التصيد الاحتيالي بتوقيع Web3: تحليل المنطق الأساسي ودليل الوقاية
في الفترة الأخيرة، أصبحت "هجمات التصيد بالاستعانة بالتوقيع" من أكثر أساليب الهجوم المفضلة لدى القراصنة في Web3. على الرغم من أن خبراء الأمن وشركات المحافظ يواصلون جهود التوعية، إلا أن هناك العديد من المستخدمين الذين يقعون في الفخ يوميًا. ويعود ذلك بشكل رئيسي إلى أن معظم الناس يفتقرون إلى الفهم العميق لآلية التفاعل مع المحافظ، وأن عتبة التعلم للأشخاص غير التقنيين مرتفعة.
لتسهيل فهم هذه المشكلة للعديد من الأشخاص، ستقوم هذه المقالة بشرح المنطق الأساسي للاحتيال بالتوقيع بطريقة سهلة الفهم.
أولاً، نحتاج إلى فهم أن هناك عمليتين أساسيتين عند استخدام المحفظة: "التوقيع" و"التفاعل". ببساطة، يحدث التوقيع خارج السلسلة ولا يتطلب دفع رسوم الغاز؛ بينما يحدث التفاعل على السلسلة ويتطلب دفع رسوم الغاز.
تستخدم التوقيعات عادةً للتحقق من الهوية، مثل تسجيل الدخول إلى المحفظة أو الاتصال بشيء من DApp. هذه العملية لن تؤثر على بيانات blockchain، لذلك لا حاجة لدفع رسوم.
التفاعل يتضمن العمليات الفعلية على السلسلة. على سبيل المثال، عند تبادل الرموز في DEX معين، تحتاج أولاً إلى تفويض العقد الذكي باستخدام الرموز الخاصة بك، ثم تنفيذ عملية التبادل. يتطلب كلا الخطوتين دفع رسوم الغاز.
بعد فهم الفرق بين التوقيع والتفاعل، دعونا نلقي نظرة على ثلاثة أنواع شائعة من عمليات الصيد الاحتيالي: صيد الاحتيال من خلال التفويض، صيد الاحتيال بتوقيع Permit، وصيد الاحتيال بتوقيع Permit2.
استغلال التصيد الاحتيالي لآلية تفويض العقود الذكية. يقوم القراصنة من خلال تزوير موقع جميل، بإغراء المستخدمين للنقر على أزرار مثل "استلام التوزيع المجاني"، ولكن في الواقع، فإنهم يجعلون المستخدمين يفوضون عنوان القراصنة للتصرف في رموزهم. تتطلب هذه الطريقة دفع رسوم الغاز، لذا قد يكون المستخدمون أكثر حذرًا.
من الصعب جدًا الدفاع عن هجمات التصيد التي تستخدم توقيع Permit وPermit2. Permit هي ميزة موسعة لمعيار ERC-20، تتيح للمستخدمين تفويض الآخرين للتعامل مع رموزهم من خلال توقيع. Permit2 هي وظيفة قدمتها بعض منصات التداول اللامركزية، وتهدف إلى تبسيط عملية المستخدم. كلا طريقتي التصيد لا تتطلبان من المستخدمين دفع رسوم غاز، مما يجعل من السهل جدًا أن يصبحوا غير يقظين.
يمكن للقراصنة من خلال تزوير المواقع استبدال زر تسجيل الدخول بطلب توقيع Permit أو Permit2. بمجرد توقيع المستخدم، يمكن للقراصنة الحصول على إذن للتصرف في أصول المستخدم.
كيف يمكن الوقاية من هذه الهجمات الاحتيالية؟
تعزيز الوعي بالأمان، يجب التحقق بعناية في كل مرة يتم فيها استخدام المحفظة.
فصل الأموال الكبيرة عن المحفظة المستخدمة يومياً لتقليل الخسائر المحتملة.
تعلم كيفية التعرف على تنسيق توقيع Permit و Permit2، كن حذرًا بشكل خاص عند رؤية المحتويات التالية:
تفاعلي:رابط تفاعلي
المالك:عنوان المصرح
Spender: عنوان الجهة المخولة
القيمة: كمية التفويض
Nonce: رقم عشوائي
Deadline:تاريخ الانتهاء
من خلال فهم هذه الآليات الأساسية وتدابير الحماية، يمكننا حماية أصول Web3 الخاصة بنا بشكل أفضل.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 15
أعجبني
15
5
إعادة النشر
مشاركة
تعليق
0/400
GhostAddressHunter
· منذ 5 س
لو قيل أن صفقة الصيد تحتاج إلى غاز لما وقع أحد في الفخ~
شاهد النسخة الأصليةرد0
TokenVelocity
· منذ 14 س
عندما دخلت، تم اصطيادي بواسطة سمكة، هناك الكثير من اللاعبين الجدد.
