البلوكتشين العقود الذكية سلاح ذو حدين: الفرص والمخاطر المحتملة متواجدة
تُعيد العملات المشفرة وتكنولوجيا البلوكتشين تشكيل مفهوم الحرية المالية، لكن هذه الثورة جلبت أيضًا تحديات جديدة. مع تقدم التكنولوجيا، لم يعد المجرمون يقتصرون على استغلال ثغرات النظام، بل يقومون بذكاء بتحويل بروتوكولات العقود الذكية الخاصة بالبلوكتشين إلى أدوات هجومية. يصممون بعناية فخاخ الهندسة الاجتماعية، مستغلين شفافية البلوكتشين وعدم قابليته للعكس، لتحويل ثقة المستخدمين إلى وسيلة لسرقة الأصول. من تزوير العقود الذكية إلى التلاعب بالمعاملات عبر الشبكات، هذه الهجمات ليست فقط خفية وصعبة الكشف، ولكنها أيضًا أكثر خداعًا بسبب مظهرها "المشروع". ستقوم هذه المقالة من خلال تحليل الحالات الحقيقية بتسليط الضوء على كيفية تحويل المجرمين للبروتوكول نفسه إلى وسيلة هجوم، وتقديم حلول شاملة من الحماية التقنية إلى الوقاية السلوكية، لمساعدة المستخدمين على السير بأمان في عالم لا مركزي.
١. كيف يمكن إساءة استخدام بروتوكولات العقود الذكية؟
كان الهدف من تصميم بروتوكولات البلوكتشين هو ضمان الأمان والثقة، لكن الأفراد غير القانونيين استغلوا ميزاتها، بالتزامن مع إهمال المستخدمين، لإنشاء طرق هجوم متعددة مخفية. فيما يلي بعض الأساليب الشائعة وتفاصيلها التقنية:
(1) تفويض العقود الذكية الخبيثة
المبادئ التقنية:
على البلوكتشين مثل الإيثيريوم، يتيح معيار ERC-20 للرموز للمستخدمين من خلال دالة "Approve" تفويض طرف ثالث (عادةً ما يكون عقدًا ذكيًا) لسحب كمية محددة من الرموز من محفظتهم. تُستخدم هذه الوظيفة على نطاق واسع في بروتوكولات DeFi، حيث يحتاج المستخدمون إلى تفويض العقود الذكية لإجراء المعاملات أو الرهن أو تعدين السيولة. ومع ذلك، يستغل المجرمون هذه الآلية لتصميم عقود ضارة.
طريقة العمل:
إنهم يقومون بإنشاء تطبيقات لامركزية تتنكر كمشاريع قانونية، وغالبًا ما يتم الترويج لها من خلال مواقع التصيد أو وسائل التواصل الاجتماعي. يقوم المستخدمون بربط محفظتهم ويتم إغواؤهم بالنقر على "Approve"، والذي يبدو في الظاهر أنه تفويض لمبلغ صغير من الرموز، ولكنه في الواقع قد يكون مبلغًا غير محدود (قيمة uint256.max). بمجرد اكتمال التفويض، يحصل عنوان عقد المجرمين على الإذن، ويمكنه استدعاء وظيفة "TransferFrom" في أي وقت لسحب جميع الرموز المقابلة من محفظة المستخدم.
حالة حقيقية:
في بداية عام 2023، تسبب موقع تصيد احتيالي مت disguised على أنه "ترقية某DEX" في خسارة مئات المستخدمين لعدة ملايين من الدولارات من USDT و ETH. تظهر البيانات على البلوكتشين أن هذه المعاملات تتوافق تمامًا مع معيار ERC-20، ولا يمكن للضحايا حتى استرداد أموالهم من خلال الوسائل القانونية، لأن التفويض تم توقيعه طوعًا.
(2) توقيع التصيد
المبادئ التقنية:
تتطلب معاملات البلوكتشين من المستخدمين توليد توقيع باستخدام المفتاح الخاص لإثبات شرعية المعاملة. عادةً ما تظهر المحفظة طلب توقيع، وبعد تأكيد المستخدم، يتم بث المعاملة إلى الشبكة. يستغل المجرمون هذه العملية لتزوير طلبات التوقيع وسرقة الأصول.
