المنطق الأساسي للاحتيال بتوقيع Web3: التفويض، التصريح وPermit2
مؤخراً، أصبحت "خداع التوقيع" واحدة من أكثر أساليب الاحتيال التي يفضلها القراصنة في Web3. على الرغم من أن خبراء الصناعة والشركات الكبرى في مجال المحفظة والأمان يواصلون نشر الوعي، إلا أن هناك العديد من المستخدمين الذين يقعون ضحية للخداع كل يوم. أحد الأسباب الرئيسية وراء ذلك هو أن معظم المستخدمين يفتقرون إلى الفهم العميق للمبادئ الأساسية للتفاعل مع المحافظ، بينما يعتبر تعلم المعرفة ذات الصلة ذو عائق عالٍ للأشخاص غير التقنيين.
لمساعدة المزيد من الناس على فهم هذه المشكلة، ستقوم هذه المقالة بشرح منطق التصيد عبر التوقيع بطريقة تصويرية بالتفصيل، وستستخدم لغة بسيطة وسهلة الفهم قدر الإمكان، حتى يتمكن القراء ذوو الخلفيات غير التقنية من الفهم بسهولة.
أولاً، نحتاج إلى فهم أن هناك نوعين رئيسيين من العمليات عند استخدام المحفظة: "التوقيع" و"التفاعل". ببساطة، التوقيع هو عملية تحدث خارج سلسلة الكتل، ولا تحتاج لدفع رسوم الغاز؛ بينما التفاعل يتم على سلسلة الكتل، ويتطلب دفع رسوم الغاز.
المشهد النموذجي للتوقيع هو التحقق من الهوية، مثل تسجيل الدخول إلى المحفظة. عندما تحتاج إلى تبادل الرموز في بورصة لامركزية (DEX)، يجب أولاً توصيل محفظتك. خلال هذه العملية، تحتاج إلى التوقيع لإثبات "أنا مالك هذه المحفظة". هذه الخطوة لن تؤثر على بيانات أو حالة blockchain، لذلك لا حاجة لدفع رسوم.
بالمقارنة، التفاعل هو الإجراء الفعلي لتنفيذ العمليات على البلوكشين. على سبيل المثال، عندما تقوم بتبادل الرموز على DEX، ستحتاج أولاً إلى دفع رسوم، وإخبار عقد DEX الذكي: "أفوضك بنقل 100USDT الخاصة بي". تُعرف هذه الخطوة بالتفويض (approve). ثم ستحتاج أيضًا إلى دفع رسوم أخرى، وإخبار العقد: "الآن يرجى تنفيذ عملية تبادل 100USDT مقابل رمز واحد". بهذه الطريقة، تكون قد أكملت عملية تبادل الرموز.
بعد فهم الفرق بين التوقيع والتفاعل، دعونا نلقي نظرة على بعض أساليب الاحتيال الشائعة: احتيال التفويض، احتيال توقيع التصريح، واحتيال توقيع التصريح 2.
تعتبر عملية التصيد الاحتيالي المصرح بها واحدة من أكثر أساليب التصيد الاحتيالي شيوعًا في Web3 في مراحله المبكرة. يقوم القراصنة بإنشاء موقع ويب يتنكر كمشروع طبيعي، مما يحفز المستخدمين على النقر على أزرار مثل "استلام الإهداء". في الواقع، فإن واجهة المحفظة التي تظهر بعد نقر المستخدم تطلب إذن المستخدم للسماح لعناوين القراصنة بالتحكم في رموزه. بمجرد أن يؤكد المستخدم، يمكن للقراصنة السيطرة على أصول المستخدم.
ومع ذلك، فإن التصيد المصرح به له عيب واحد: نظرًا لأنه يتطلب دفع رسوم الغاز، فإن العديد من المستخدمين يكونون أكثر حذرًا عند إجراء العمليات المالية، مما يسهل اكتشاف الشذوذ.
أصبح التصيد الاحتيالي لتوقيع Permit وPermit2 منطقة كوارث كبيرة لأمان أصول Web3 الحالية. وذلك أساسًا لأن المستخدمين يحتاجون دائمًا إلى توقيع الدخول إلى المحفظة عند استخدام التطبيقات اللامركزية (DApp). لقد شكل الكثيرون بالفعل فكرة "التوقيع آمن" كفكرة متأصلة، بالإضافة إلى أن التوقيع لا يتطلب دفع رسوم، ومعظم الناس لا يفهمون معنى كل توقيع خلفه، مما يجعل هذه الأنواع من طرق التصيد أكثر صعوبة في الوقاية منها.
