التهديدات الجديدة في عالم البلوكتشين: الجمع بين ثغرات البروتوكول والهندسة الاجتماعية
تقوم العملات المشفرة وتقنية البلوكتشين بإعادة تعريف الحرية المالية، لكنها في الوقت نفسه تجلب تحديات أمان جديدة. لم يعد المحتالون يستغلون ثغرات تقنية فحسب، بل حولوا بروتوكولات عقود البلوكتشين الذكية نفسها إلى أدوات هجوم. من خلال فخاخ الهندسة الاجتماعية المصممة بعناية، يستغلون شفافية البلوكتشين وعدم قابليته للعكس، مما يحوّل ثقة المستخدمين إلى أدوات لسرقة الأصول. من تزوير عقود الذكاء إلى التلاعب بالمعاملات عبر السلاسل، هذه الهجمات ليست فقط خفية وصعبة الاكتشاف، بل إنها أيضاً تحمل مظهراً "شرعياً" مما يزيد من قدرتها على الخداع.
١. كيف يتم تحويل البروتوكول إلى أداة احتيال؟
الهدف من بروتوكول البلوكتشين هو ضمان الأمان والثقة، لكن المحتالين يستغلون ميزاته، جنبًا إلى جنب مع إهمال المستخدمين، لإنشاء طرق هجوم خفية متعددة.
(1) تفويض عقد ذكي ضار
المبدأ الفني:
معيار الرموز ERC-20 يسمح للمستخدمين باستخدام دالة "Approve" لتفويض طرف ثالث لسحب كمية محددة من الرموز من محفظتهم. تُستخدم هذه الميزة على نطاق واسع في بروتوكولات DeFi، لكنها استُغلت أيضًا من قبل المحتالين.
طريقة العمل:
ينشئ المحتالون تطبيقات لامركزية تتنكر كمشاريع قانونية، مما يخدع المستخدمين لمنح الإذن. يبدو أن الإذن يتعلق بعدد قليل من الرموز، ولكن في الواقع قد يكون غير محدود. بمجرد اكتمال الإذن، يمكن للمحتالين سحب جميع الرموز المقابلة من محفظة المستخدم في أي وقت.
حالة:
في بداية عام 2023، أدى موقع احتيالي يتنكر في شكل "ترقية معينة للـ DEX" إلى خسارة مئات المستخدمين لملايين الدولارات من USDT و ETH. كانت هذه المعاملات تتوافق تمامًا مع معيار ERC-20، وكان من الصعب على الضحايا استعادة أموالهم من خلال الوسائل القانونية.
(2) توقيع الصيد
المبادئ التقنية:
تتطلب معاملات البلوكتشين من المستخدمين إنشاء توقيعات باستخدام المفتاح الخاص. يستغل المحتالون هذه العملية لتزوير طلبات التوقيع وسرقة الأصول.
كيفية العمل:
تلقى المستخدم رسالة تتنكر في شكل إشعار رسمي، وتم توجيهه إلى موقع ضار لتوقيع "تحقق من الصفقة". قد تؤدي هذه الصفقة إلى تحويل أصول المستخدم مباشرة أو تفويض المحتالين بالتحكم في مجموعة NFTs الخاصة بالمستخدم.
حالة:
تعرض مجتمع مشروع NFT معروف لهجوم تصيد توقيع، حيث فقد العديد من المستخدمين NFTs بقيمة ملايين الدولارات بسبب توقيعهم على معاملات "استلام الإيردروب" المزيفة.
(3) رموز مزيفة و"هجمات الغبار"
المبدأ التقني:
تسمح علنية البلوكتشين لأي شخص بإرسال رموز إلى أي عنوان. يستغل المحتالون هذه النقطة من خلال إرسال كمية صغيرة من العملات المشفرة لتتبع نشاط المحفظة.
كيفية العمل:
المحتالون يرسلون كميات صغيرة من الرموز إلى عدة عناوين، وقد تحمل هذه الرموز أسماء مغرية. عندما يحاول المستخدمون استردادها، قد يحصل المهاجمون على صلاحيات الوصول إلى المحفظة أو ينفذون عمليات احتيال أكثر دقة.