طريقة العمل:
تلقى المستخدم رسالة بريد إلكتروني أو رسالة على وسائل التواصل الاجتماعي تتنكر كإشعار رسمي، مثل "العرض الجوي لـ NFT الخاص بك في انتظار الاستلام، يرجى التحقق من المحفظة". بعد النقر على الرابط، يتم توجيه المستخدم إلى موقع ضار، يطلب منه توصيل المحفظة وتوقيع "معاملة التحقق". قد تكون هذه المعاملة في الواقع استدعاء لوظيفة "Transfer"، مما يجعل ETH أو الرموز في المحفظة تنتقل مباشرة إلى عنوان الطرف الآخر؛ أو عملية "SetApprovalForAll"، التي تمنح الطرف الآخر السيطرة على مجموعة NFTs الخاصة بالمستخدم.
حالات حقيقية:
تعرض مجتمع مشروع NFT معروف لهجوم تصيد توقيع، حيث فقد العديد من المستخدمين NFTs بقيمة عدة ملايين من الدولارات بسبب توقيعهم على معاملات "استلام إيردروب" المزورة. استغل المهاجمون معيار توقيع EIP-712، وقاموا بتزوير طلبات تبدو آمنة.
(3) العملات الوهمية و"هجوم الغبار"
المبادئ التقنية:
تسمح شفافية البلوكتشين لأي شخص بإرسال رموز إلى أي عنوان، حتى لو لم يطلب المستلم ذلك بشكل نشط. يستغل المجرمون هذا من خلال إرسال كميات صغيرة من العملات المشفرة إلى عدة عناوين محفظة لتتبع أنشطة المحفظة وربطها بالأفراد أو الشركات التي تملك المحفظة. يبدأ الأمر بإرسال غبار - إرسال كميات صغيرة من العملات المشفرة إلى عناوين مختلفة، ثم محاولة معرفة أيها ينتمي إلى نفس المحفظة. بعد ذلك، يستغلون هذه المعلومات لشن هجمات تصيد أو تهديدات ضد الضحايا.
طريقة العمل:
في معظم الحالات، يتم توزيع "الغبار" المستخدم في هجمات الغبار على شكل إيردروب إلى محافظ المستخدمين، وقد تحمل هذه الرموز أسماء أو بيانات وصفية (مثل "FREE_AIRDROP")، مما يغري المستخدمين بزيارة موقع ويب للاستعلام عن التفاصيل. عادةً ما يكون المستخدمون سعداء برغبتهم في تحويل هذه الرموز، ثم يمكن للمجرمين الوصول إلى محفظة المستخدم من خلال عنوان العقد المرفق بالرموز. الخفي هو أن هجمات الغبار ستستخدم الهندسة الاجتماعية، وتحلل المعاملات اللاحقة للمستخدم، لتحديد عنوان محفظة المستخدم النشطة بدقة أكبر، مما يسمح بتنفيذ عمليات احتيال أكثر دقة.
حالات حقيقية:
في الماضي، أثرت هجمات "غبار العملة" الخاصة بـ "رموز الغاز" التي ظهرت على شبكة إيثيريوم على آلاف المحفظات. فقد بعض المستخدمين ETH ورموز ERC-20 بسبب فضولهم في التفاعل.
٢. لماذا يصعب التعرف على هذه الهجمات؟
إن نجاح هذه الهجمات يعود إلى حد كبير إلى أنها مخفية داخل آليات البلوكتشين الشرعية، مما يجعل من الصعب على المستخدمين العاديين التمييز بين طبيعتها الخبيثة. فيما يلي بعض الأسباب الرئيسية:
تعقيد التكنولوجيا:
العقود الذكية الكود وطلبات التوقيع غير مفهومة للمستخدمين غير التقنيين. على سبيل المثال، قد تظهر طلبات "Approve" على أنها بيانات سداسية عشري مثل "0x095ea7b3..."، مما يجعل من الصعب على المستخدمين فهم معانيها.
