في الفترة الأخيرة، أصبح "صيد التوقيع" واحدًا من أكثر أساليب الاحتيال المفضلة لدى قراصنة Web3. على الرغم من جهود خبراء الأمان وشركات المحفظة في نشر الوعي، إلا أنه لا يزال هناك العديد من المستخدمين الذين يصبحون ضحايا يوميًا. أحد الأسباب الرئيسية لهذه الظاهرة هو أن معظم الناس يفتقرون إلى الفهم الأساسي لمنطق التفاعل مع المحفظة، وأن عائق التعلم مرتفع بالنسبة لغير المتخصصين.
لمساعدة المزيد من الناس على فهم هذه المسألة، ستقوم هذه المقالة بشرح المنطق الأساسي لعملية التصيد بالتوقيع بطريقة بسيطة وسهلة الفهم.
طريقتان لت操作 المحفظة
عند استخدام محفظة Web3، لدينا نوعان رئيسيان من العمليات: "التوقيع" و"التفاعل".
التوقيع: يحدث خارج سلسلة الكتل (خارج السلسلة)، ولا يتطلب دفع رسوم الغاز.
التفاعل: يحدث على البلوكشين (على السلسلة)، ويتطلب دفع رسوم الغاز.
تستخدم التوقيعات عادةً للتحقق من الهوية، مثل تسجيل الدخول إلى المحفظة أو الاتصال بـ DApp. هذه العملية لا تؤثر على بيانات البلوكشين، لذا لا حاجة لدفع رسوم.
التفاعل يتضمن عمليات blockchain الفعلية. على سبيل المثال، عند إجراء تبادل رموز على DEX معين، تحتاج أولاً إلى منح إذن (approve) للعقد الذكي لاستخدام رموزك، ثم تنفيذ عملية التبادل الفعلية. تتطلب هاتان الخطوتان دفع رسوم الغاز.
طرق الاحتيال الشائعة
1. تفويض الصيد
هذه طريقة تقليدية للاحتيال في Web3. يقوم المخترق بإنشاء موقع يبدو قانونيًا، ليغري المستخدمين بإجراء عمليات التفويض. عندما ينقر المستخدمون على أزرار مثل "استلام الإيهام"، فإنهم في الواقع يقومون بتفويض عنوان المخترق باستخدام رموزهم.
2. تصريح توقيع الصيد
تعد Permit ميزة موسعة لمعيار ERC-20، حيث تتيح للمستخدمين الموافقة على استخدام رموزهم من قبل الآخرين من خلال التوقيع. يمكن للقراصنة أن يحفزوا المستخدمين على توقيع مثل هذا الإذن، ثم يستغلون هذا التوقيع لنقل أصول المستخدم.
3. تصيد توقيع Permit2
تعتبر Permit2 ميزة أطلقها بعض DEX لتبسيط عمليات المستخدمين. فهي تتيح للمستخدمين تفويض مبلغ كبير مرة واحدة، وبعد ذلك يتعين عليهم فقط التوقيع لإجراء المعاملات. ومع ذلك، إذا كان المستخدم قد استخدم هذا DEX من قبل ومنح صلاحية غير محدودة، يمكن للقراصنة استغلال هذه الآلية لنقل أصول المستخدم.
تدابير الوقاية
تعزيز الوعي بالأمان: تحقق بعناية من العملية التي تقوم بتنفيذها في كل مرة تقوم فيها بعمليات على المحفظة.
فصل الأصول: فصل الأموال الكبيرة عن المحفظة المستخدمة يوميًا لتقليل الخسائر المحتملة.
تعلم كيفية التعرف على تنسيق توقيع Permit وPermit2: احذر من طلبات التوقيع التي تحتوي على الحقول التالية:
تفاعلي(交互网址)
المالك (عنوان المفوض)
Spender (عنوان الطرف المخول)
القيمة (عدد الأذونات)
Nonce (رقم عشوائي)
Deadline (موعد الانتهاء)
من خلال فهم مبادئ هذه الأساليب الاحتيالية واتخاذ تدابير وقائية مناسبة، يمكن للمستخدمين حماية أصولهم الرقمية بشكل أفضل. في عالم Web3، من الضروري أن تظل يقظًا وتستمر في التعلم.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 11
أعجبني
11
6
إعادة النشر
مشاركة
تعليق
0/400
GasOptimizer
· 08-09 19:28
لقد ولت رسوم الغاز ، لكن من الجيد حلها ، وإذا تم اكتشافها ، إرسالها
شاهد النسخة الأصليةرد0
LeverageAddict
· 08-09 18:30
مدمنو الاقتراض جاءوا ~ خسروا مرة أخرى أوي أوي
شاهد النسخة الأصليةرد0
rugpull_survivor
· 08-09 18:28
هل لا يزال يمكنني السؤال؟ لقد تعرضنا للخداع بشكل فظيع
شاهد النسخة الأصليةرد0
Token_Sherpa
· 08-09 18:28
آه... أسبوع آخر، فخ آخر للمبتدئين. متى سيتعلم الناس قراءة التعليمات، يا إلهي.
