من الستة عشر، مما يجعل من الصعب على المستخدمين فهم المعنى بشكل مباشر.

• الشرعية على البلوكتشين: جميع المعاملات مسجلة على البلوكتشين، مما يبدو شفافًا، ولكن الضحايا غالبًا ما يدركون عواقب التفويض أو التوقيع بعد فوات الأوان، حيث لا يمكن استرداد الأصول في ذلك الوقت.

• الهندسة الاجتماعية: يستغل المحتالون نقاط ضعف البشر مثل الجشع والخوف والثقة لتصميم الفخاخ المغرية.

• التمويه المعقد: قد تستخدم مواقع التصيد URLs مشابهة للغاية للاسم الرسمي، وحتى تعزز المصداقية من خلال شهادات HTTPS.

٣. كيف تحمي محفظة العملات المشفرة الخاصة بك؟

في مواجهة عمليات الاحتيال التقنية والنفسية هذه ، تتطلب حماية الأصول استراتيجية متعددة الطبقات:

تحقق وإدارة أذونات التفويض

• استخدم أداة فحص الأذونات لمراجعة سجلات تفويض المحفظة بانتظام.
• إلغاء التفويضات غير الضرورية، خاصةً التفويضات غير المحدودة للعناوين غير المعروفة.
• قبل كل تفويض، تأكد من مصدر DApp موثوق.
• تحقق من قيمة “Allowance”، إذا كانت “غير محدودة”، يجب إلغاؤها على الفور.

تحقق من الرابط والمصدر

• أدخل عنوان URL الرسمي يدويًا، وتجنب النقر على الروابط الموجودة في وسائل التواصل الاجتماعي أو البريد الإلكتروني.
• تأكد من أن الموقع يستخدم اسم النطاق وشهادة SSL الصحيحة.
• كن حذرًا من الأخطاء الإملائية أو الأحرف الزائدة في النطاق.

استخدام المحفظة الباردة والتوقيع المتعدد

• قم بتخزين معظم الأصول في محفظة الأجهزة، وقم بتوصيل الشبكة فقط عند الضرورة.
• استخدم أدوات التوقيع المتعدد للأصول الكبيرة، مما يتطلب تأكيد المعاملات بواسطة عدة مفاتيح.

تعامل بحذر مع طلبات التوقيع

• اقرأ بعناية تفاصيل المعاملة في نافذة محفظة المنبثقة.
• استخدم زاحف البلوكتشين لتحليل محتوى التوقيع، أو استشر خبراء التكنولوجيا.
• إنشاء محفظة مستقلة للعمليات عالية المخاطر، وتخزين كمية صغيرة من الأصول.

التعامل مع هجوم الغبار

• عند استلام رموز غير معروفة، لا تتفاعل معها، قم بوضع علامة عليها ك"نفايات" أو إخفائها.
• تأكيد مصدر الرمز المميز من خلال البلوكتشين متصفح، احذر من الإرسال بالجملة.
• تجنب الكشف عن عنوان المحفظة، أو استخدام عنوان جديد للعمليات الحساسة.

خاتمة

يمكن أن يقلل تنفيذ التدابير الأمنية المذكورة أعلاه بشكل كبير من خطر أن تصبح ضحية لبرامج الاحتيال المتقدمة، لكن الأمان الحقيقي لا يعتمد فقط على التكنولوجيا. عندما تشكل محافظ الأجهزة خط دفاع مادي، وتوزع التوقيعات المتعددة المخاطر، فإن فهم المستخدم لمنطق التفويض، والحرص على السلوك على السلسلة، هو آخر حصن ضد الهجمات. كل تحليل للبيانات قبل التوقيع، وكل مراجعة للسلطة بعد التفويض، هو قسم على سيادته الرقمية.

في المستقبل، بغض النظر عن كيفية تطور التكنولوجيا، فإن الخط الدفاعي الأساسي يكمن دائمًا في: تحويل الوعي بالأمان إلى عادة، وإقامة توازن بين الثقة والتحقق. في عالم البلوكتشين حيث الشيفرة هي القانون، يتم تسجيل كل نقرة، وكل معاملة بشكل دائم، ولا يمكن تغييرها. يجب أن تبقى يقظًا، وأن تتصرف بحذر، حتى تتمكن من الإبحار بأمان في هذه القارة الرقمية الجديدة.