الشرعية على البلوكتشين:
تُسجل جميع المعاملات على البلوكتشين، وتبدو شفافة، ولكن غالبًا ما يدرك الضحايا عواقب التفويض أو التوقيع بعد حدوث ذلك، وعند هذه النقطة لا يمكن استرداد الأصول.
الهندسة الاجتماعية:
تستغل العناصر غير القانونية نقاط ضعف الطبيعة البشرية، مثل الجشع ("احصل على 1000 دولار من الرموز مجانًا")، والخوف ("يجب التحقق من الحساب بسبب حدوث استثناء")، أو الثقة (التظاهر بكونه خدمة العملاء).
التمويه البارع:
يمكن أن تستخدم مواقع الصيد URL مشابه للاسم الرسمي (مثل "metamask.io" يتحول إلى "metamaskk.io")، وحتى تعزز الثقة من خلال شهادة HTTPS.
ثلاثة، كيف تحمي محفظة العملات المشفرة الخاصة بك؟
في مواجهة هذه الهجمات التي تتزامن فيها التقنية والحرب النفسية، يتطلب حماية الأصول استراتيجيات متعددة المستويات. فيما يلي تدابير الحماية بالتفصيل:
تحقق وإدارة صلاحيات التفويض
استخدم مدقق الموافقة في متصفح البلوكتشين أو أدوات إدارة الأذونات المتخصصة للتحقق من سجلات تفويض المحفظة.
قم بإلغاء التفويضات غير الضرورية بانتظام، خاصةً التفويضات غير المحدودة للعناوين غير المعروفة.
قبل كل تفويض، تأكد من أن DApp يأتي من مصدر موثوق.
تحقق من قيمة "Allowance"، إذا كانت "غير محدودة" (مثل 2^256-1)، يجب إلغاؤها على الفور.
تحقق من الرابط والمصدر
أدخل عنوان URL الرسمي يدويًا، وتجنب النقر على الروابط في وسائل التواصل الاجتماعي أو البريد الإلكتروني.
تأكد من أن الموقع يستخدم اسم النطاق وشهادة SSL الصحيحة (رمز القفل الأخضر). كن حذرًا من الأخطاء الإملائية أو الأحرف الزائدة.
إذا تلقيت أشكالاً متغيرة من أسماء النطاقات لمنصات معروفة (مثل "opensea.io-login"), فاشكك في مصداقيتها على الفور.
استخدام المحفظة الباردة والتوقيع المتعدد
قم بتخزين معظم الأصول في محفظة الأجهزة، وتوصيلها بالإنترنت فقط عند الحاجة.
بالنسبة للأصول الكبيرة، استخدم أدوات التوقيع المتعدد، واطلب تأكيد المعاملات من مفاتيح متعددة، لتقليل مخاطر الأخطاء الفردية.
حتى إذا تم اختراق المحفظة الساخنة، تظل الأصول المخزنة في التخزين البارد آمنة.
تعامل بحذر مع طلبات التوقيع
اقرأ تفاصيل المعاملة في نافذة المحفظة بعناية في كل مرة تقوم فيها بالتوقيع.
استخدم ميزة "فك ترميز بيانات الإدخال" في متصفح البلوكتشين لتحليل محتوى التوقيع، أو استشر خبيرًا تقنيًا.
لإنشاء محفظة مستقلة للعمليات عالية المخاطر، وضع كمية صغيرة من الأصول.
### التصدي لهجمات الغبار
بعد استلام رموز غير معروفة، لا تتفاعل معها. قم بتصنيفها على أنها "بريد مزعج" أو إخفائها.
من خلال منصة متصفح البلوكتشين، تأكد من مصدر الرمز، وإذا كان إرسالًا جماعيًا، كن حذرًا للغاية.
تجنب الكشف عن عنوان المحفظة العامة، أو استخدام عنوان جديد لإجراء عمليات حساسة.