شاهد النسخة الأصليةرد0
TopBuyerBottomSeller
· 08-13 04:01
لقد تعرضت لضرر مرة أخرى، لقد خسرت حتى السروال الداخلي.
شاهد النسخة الأصليةرد0
CommunitySlacker
· 08-13 04:00
لا يفهم الإنسان إلا بعد أن يتعرض للخداع، فالندبة هي أفضل معلم.
شاهد النسخة الأصليةرد0
NestedFox
· 08-13 03:59
جاء مرة أخرى للقيام بالتوعية، من الأفضل أن نبدأ العرض مباشرة.
تحليل شامل لهجمات التصيد الإلكتروني بتوقيع Web3: تحليل المبدأ واستراتيجيات الحماية
التصيد الاحتيالي بتوقيع Web3: تحليل المنطق الأساسي ودليل الوقاية
في الفترة الأخيرة، أصبحت "هجمات التصيد بالاستعانة بالتوقيع" من أكثر أساليب الهجوم المفضلة لدى القراصنة في Web3. على الرغم من أن خبراء الأمن وشركات المحافظ يواصلون جهود التوعية، إلا أن هناك العديد من المستخدمين الذين يقعون في الفخ يوميًا. ويعود ذلك بشكل رئيسي إلى أن معظم الناس يفتقرون إلى الفهم العميق لآلية التفاعل مع المحافظ، وأن عتبة التعلم للأشخاص غير التقنيين مرتفعة.
لتسهيل فهم هذه المشكلة للعديد من الأشخاص، ستقوم هذه المقالة بشرح المنطق الأساسي للاحتيال بالتوقيع بطريقة سهلة الفهم.
أولاً، نحتاج إلى فهم أن هناك عمليتين أساسيتين عند استخدام المحفظة: "التوقيع" و"التفاعل". ببساطة، يحدث التوقيع خارج السلسلة ولا يتطلب دفع رسوم الغاز؛ بينما يحدث التفاعل على السلسلة ويتطلب دفع رسوم الغاز.
تستخدم التوقيعات عادةً للتحقق من الهوية، مثل تسجيل الدخول إلى المحفظة أو الاتصال بشيء من DApp. هذه العملية لن تؤثر على بيانات blockchain، لذلك لا حاجة لدفع رسوم.
التفاعل يتضمن العمليات الفعلية على السلسلة. على سبيل المثال، عند تبادل الرموز في DEX معين، تحتاج أولاً إلى تفويض العقد الذكي باستخدام الرموز الخاصة بك، ثم تنفيذ عملية التبادل. يتطلب كلا الخطوتين دفع رسوم الغاز.
بعد فهم الفرق بين التوقيع والتفاعل، دعونا نلقي نظرة على ثلاثة أنواع شائعة من عمليات الصيد الاحتيالي: صيد الاحتيال من خلال التفويض، صيد الاحتيال بتوقيع Permit، وصيد الاحتيال بتوقيع Permit2.
استغلال التصيد الاحتيالي لآلية تفويض العقود الذكية. يقوم القراصنة من خلال تزوير موقع جميل، بإغراء المستخدمين للنقر على أزرار مثل "استلام التوزيع المجاني"، ولكن في الواقع، فإنهم يجعلون المستخدمين يفوضون عنوان القراصنة للتصرف في رموزهم. تتطلب هذه الطريقة دفع رسوم الغاز، لذا قد يكون المستخدمون أكثر حذرًا.
من الصعب جدًا الدفاع عن هجمات التصيد التي تستخدم توقيع Permit وPermit2. Permit هي ميزة موسعة لمعيار ERC-20، تتيح للمستخدمين تفويض الآخرين للتعامل مع رموزهم من خلال توقيع. Permit2 هي وظيفة قدمتها بعض منصات التداول اللامركزية، وتهدف إلى تبسيط عملية المستخدم. كلا طريقتي التصيد لا تتطلبان من المستخدمين دفع رسوم غاز، مما يجعل من السهل جدًا أن يصبحوا غير يقظين.
يمكن للقراصنة من خلال تزوير المواقع استبدال زر تسجيل الدخول بطلب توقيع Permit أو Permit2. بمجرد توقيع المستخدم، يمكن للقراصنة الحصول على إذن للتصرف في أصول المستخدم.
كيف يمكن الوقاية من هذه الهجمات الاحتيالية؟
من خلال فهم هذه الآليات الأساسية وتدابير الحماية، يمكننا حماية أصول Web3 الخاصة بنا بشكل أفضل.