حالة استخدام:
حدثت هجمات "غبار GAS" على شبكة إيثيريوم، مما أثر على الآلاف من المحفظات. بعض المستخدمين فقدوا ETH وعملات أخرى بسبب فضولهم في التفاعل.
٢. لماذا يصعب اكتشاف هذه الحيل؟
هذه الاحتيالات ناجحة إلى حد كبير لأنها مخفية في الآليات القانونية للبلوكتشين، مما يجعل من الصعب على المستخدمين العاديين التمييز بين طبيعتها الخبيثة. الأسباب الرئيسية تشمل:
تعقيد التكنولوجيا: من الصعب على المستخدمين غير التقنيين فهم كود العقد الذكي وطلبات التوقيع.
الشرعية على البلوكتشين: جميع المعاملات مسجلة على البلوكتشين، مما يبدو شفافًا، ولكن الضحايا غالبًا ما يدركون المشكلة بعد فوات الأوان.
الهندسة الاجتماعية: يستغل المحتالون نقاط الضعف البشرية مثل الجشع والخوف والثقة.
التمويه المتقن: قد تستخدم مواقع التصيد URLs مشابهة للاسم الرسمي، بل وقد تعزز مصداقيتها من خلال شهادات HTTPS.
ثلاثة، كيف تحمي محفظة العملات المشفرة الخاصة بك؟
في مواجهة هذه الاحتيالات التي تتضمن كل من الحروب النفسية والتقنية، تحتاج حماية الأصول إلى استراتيجيات متعددة الطبقات:
تحقق من وإدارة صلاحيات التفويض
استخدام أداة فحص التفويض لمراجعة سجلات تفويض المحفظة بشكل دوري.
إلغاء التفويضات غير الضرورية، خاصةً التفويضات غير المحدودة للعناوين المجهولة.
تحقق من الروابط والمصادر
أدخل عنوان URL الرسمي يدويًا، وتجنب النقر على الروابط في وسائل التواصل الاجتماعي أو الرسائل الإلكترونية.
تأكد من أن الموقع يستخدم اسم النطاق وشهادة SSL الصحيحة.
استخدام المحفظة الباردة والتوقيع المتعدد
قم بتخزين معظم الأصول في محفظة الأجهزة.
استخدم أدوات التوقيع المتعدد للأصول ذات القيمة العالية، مما يتطلب تأكيد المعاملات من عدة مفاتيح.
التعامل بحذر مع طلبات التوقيع
اقرأ بعناية تفاصيل الصفقة في نافذة المحفظة المنبثقة.
استخدام ميزات مستعرض البلوكتشين لتحليل محتوى التوقيع.
مواجهة هجمات الغبار
بعد استلام رموز غير معروفة، لا تتفاعل.
تأكيد مصدر الرمز من خلال متصفح البلوكتشين.
تجنب نشر عنوان المحفظة، أو استخدام عنوان جديد لإجراء العمليات الحساسة.
الخاتمة
من خلال تنفيذ التدابير الأمنية المذكورة أعلاه، يمكن للمستخدمين تقليل خطر أن يصبحوا ضحايا لبرامج الاحتيال المتقدمة بشكل كبير. ومع ذلك، فإن الأمان الحقيقي لا يعتمد فقط على الوسائل التقنية. إن فهم المستخدمين لمنطق التفويض، والموقف الحذر تجاه السلوكيات على البلوكتشين، هو الخط الدفاعي الأخير ضد الهجمات.
في عالم البلوكتشين، يتم تسجيل كل توقيع وكل معاملة بشكل دائم، ولا يمكن تغييره. لذلك، من الضروري أن يتم دمج الوعي بالأمان كعادة يومية، والحفاظ على التوازن بين الثقة والتحقق، لحماية الأصول الرقمية. مع استمرار تطور التكنولوجيا، يجب أن تتماشى يقظة المستخدمين ومعرفتهم مع الزمن، حتى يتمكنوا من الإبحار بأمان في هذا العالم المالي الرقمي المليء بالفرص والمخاطر.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
تسجيلات الإعجاب 13
أعجبني
13
8
مشاركة
تعليق
0/400
RooftopReserver
· منذ 4 س
كن حذراً يا الجميع، ببطء سترى الأصدقاء القدامى في السطح.