آلية Permit هي امتداد لوظيفة التفويض بموجب معيار ERC-20. ببساطة، يسمح ذلك للمستخدمين بالموافقة على عمليات أشخاص آخرين على رموزهم من خلال التوقيع. على عكس التفويض التقليدي (Approve)، فإن Permit هو توقيع المستخدم على "خطاب تفويض" يسمح لشخص ما بالتعامل مع كمية محددة من الرموز. يمكن للشخص الذي يحمل هذا "الخطاب" تقديمه إلى العقد الذكي ودفع رسوم الغاز، لإبلاغ العقد "لقد تم تفويضي للتعامل مع هذه الرموز". في هذه العملية، يقوم المستخدم فقط بالتوقيع، لكن قد يؤدي ذلك إلى نقل الأصول. يمكن للقراصنة استخدام مواقع مزيفة، واستبدال زر تسجيل الدخول بمحاكاة Permit، وبالتالي بسهولة الحصول على أصول المستخدم.
Permit2 هي ميزة تم إطلاقها من قبل بعض DEX لتحسين تجربة المستخدم. والغرض منها هو تبسيط مشكلة الحاجة إلى التفويض ودفع رسوم الغاز المزدوجة في كل معاملة. يمكن للمستخدمين تفويض كامل مرة واحدة لعقد Permit2 الذكي، وبعد ذلك في كل معاملة تحتاج فقط إلى التوقيع، وتدفع رسوم الغاز من قبل عقد Permit2 (يتم خصمها في النهاية من الرموز المميزة المستبدلة). ومع ذلك، إذا كان المستخدم قد استخدم هذا DEX من قبل ومنح تفويض غير محدود، فقد يصبح ضحية للاحتيال بواسطة Permit2. يحتاج القراصنة فقط إلى تحفيز المستخدم للتوقيع، ويمكنهم عندئذٍ نقل الرموز المميزة المصرح بها.
بشكل عام، فإن التصيد الاحتيالي المصرح به هو عندما يمنح المستخدمون المتسللين إذنًا مباشرًا للتلاعب برموزهم؛ بينما التصيد الاحتيالي بالتوقيع هو عندما يوقع المستخدمون دون علمهم "إذنًا" يسمح للآخرين بالتلاعب بالأصول، ثم يستخدم المتسلل هذا "الإذن" لنقل الأصول. التصريح هو ميزة توسيع التصريح لـ ERC-20، بينما Permit2 هي ميزة جديدة أطلقتها بعض بورصات DEX.
لمنع هذه الهجمات الاحتيالية، يمكننا اتخاذ التدابير التالية:
تعزيز الوعي بالأمان، يجب فحص ما تقوم به بدقة في كل مرة تقوم فيها بإجراء عمليات على المحفظة.
فصل الأموال الكبيرة عن المحفظة المستخدمة يوميًا لتقليل الخسائر المحتملة.
تعلم كيفية التعرف على تنسيق توقيع Permit و Permit2. كن حذرًا بشكل خاص عند رؤية طلب توقيع يتضمن الحقول التالية:
تفاعلي:رابط تفاعلي
المالك:عنوان الجهة المانحة
Spender: عنوان الجهة المخولة
القيمة: كمية التفويض
Nonce: رقم عشوائي
Deadline: موعد الانتهاء
من خلال فهم هذه المبادئ الأساسية واتخاذ التدابير الوقائية المناسبة، يمكننا حماية أصول Web3 الخاصة بنا بشكل أفضل.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 17
أعجبني
17
9
مشاركة
تعليق
0/400
OnchainHolmes
· 07-14 16:56
آه لا يزال هناك الكثير من الحمقى الذين ينخدعون.
شاهد النسخة الأصليةرد0
BtcDailyResearcher
· 07-14 12:54
تذهب عائلة الصيد إلى الموت
شاهد النسخة الأصليةرد0
WhaleStalker
· 07-14 07:08
بعد ذلك سيكون هناك هاكر يعبث.
شاهد النسخة الأصليةرد0
MemeTokenGenius
· 07-12 21:59
المحفظة مبتدئ必备贴
شاهد النسخة الأصليةرد0
MEVEye
· 07-12 21:57
يجب أن نتعلم أكثر حتى لا نخدع الناس لتحقيق الربح!