تحليل شامل لعملية التصيد الاحتيالي في Web3: تحليل المبدأ واستراتيجيات الحماية
صيد التوقيع في Web3: تحليل المبدأ وتدابير الوقاية
في الفترة الأخيرة، أصبح "صيد التوقيع" واحدًا من أكثر أساليب الاحتيال المفضلة لدى قراصنة Web3. على الرغم من جهود خبراء الأمان وشركات المحفظة في نشر الوعي، إلا أنه لا يزال هناك العديد من المستخدمين الذين يصبحون ضحايا يوميًا. أحد الأسباب الرئيسية لهذه الظاهرة هو أن معظم الناس يفتقرون إلى الفهم الأساسي لمنطق التفاعل مع المحفظة، وأن عائق التعلم مرتفع بالنسبة لغير المتخصصين.
لمساعدة المزيد من الناس على فهم هذه المسألة، ستقوم هذه المقالة بشرح المنطق الأساسي لعملية التصيد بالتوقيع بطريقة بسيطة وسهلة الفهم.
طريقتان لت操作 المحفظة
عند استخدام محفظة Web3، لدينا نوعان رئيسيان من العمليات: "التوقيع" و"التفاعل".
تستخدم التوقيعات عادةً للتحقق من الهوية، مثل تسجيل الدخول إلى المحفظة أو الاتصال بـ DApp. هذه العملية لا تؤثر على بيانات البلوكشين، لذا لا حاجة لدفع رسوم.
التفاعل يتضمن عمليات blockchain الفعلية. على سبيل المثال، عند إجراء تبادل رموز على DEX معين، تحتاج أولاً إلى منح إذن (approve) للعقد الذكي لاستخدام رموزك، ثم تنفيذ عملية التبادل الفعلية. تتطلب هاتان الخطوتان دفع رسوم الغاز.
طرق الاحتيال الشائعة
1. تفويض الصيد
هذه طريقة تقليدية للاحتيال في Web3. يقوم المخترق بإنشاء موقع يبدو قانونيًا، ليغري المستخدمين بإجراء عمليات التفويض. عندما ينقر المستخدمون على أزرار مثل "استلام الإيهام"، فإنهم في الواقع يقومون بتفويض عنوان المخترق باستخدام رموزهم.
2. تصريح توقيع الصيد
تعد Permit ميزة موسعة لمعيار ERC-20، حيث تتيح للمستخدمين الموافقة على استخدام رموزهم من قبل الآخرين من خلال التوقيع. يمكن للقراصنة أن يحفزوا المستخدمين على توقيع مثل هذا الإذن، ثم يستغلون هذا التوقيع لنقل أصول المستخدم.
3. تصيد توقيع Permit2
تعتبر Permit2 ميزة أطلقها بعض DEX لتبسيط عمليات المستخدمين. فهي تتيح للمستخدمين تفويض مبلغ كبير مرة واحدة، وبعد ذلك يتعين عليهم فقط التوقيع لإجراء المعاملات. ومع ذلك، إذا كان المستخدم قد استخدم هذا DEX من قبل ومنح صلاحية غير محدودة، يمكن للقراصنة استغلال هذه الآلية لنقل أصول المستخدم.
تدابير الوقاية
تعزيز الوعي بالأمان: تحقق بعناية من العملية التي تقوم بتنفيذها في كل مرة تقوم فيها بعمليات على المحفظة.
فصل الأصول: فصل الأموال الكبيرة عن المحفظة المستخدمة يوميًا لتقليل الخسائر المحتملة.
تعلم كيفية التعرف على تنسيق توقيع Permit وPermit2: احذر من طلبات التوقيع التي تحتوي على الحقول التالية:
من خلال فهم مبادئ هذه الأساليب الاحتيالية واتخاذ تدابير وقائية مناسبة، يمكن للمستخدمين حماية أصولهم الرقمية بشكل أفضل. في عالم Web3، من الضروري أن تظل يقظًا وتستمر في التعلم.