المنطق الأساسي للاحتيال بالتوقيع في Web3 وطرق الوقاية منه

مؤخراً، أصبحت "هجمات التصيد بالتوقيع" من أكثر أساليب الهجوم المفضلة لدى قراصنة Web3. على الرغم من أن خبراء الصناعة والشركات الأمنية يقومون بجهود توعوية مستمرة، إلا أن العديد من المستخدمين لا يزالون يتعرضون للخسائر يومياً. أحد الأسباب الرئيسية لهذه الحالة هو أن معظم المستخدمين يفتقرون إلى الفهم العميق للآلية الأساسية لتفاعلات المحفظة، وأن مستوى التعلم المطلوب للمعرفة ذات الصلة مرتفع نسبياً بالنسبة لغير المتخصصين.

لمساعدة المزيد من الناس على فهم هذه المشكلة، سنقوم بشرح المنطق الأساسي لعملية اصطياد التوقيعات بطريقة توضيحية، بلغة بسيطة وسهلة الفهم.

أولاً، نحتاج إلى فهم أن هناك عمليتين رئيسيتين عند استخدام المحفظة: "التوقيع" و "التفاعل". ببساطة، يحدث التوقيع خارج سلسلة الكتل (خارج السلسلة)، ولا يتطلب دفع رسوم الغاز؛ بينما يحدث التفاعل على سلسلة الكتل (داخل السلسلة)، ويتطلب دفع رسوم الغاز.

تُستخدم التوقيعات عادةً للتحقق من الهوية، مثل تسجيل الدخول إلى المحفظة أو الاتصال بتطبيق لامركزي (DApp). هذه العملية لا تغير أي بيانات أو حالة على blockchain، لذلك لا يلزم دفع أي رسوم.

التفاعل يتضمن عمليات فعلية على السلسلة. على سبيل المثال، عند إجراء تبادل الرموز على DEX معين، تحتاج أولاً إلى تفويض عقد الذكاء الخاص بـ DEX لاستخدام رموزك (تسمى هذه الخطوة "التفويض" أو "approve")، ثم تقوم بعد ذلك بتنفيذ عملية التبادل الفعلية. كلا الخطوتين تتطلبان دفع رسوم الغاز.

بعد فهم الفرق بين التوقيع والتفاعل، دعونا نلقي نظرة على بعض طرق التصيد الشائعة: تصيد التفويض، وتصيد توقيع تصريح، وتصيد توقيع Permit2.

تعتبر عمليات التصيد الاحتيالي المصرح بها واحدة من أساليب التصيد الكلاسيكية في Web3. عادة ما يقوم المتسللون بتزوير موقع يبدو شرعيًا، مما يحث المستخدمين على النقر على أزرار مثل "استلام التوزيعات المجانية". وفي الواقع، فإن النقر من قبل المستخدمين سيؤدي إلى تنفيذ عملية تفويض، مما يسمح للمتسللين بالوصول إلى رموز المستخدمين. تتمثل عيوب هذه الطريقة في أنها تتطلب دفع رسوم الغاز، مما قد يثير انتباه المستخدمين.

تكون عمليات الاحتيال بتوقيع Permit و Permit2 أكثر خفاءً. Permit هو ميزة موسعة لمعيار ERC-20، تسمح للمستخدمين بالموافقة للآخرين على تحريك رموزهم من خلال التوقيع. يشبه ذلك التوقيع على "إذن"، مما يسمح لشخص ما باستخدام أصولك. يمكن للقراصنة استغلال هذه الآلية، لإغواء المستخدمين بتوقيع رسائل تبدو غير ضارة، بينما في الواقع تكون تفويضًا للقراصنة لنقل أصول المستخدم.

Permit2 هي ميزة أطلقتها بعض منصات التداول اللامركزية (DEX) تهدف إلى تبسيط إجراءات المستخدم. تتيح للمستخدمين التفويض لمرة واحدة بمبلغ كبير لعقد Permit2 الذكي، وبعد ذلك يتطلب الأمر فقط التوقيع في كل عملية تداول بدلاً من التفويض المتكرر. ومع ذلك، فإن هذا يوفر أيضًا فرصة للقراصنة. إذا كان المستخدم قد استخدم هذه المنصة من قبل ومنح تفويضاً غير محدود، فإنه بمجرد أن يتم إغراؤه لتوقيع رسالة Permit2، يمكن للقراصنة بسهولة نقل أصول المستخدم.

لمنع هذه الهجمات الاحتيالية، نوصي بما يلي:

1. تعزيز الوعي بالأمان، يجب فحص محتوى العملية بدقة في كل مرة يتم فيها استخدام المحفظة.

2. فصل الأموال الكبيرة عن المحفظة المستخدمة يومياً لتقليل الخسائر المحتملة.

3. تعلم كيفية التعرف على تنسيق توقيع Permit و Permit2. إذا رأيت طلب توقيع يحتوي على الحقول التالية، يجب أن تكون حذرًا:

   • تفاعلي（交互网址）
   • المالك (عنوان المصرح)
   • Spender (عنوان الجهة المخولة)
   • القيمة (عدد التفويضات)
   • Nonce (رقم عشوائي)
   • Deadline (موعد انتهاء الصلاحية)

من خلال فهم هذه المنطق الأساسية واتخاذ التدابير الوقائية المناسبة، يمكننا حماية أصول Web3 الخاصة بنا بشكل أفضل.