شاهد النسخة الأصليةرد0
MissingSats
· 07-03 08:20
خداع الناس لتحقيق الربح又开始啦
شاهد النسخة الأصليةرد0
GateUser-bd883c58
· 07-02 05:49
حمقى又要遭殃了
شاهد النسخة الأصليةرد0
MetaReckt
· 07-02 05:48
مرة أخرى، فخ العقود الذكية. من تعرض للخسارة، يمر.
شاهد النسخة الأصليةرد0
SmartContractRebel
· 07-02 05:43
مع هذه الأمانة، هل لا يزال يجرؤ على الحديث عن ويب 3؟
البلوكتشين تضليل الجديد: تهديدات تجمع بين ثغرات البروتوكول ووسائل الهندسة الاجتماعية
التهديدات الجديدة في عالم البلوكتشين: الجمع بين ثغرات البروتوكول والهندسة الاجتماعية
تقوم العملات المشفرة وتقنية البلوكتشين بإعادة تعريف الحرية المالية، لكنها في الوقت نفسه تجلب تحديات أمان جديدة. لم يعد المحتالون يستغلون ثغرات تقنية فحسب، بل حولوا بروتوكولات عقود البلوكتشين الذكية نفسها إلى أدوات هجوم. من خلال فخاخ الهندسة الاجتماعية المصممة بعناية، يستغلون شفافية البلوكتشين وعدم قابليته للعكس، مما يحوّل ثقة المستخدمين إلى أدوات لسرقة الأصول. من تزوير عقود الذكاء إلى التلاعب بالمعاملات عبر السلاسل، هذه الهجمات ليست فقط خفية وصعبة الاكتشاف، بل إنها أيضاً تحمل مظهراً "شرعياً" مما يزيد من قدرتها على الخداع.
١. كيف يتم تحويل البروتوكول إلى أداة احتيال؟
الهدف من بروتوكول البلوكتشين هو ضمان الأمان والثقة، لكن المحتالين يستغلون ميزاته، جنبًا إلى جنب مع إهمال المستخدمين، لإنشاء طرق هجوم خفية متعددة.
(1) تفويض عقد ذكي ضار
المبدأ الفني: معيار الرموز ERC-20 يسمح للمستخدمين باستخدام دالة "Approve" لتفويض طرف ثالث لسحب كمية محددة من الرموز من محفظتهم. تُستخدم هذه الميزة على نطاق واسع في بروتوكولات DeFi، لكنها استُغلت أيضًا من قبل المحتالين.
طريقة العمل: ينشئ المحتالون تطبيقات لامركزية تتنكر كمشاريع قانونية، مما يخدع المستخدمين لمنح الإذن. يبدو أن الإذن يتعلق بعدد قليل من الرموز، ولكن في الواقع قد يكون غير محدود. بمجرد اكتمال الإذن، يمكن للمحتالين سحب جميع الرموز المقابلة من محفظة المستخدم في أي وقت.
حالة: في بداية عام 2023، أدى موقع احتيالي يتنكر في شكل "ترقية معينة للـ DEX" إلى خسارة مئات المستخدمين لملايين الدولارات من USDT و ETH. كانت هذه المعاملات تتوافق تمامًا مع معيار ERC-20، وكان من الصعب على الضحايا استعادة أموالهم من خلال الوسائل القانونية.
(2) توقيع الصيد
المبادئ التقنية: تتطلب معاملات البلوكتشين من المستخدمين إنشاء توقيعات باستخدام المفتاح الخاص. يستغل المحتالون هذه العملية لتزوير طلبات التوقيع وسرقة الأصول.