شاهد النسخة الأصليةرد0
LiquidationWatcher
· 07-12 21:52
كلها هجمات لا يمكن التصدي لها، الهجوم يركز على الدفاع الذي لا يمكن تفاديه.
شاهد النسخة الأصليةرد0
MindsetExpander
· 07-12 21:40
هذه الحيلة قديمة بعض الشيء
شاهد النسخة الأصليةرد0
0xDreamChaser
· 07-12 21:35
هؤلاء المحتالون فخهم عميق جدًا
شاهد النسخة الأصليةرد0
InscriptionGriller
· 07-12 21:33
لا يزال جيو جيو لا يفهم كيفية استخدام فخ السيولة وقد خسر كل شيء.
كشف النقاب عن تصيّد توقيع Web3: تحليل المنطق الأساسي للتفويض، والتصريح، وPermit2
المنطق الأساسي للاحتيال بتوقيع Web3: التفويض، التصريح وPermit2
مؤخراً، أصبحت "خداع التوقيع" واحدة من أكثر أساليب الاحتيال التي يفضلها القراصنة في Web3. على الرغم من أن خبراء الصناعة والشركات الكبرى في مجال المحفظة والأمان يواصلون نشر الوعي، إلا أن هناك العديد من المستخدمين الذين يقعون ضحية للخداع كل يوم. أحد الأسباب الرئيسية وراء ذلك هو أن معظم المستخدمين يفتقرون إلى الفهم العميق للمبادئ الأساسية للتفاعل مع المحافظ، بينما يعتبر تعلم المعرفة ذات الصلة ذو عائق عالٍ للأشخاص غير التقنيين.
لمساعدة المزيد من الناس على فهم هذه المشكلة، ستقوم هذه المقالة بشرح منطق التصيد عبر التوقيع بطريقة تصويرية بالتفصيل، وستستخدم لغة بسيطة وسهلة الفهم قدر الإمكان، حتى يتمكن القراء ذوو الخلفيات غير التقنية من الفهم بسهولة.
أولاً، نحتاج إلى فهم أن هناك نوعين رئيسيين من العمليات عند استخدام المحفظة: "التوقيع" و"التفاعل". ببساطة، التوقيع هو عملية تحدث خارج سلسلة الكتل، ولا تحتاج لدفع رسوم الغاز؛ بينما التفاعل يتم على سلسلة الكتل، ويتطلب دفع رسوم الغاز.
المشهد النموذجي للتوقيع هو التحقق من الهوية، مثل تسجيل الدخول إلى المحفظة. عندما تحتاج إلى تبادل الرموز في بورصة لامركزية (DEX)، يجب أولاً توصيل محفظتك. خلال هذه العملية، تحتاج إلى التوقيع لإثبات "أنا مالك هذه المحفظة". هذه الخطوة لن تؤثر على بيانات أو حالة blockchain، لذلك لا حاجة لدفع رسوم.
بالمقارنة، التفاعل هو الإجراء الفعلي لتنفيذ العمليات على البلوكشين. على سبيل المثال، عندما تقوم بتبادل الرموز على DEX، ستحتاج أولاً إلى دفع رسوم، وإخبار عقد DEX الذكي: "أفوضك بنقل 100USDT الخاصة بي". تُعرف هذه الخطوة بالتفويض (approve). ثم ستحتاج أيضًا إلى دفع رسوم أخرى، وإخبار العقد: "الآن يرجى تنفيذ عملية تبادل 100USDT مقابل رمز واحد". بهذه الطريقة، تكون قد أكملت عملية تبادل الرموز.
بعد فهم الفرق بين التوقيع والتفاعل، دعونا نلقي نظرة على بعض أساليب الاحتيال الشائعة: احتيال التفويض، احتيال توقيع التصريح، واحتيال توقيع التصريح 2.
تعتبر عملية التصيد الاحتيالي المصرح بها واحدة من أكثر أساليب التصيد الاحتيالي شيوعًا في Web3 في مراحله المبكرة. يقوم القراصنة بإنشاء موقع ويب يتنكر كمشروع طبيعي، مما يحفز المستخدمين على النقر على أزرار مثل "استلام الإهداء". في الواقع، فإن واجهة المحفظة التي تظهر بعد نقر المستخدم تطلب إذن المستخدم للسماح لعناوين القراصنة بالتحكم في رموزه. بمجرد أن يؤكد المستخدم، يمكن للقراصنة السيطرة على أصول المستخدم.