الخاتمة
من خلال تنفيذ التدابير الأمنية المذكورة أعلاه، يمكن للمستخدمين العاديين تقليل خطر أن يصبحوا ضحايا لبرامج الاحتيال المتقدمة بشكل كبير، لكن الأمان الحقيقي ليس انتصارًا من جانب التكنولوجيا فقط. عندما تبني المحفظة الصلبة خط الدفاع الفيزيائي، وتوزع التوقيعات المتعددة مخاطر التعرض، فإن فهم المستخدم لآلية التفويض، وحرصه على السلوك على السلسلة، هو آخر حصن ضد الهجمات. كل تحليل للبيانات قبل التوقيع، وكل مراجعة للصلاحيات بعد التفويض، هي تأكيد على سيادته الرقمية.
في المستقبل، بغض النظر عن كيفية تطور التكنولوجيا، ستظل الخط الدفاعي الأكثر أهمية هي: تحويل الوعي بالأمان إلى ذاكرة عضلية، وإقامة توازن دائم بين الثقة والتحقق. فبعد كل شيء، في عالم البلوكتشين حيث يكون الكود هو القانون، يتم تسجيل كل نقرة وكل صفقة بشكل دائم على السلسلة، ولا يمكن تغييرها.
شاهد النسخة الأصلية
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 16
أعجبني
16
6
مشاركة
تعليق
0/400
WalletWhisperer
· 07-18 06:04
أنماط السلوك لا تكذب أبداً... إحصائيات ثغرات العقود الذكية في ارتفاع منذ الربع الثاني
العقود الذكية أمان المناطق العمياء: كشف بروتوكول البلوكتشين هجمات مبتدئة جديدة
البلوكتشين العقود الذكية سلاح ذو حدين: الفرص والمخاطر المحتملة متواجدة
تُعيد العملات المشفرة وتكنولوجيا البلوكتشين تشكيل مفهوم الحرية المالية، لكن هذه الثورة جلبت أيضًا تحديات جديدة. مع تقدم التكنولوجيا، لم يعد المجرمون يقتصرون على استغلال ثغرات النظام، بل يقومون بذكاء بتحويل بروتوكولات العقود الذكية الخاصة بالبلوكتشين إلى أدوات هجومية. يصممون بعناية فخاخ الهندسة الاجتماعية، مستغلين شفافية البلوكتشين وعدم قابليته للعكس، لتحويل ثقة المستخدمين إلى وسيلة لسرقة الأصول. من تزوير العقود الذكية إلى التلاعب بالمعاملات عبر الشبكات، هذه الهجمات ليست فقط خفية وصعبة الكشف، ولكنها أيضًا أكثر خداعًا بسبب مظهرها "المشروع". ستقوم هذه المقالة من خلال تحليل الحالات الحقيقية بتسليط الضوء على كيفية تحويل المجرمين للبروتوكول نفسه إلى وسيلة هجوم، وتقديم حلول شاملة من الحماية التقنية إلى الوقاية السلوكية، لمساعدة المستخدمين على السير بأمان في عالم لا مركزي.
١. كيف يمكن إساءة استخدام بروتوكولات العقود الذكية؟
كان الهدف من تصميم بروتوكولات البلوكتشين هو ضمان الأمان والثقة، لكن الأفراد غير القانونيين استغلوا ميزاتها، بالتزامن مع إهمال المستخدمين، لإنشاء طرق هجوم متعددة مخفية. فيما يلي بعض الأساليب الشائعة وتفاصيلها التقنية:
(1) تفويض العقود الذكية الخبيثة
المبادئ التقنية: على البلوكتشين مثل الإيثيريوم، يتيح معيار ERC-20 للرموز للمستخدمين من خلال دالة "Approve" تفويض طرف ثالث (عادةً ما يكون عقدًا ذكيًا) لسحب كمية محددة من الرموز من محفظتهم. تُستخدم هذه الوظيفة على نطاق واسع في بروتوكولات DeFi، حيث يحتاج المستخدمون إلى تفويض العقود الذكية لإجراء المعاملات أو الرهن أو تعدين السيولة. ومع ذلك، يستغل المجرمون هذه الآلية لتصميم عقود ضارة.