كيفية العمل: تلقى المستخدم رسالة تتنكر في شكل إشعار رسمي، وتم توجيهه إلى موقع ضار لتوقيع "تحقق من الصفقة". قد تؤدي هذه الصفقة إلى تحويل أصول المستخدم مباشرة أو تفويض المحتالين بالتحكم في مجموعة NFTs الخاصة بالمستخدم.
حالة: تعرض مجتمع مشروع NFT معروف لهجوم تصيد توقيع، حيث فقد العديد من المستخدمين NFTs بقيمة ملايين الدولارات بسبب توقيعهم على معاملات "استلام الإيردروب" المزيفة.
(3) رموز مزيفة و"هجمات الغبار"
المبدأ التقني: تسمح علنية البلوكتشين لأي شخص بإرسال رموز إلى أي عنوان. يستغل المحتالون هذه النقطة من خلال إرسال كمية صغيرة من العملات المشفرة لتتبع نشاط المحفظة.
كيفية العمل: المحتالون يرسلون كميات صغيرة من الرموز إلى عدة عناوين، وقد تحمل هذه الرموز أسماء مغرية. عندما يحاول المستخدمون استردادها، قد يحصل المهاجمون على صلاحيات الوصول إلى المحفظة أو ينفذون عمليات احتيال أكثر دقة.
حالة استخدام: حدثت هجمات "غبار GAS" على شبكة إيثيريوم، مما أثر على الآلاف من المحفظات. بعض المستخدمين فقدوا ETH وعملات أخرى بسبب فضولهم في التفاعل.
٢. لماذا يصعب اكتشاف هذه الحيل؟
هذه الاحتيالات ناجحة إلى حد كبير لأنها مخفية في الآليات القانونية للبلوكتشين، مما يجعل من الصعب على المستخدمين العاديين التمييز بين طبيعتها الخبيثة. الأسباب الرئيسية تشمل:
تعقيد التكنولوجيا: من الصعب على المستخدمين غير التقنيين فهم كود العقد الذكي وطلبات التوقيع.
الشرعية على البلوكتشين: جميع المعاملات مسجلة على البلوكتشين، مما يبدو شفافًا، ولكن الضحايا غالبًا ما يدركون المشكلة بعد فوات الأوان.
الهندسة الاجتماعية: يستغل المحتالون نقاط الضعف البشرية مثل الجشع والخوف والثقة.
التمويه المتقن: قد تستخدم مواقع التصيد URLs مشابهة للاسم الرسمي، بل وقد تعزز مصداقيتها من خلال شهادات HTTPS.
ثلاثة، كيف تحمي محفظة العملات المشفرة الخاصة بك؟
في مواجهة هذه الاحتيالات التي تتضمن كل من الحروب النفسية والتقنية، تحتاج حماية الأصول إلى استراتيجيات متعددة الطبقات:
تحقق من وإدارة صلاحيات التفويض
تحقق من الروابط والمصادر
استخدام المحفظة الباردة والتوقيع المتعدد
التعامل بحذر مع طلبات التوقيع
مواجهة هجمات الغبار
الخاتمة
من خلال تنفيذ التدابير الأمنية المذكورة أعلاه، يمكن للمستخدمين تقليل خطر أن يصبحوا ضحايا لبرامج الاحتيال المتقدمة بشكل كبير. ومع ذلك، فإن الأمان الحقيقي لا يعتمد فقط على الوسائل التقنية. إن فهم المستخدمين لمنطق التفويض، والموقف الحذر تجاه السلوكيات على البلوكتشين، هو الخط الدفاعي الأخير ضد الهجمات.
في عالم البلوكتشين، يتم تسجيل كل توقيع وكل معاملة بشكل دائم، ولا يمكن تغييره. لذلك، من الضروري أن يتم دمج الوعي بالأمان كعادة يومية، والحفاظ على التوازن بين الثقة والتحقق، لحماية الأصول الرقمية. مع استمرار تطور التكنولوجيا، يجب أن تتماشى يقظة المستخدمين ومعرفتهم مع الزمن، حتى يتمكنوا من الإبحار بأمان في هذا العالم المالي الرقمي المليء بالفرص والمخاطر.