ومع ذلك، فإن التصيد المصرح به له عيب واحد: نظرًا لأنه يتطلب دفع رسوم الغاز، فإن العديد من المستخدمين يكونون أكثر حذرًا عند إجراء العمليات المالية، مما يسهل اكتشاف الشذوذ.
أصبح التصيد الاحتيالي لتوقيع Permit وPermit2 منطقة كوارث كبيرة لأمان أصول Web3 الحالية. وذلك أساسًا لأن المستخدمين يحتاجون دائمًا إلى توقيع الدخول إلى المحفظة عند استخدام التطبيقات اللامركزية (DApp). لقد شكل الكثيرون بالفعل فكرة "التوقيع آمن" كفكرة متأصلة، بالإضافة إلى أن التوقيع لا يتطلب دفع رسوم، ومعظم الناس لا يفهمون معنى كل توقيع خلفه، مما يجعل هذه الأنواع من طرق التصيد أكثر صعوبة في الوقاية منها.
آلية Permit هي امتداد لوظيفة التفويض بموجب معيار ERC-20. ببساطة، يسمح ذلك للمستخدمين بالموافقة على عمليات أشخاص آخرين على رموزهم من خلال التوقيع. على عكس التفويض التقليدي (Approve)، فإن Permit هو توقيع المستخدم على "خطاب تفويض" يسمح لشخص ما بالتعامل مع كمية محددة من الرموز. يمكن للشخص الذي يحمل هذا "الخطاب" تقديمه إلى العقد الذكي ودفع رسوم الغاز، لإبلاغ العقد "لقد تم تفويضي للتعامل مع هذه الرموز". في هذه العملية، يقوم المستخدم فقط بالتوقيع، لكن قد يؤدي ذلك إلى نقل الأصول. يمكن للقراصنة استخدام مواقع مزيفة، واستبدال زر تسجيل الدخول بمحاكاة Permit، وبالتالي بسهولة الحصول على أصول المستخدم.
Permit2 هي ميزة تم إطلاقها من قبل بعض DEX لتحسين تجربة المستخدم. والغرض منها هو تبسيط مشكلة الحاجة إلى التفويض ودفع رسوم الغاز المزدوجة في كل معاملة. يمكن للمستخدمين تفويض كامل مرة واحدة لعقد Permit2 الذكي، وبعد ذلك في كل معاملة تحتاج فقط إلى التوقيع، وتدفع رسوم الغاز من قبل عقد Permit2 (يتم خصمها في النهاية من الرموز المميزة المستبدلة). ومع ذلك، إذا كان المستخدم قد استخدم هذا DEX من قبل ومنح تفويض غير محدود، فقد يصبح ضحية للاحتيال بواسطة Permit2. يحتاج القراصنة فقط إلى تحفيز المستخدم للتوقيع، ويمكنهم عندئذٍ نقل الرموز المميزة المصرح بها.
بشكل عام، فإن التصيد الاحتيالي المصرح به هو عندما يمنح المستخدمون المتسللين إذنًا مباشرًا للتلاعب برموزهم؛ بينما التصيد الاحتيالي بالتوقيع هو عندما يوقع المستخدمون دون علمهم "إذنًا" يسمح للآخرين بالتلاعب بالأصول، ثم يستخدم المتسلل هذا "الإذن" لنقل الأصول. التصريح هو ميزة توسيع التصريح لـ ERC-20، بينما Permit2 هي ميزة جديدة أطلقتها بعض بورصات DEX.
لمنع هذه الهجمات الاحتيالية، يمكننا اتخاذ التدابير التالية:
تعزيز الوعي بالأمان، يجب فحص ما تقوم به بدقة في كل مرة تقوم فيها بإجراء عمليات على المحفظة.
فصل الأموال الكبيرة عن المحفظة المستخدمة يوميًا لتقليل الخسائر المحتملة.
تعلم كيفية التعرف على تنسيق توقيع Permit و Permit2. كن حذرًا بشكل خاص عند رؤية طلب توقيع يتضمن الحقول التالية:
من خلال فهم هذه المبادئ الأساسية واتخاذ التدابير الوقائية المناسبة، يمكننا حماية أصول Web3 الخاصة بنا بشكل أفضل.