طريقة العمل: إنهم يقومون بإنشاء تطبيقات لامركزية تتنكر كمشاريع قانونية، وغالبًا ما يتم الترويج لها من خلال مواقع التصيد أو وسائل التواصل الاجتماعي. يقوم المستخدمون بربط محفظتهم ويتم إغواؤهم بالنقر على "Approve"، والذي يبدو في الظاهر أنه تفويض لمبلغ صغير من الرموز، ولكنه في الواقع قد يكون مبلغًا غير محدود (قيمة uint256.max). بمجرد اكتمال التفويض، يحصل عنوان عقد المجرمين على الإذن، ويمكنه استدعاء وظيفة "TransferFrom" في أي وقت لسحب جميع الرموز المقابلة من محفظة المستخدم.
حالة حقيقية: في بداية عام 2023، تسبب موقع تصيد احتيالي مت disguised على أنه "ترقية某DEX" في خسارة مئات المستخدمين لعدة ملايين من الدولارات من USDT و ETH. تظهر البيانات على البلوكتشين أن هذه المعاملات تتوافق تمامًا مع معيار ERC-20، ولا يمكن للضحايا حتى استرداد أموالهم من خلال الوسائل القانونية، لأن التفويض تم توقيعه طوعًا.
(2) توقيع التصيد
المبادئ التقنية: تتطلب معاملات البلوكتشين من المستخدمين توليد توقيع باستخدام المفتاح الخاص لإثبات شرعية المعاملة. عادةً ما تظهر المحفظة طلب توقيع، وبعد تأكيد المستخدم، يتم بث المعاملة إلى الشبكة. يستغل المجرمون هذه العملية لتزوير طلبات التوقيع وسرقة الأصول.
طريقة العمل: تلقى المستخدم رسالة بريد إلكتروني أو رسالة على وسائل التواصل الاجتماعي تتنكر كإشعار رسمي، مثل "العرض الجوي لـ NFT الخاص بك في انتظار الاستلام، يرجى التحقق من المحفظة". بعد النقر على الرابط، يتم توجيه المستخدم إلى موقع ضار، يطلب منه توصيل المحفظة وتوقيع "معاملة التحقق". قد تكون هذه المعاملة في الواقع استدعاء لوظيفة "Transfer"، مما يجعل ETH أو الرموز في المحفظة تنتقل مباشرة إلى عنوان الطرف الآخر؛ أو عملية "SetApprovalForAll"، التي تمنح الطرف الآخر السيطرة على مجموعة NFTs الخاصة بالمستخدم.
حالات حقيقية: تعرض مجتمع مشروع NFT معروف لهجوم تصيد توقيع، حيث فقد العديد من المستخدمين NFTs بقيمة عدة ملايين من الدولارات بسبب توقيعهم على معاملات "استلام إيردروب" المزورة. استغل المهاجمون معيار توقيع EIP-712، وقاموا بتزوير طلبات تبدو آمنة.
(3) العملات الوهمية و"هجوم الغبار"
المبادئ التقنية: تسمح شفافية البلوكتشين لأي شخص بإرسال رموز إلى أي عنوان، حتى لو لم يطلب المستلم ذلك بشكل نشط. يستغل المجرمون هذا من خلال إرسال كميات صغيرة من العملات المشفرة إلى عدة عناوين محفظة لتتبع أنشطة المحفظة وربطها بالأفراد أو الشركات التي تملك المحفظة. يبدأ الأمر بإرسال غبار - إرسال كميات صغيرة من العملات المشفرة إلى عناوين مختلفة، ثم محاولة معرفة أيها ينتمي إلى نفس المحفظة. بعد ذلك، يستغلون هذه المعلومات لشن هجمات تصيد أو تهديدات ضد الضحايا.
طريقة العمل: في معظم الحالات، يتم توزيع "الغبار" المستخدم في هجمات الغبار على شكل إيردروب إلى محافظ المستخدمين، وقد تحمل هذه الرموز أسماء أو بيانات وصفية (مثل "FREE_AIRDROP")، مما يغري المستخدمين بزيارة موقع ويب للاستعلام عن التفاصيل. عادةً ما يكون المستخدمون سعداء برغبتهم في تحويل هذه الرموز، ثم يمكن للمجرمين الوصول إلى محفظة المستخدم من خلال عنوان العقد المرفق بالرموز. الخفي هو أن هجمات الغبار ستستخدم الهندسة الاجتماعية، وتحلل المعاملات اللاحقة للمستخدم، لتحديد عنوان محفظة المستخدم النشطة بدقة أكبر، مما يسمح بتنفيذ عمليات احتيال أكثر دقة.
حالات حقيقية: في الماضي، أثرت هجمات "غبار العملة" الخاصة بـ "رموز الغاز" التي ظهرت على شبكة إيثيريوم على آلاف المحفظات. فقد بعض المستخدمين ETH ورموز ERC-20 بسبب فضولهم في التفاعل.
٢. لماذا يصعب التعرف على هذه الهجمات؟
إن نجاح هذه الهجمات يعود إلى حد كبير إلى أنها مخفية داخل آليات البلوكتشين الشرعية، مما يجعل من الصعب على المستخدمين العاديين التمييز بين طبيعتها الخبيثة. فيما يلي بعض الأسباب الرئيسية:
تعقيد التكنولوجيا: العقود الذكية الكود وطلبات التوقيع غير مفهومة للمستخدمين غير التقنيين. على سبيل المثال، قد تظهر طلبات "Approve" على أنها بيانات سداسية عشري مثل "0x095ea7b3..."، مما يجعل من الصعب على المستخدمين فهم معانيها.
الشرعية على البلوكتشين: تُسجل جميع المعاملات على البلوكتشين، وتبدو شفافة، ولكن غالبًا ما يدرك الضحايا عواقب التفويض أو التوقيع بعد حدوث ذلك، وعند هذه النقطة لا يمكن استرداد الأصول.
الهندسة الاجتماعية: تستغل العناصر غير القانونية نقاط ضعف الطبيعة البشرية، مثل الجشع ("احصل على 1000 دولار من الرموز مجانًا")، والخوف ("يجب التحقق من الحساب بسبب حدوث استثناء")، أو الثقة (التظاهر بكونه خدمة العملاء).
التمويه البارع: يمكن أن تستخدم مواقع الصيد URL مشابه للاسم الرسمي (مثل "metamask.io" يتحول إلى "metamaskk.io")، وحتى تعزز الثقة من خلال شهادة HTTPS.
ثلاثة، كيف تحمي محفظة العملات المشفرة الخاصة بك؟
في مواجهة هذه الهجمات التي تتزامن فيها التقنية والحرب النفسية، يتطلب حماية الأصول استراتيجيات متعددة المستويات. فيما يلي تدابير الحماية بالتفصيل:
تحقق وإدارة صلاحيات التفويض
تحقق من الرابط والمصدر
استخدام المحفظة الباردة والتوقيع المتعدد
تعامل بحذر مع طلبات التوقيع
### التصدي لهجمات الغبار
الخاتمة
من خلال تنفيذ التدابير الأمنية المذكورة أعلاه، يمكن للمستخدمين العاديين تقليل خطر أن يصبحوا ضحايا لبرامج الاحتيال المتقدمة بشكل كبير، لكن الأمان الحقيقي ليس انتصارًا من جانب التكنولوجيا فقط. عندما تبني المحفظة الصلبة خط الدفاع الفيزيائي، وتوزع التوقيعات المتعددة مخاطر التعرض، فإن فهم المستخدم لآلية التفويض، وحرصه على السلوك على السلسلة، هو آخر حصن ضد الهجمات. كل تحليل للبيانات قبل التوقيع، وكل مراجعة للصلاحيات بعد التفويض، هي تأكيد على سيادته الرقمية.
في المستقبل، بغض النظر عن كيفية تطور التكنولوجيا، ستظل الخط الدفاعي الأكثر أهمية هي: تحويل الوعي بالأمان إلى ذاكرة عضلية، وإقامة توازن دائم بين الثقة والتحقق. فبعد كل شيء، في عالم البلوكتشين حيث يكون الكود هو القانون، يتم تسجيل كل نقرة وكل صفقة بشكل دائم على السلسلة، ولا يمكن تغييرها.