في الدفعة السابقة من دليل أمان Web3، تحدثنا عن المخاطر المرتبطة بتنزيل أو شراء المحافظ، وكيفية العثور على المواقع الرسمية، وطرق التحقق من أصالة المحافظ، وأخطار تسرب مفتاح خاص/عبارة بذرة. تؤكد عبارة "ليست مفاتيحك، ليست عملاتك" أهمية السيطرة على مفاتيحك الخاصة. ومع ذلك، هناك حالات حيث حتى وجود المفاتيح الخاصة أو عبارات البذرة لا يضمن السيطرة على أصولك، مثل عندما تتعرض المحفظة للاختراق من خلال إعداد متعدد التوقيع خبيث.
استنادًا إلى البيانات التي تم جمعها من تقرير الأموال المسروقة من MistTrack ، يجد بعض المستخدمين أن محافظهم تحتوي على أموال ، ولكنهم لا يستطيعون تحويلها بسبب تكوينات التوقيع المتعدد الخبيثة. في هذا الدليل ، نستخدم محفظة TRON كمثال لشرح مفهوم احتيال التوقيع المتعدد ، وميكانيكيات أنظمة التوقيع المتعدد ، والتكتيكات الشائعة المستخدمة من قبل القراصنة ، والاستراتيجيات لمنع تكوين محفظتك بشكل خبيث مع إعدادات التوقيع المتعدد.
آلية التوقيع المتعددة (التوقيعات المتعددة) مصممة لتعزيز أمان المحفظة عن طريق السماح لعدة مستخدمين بإدارة والتحكم في الوصول إلى محفظة الأصول الرقمية بشكل جماعي. يعني هذا الإعداد أنه حتى لو فقد بعض المديرين مفاتيحهم الخاصة / عبارات البذر، فإن الأصول داخل المحفظة قد تظل آمنة.
يتضمن نظام TRON للتوقيع المتعدد ثلاثة مستويات إذن متميزة: المالك والشاهد والنشط ، وكل منها يؤدي وظائف وأغراض محددة.
أذونات المالك:
تحمل أعلى مستوى من السلطة، قادرة على تنفيذ جميع العقود والعمليات.
يمكن للمالك فقط تعديل الأذونات الأخرى، بما في ذلك إضافة أو إزالة الموقعين.
عند إنشاء حساب جديد، يتم تعيين إذن المالك للحساب تلقائيًا.
أذونات الشاهد:
أذونات نشطة:
كما ذكرنا سابقا ، يتلقى عنوان الحساب الجديد تلقائيا أذونات المالك (أعلى مستوى) افتراضيا. يمكن لهذا المالك بعد ذلك ضبط بنية أذونات الحساب، وتحديد العناوين التي تتلقى الأذونات، ووزن هذه الأذونات، وتعيين الحدود. يحدد الحد الوزن المطلوب للتوقيعات لتنفيذ إجراءات محددة. على سبيل المثال ، إذا تم تعيين الحد الأدنى على 2 ، وكان لكل عنوان من العناوين الثلاثة المصرح بها وزن 1 ، فيجب أن يوافق موقعان على الأقل على المضي قدما في العملية.
عندما يحصل المتسلل على المفتاح الخاص للمستخدم أو العبارة الأولية ، ولم ينفذ المستخدم آلية متعددة التوقيعات (بمعنى أن المحفظة يتحكم فيها المستخدم فقط) ، يمكن للمتسلل إما منح نفسه أذونات المالك / النشط أو نقل أذونات المالك / النشط للمستخدم إلى عنوانه الخاص. يشار إلى هذه الإجراءات عادة باسم التوقيعات المتعددة الضارة ، ولكن يمكن تعريف هذا المصطلح على نطاق واسع. في الواقع ، يمكن تصنيف الموقف بناء على ما إذا كان المستخدم لا يزال يحتفظ بأي أذونات المالك / النشط:
في السيناريو الموضح أدناه، لم يتم إزالة أذونات المالك/النشط للمستخدم؛ بدلاً من ذلك، قام القراصنة بإضافة عنوانهم الخاص كطرف مالك/نشط مُصرّح به. حالياً، تتم التحكم في الحساب بشكل مشترك من قبل المستخدم والقراصنة، مع وضع العتبة عند 2. لكل من عناوين المستخدم والقراصنة وزن يساوي 1. على الرغم من أن المستخدم يمتلك المفتاح الخاص/عبارة البذرة ولا يزال لديه أذونات المالك/النشط، إلا أنه لا يمكنه نقل أصوله. هذا يرجع إلى أن أي طلب لنقل الأصول يتطلب موافقة كل من المستخدم والقراصنة، حيث أن كل توقيعين ضروريين لاستكمال العملية.
بينما يتطلب عملية تحويل الأصول من محفظة تحتوي على توقيعات متعددة توقيعات متعددة، فإن إيداع الأموال في المحفظة لا يتطلب ذلك. إذا لم يقم المستخدمون بالتحقق بانتظام من أذونات حسابهم أو لم يقموا بأي تحويلات حديثة، فقد لا يلاحظون التغييرات في أذونات محفظتهم، مما قد يؤدي إلى خسائر مستمرة. إذا كانت المحفظة تحتوي فقط على كمية صغيرة من الأصول، فقد ينتظر المخترقون حتى يتراكم المزيد من الأصول في الحساب قبل سرقة كل شيء دفعة واحدة.
في سيناريو آخر ، يستغل المتسللون نظام إدارة أذونات TRON عن طريق نقل أذونات المالك / النشط للمستخدم مباشرة إلى عنوان المتسلل ، مع استمرار تعيين الحد الأدنى عند 1. يجرد هذا الإجراء المستخدم من أذونات المالك / الأذونات النشطة ، مما يزيل بشكل فعال سيطرته على الحساب ، حتى "حقوق التصويت". على الرغم من أن هذه ليست من الناحية الفنية حالة من التوقيعات المتعددة الضارة ، إلا أنه يشار إليها عادة على هذا النحو.
في كلتا الحالتين، سواء كان المستخدم يحتفظ بأي أذونات المالك / النشط أم لا، يفقد السيطرة الفعلية على الحساب. يمكن للقراصنة، الذي يمتلك الآذونات الأعلى الآن، تغيير إعدادات الحساب ونقل الأصول، مما يترك المالك الشرعي غير قادر على إدارة محفظته.
استنادًا إلى البيانات المجمعة من تقرير الأموال المسروقة من MistTrack، قمنا بتحديد عدة أسباب شائعة للهجمات الخبيثة متعددة التوقيع. يجب على المستخدمين أن يكونوا يقظين في المواقف التالية:
تحميل المحافظ المزيفة: قد يقوم المستخدمون بتحميل المحافظ المزيفة عن طريق النقر على الروابط إلى مواقع ويب احتيالية يتم إرسالها عبر تطبيق تليجرام أو تويتر أو مصادر أخرى. وهذا يمكن أن يؤدي إلى تسرب المفاتيح الخاصة أو عبارات البذور، مما يؤدي إلى هجمات توقيعات متعددة خبيثة.
إدخال المفاتيح الخاصة على مواقع الصيد الاحتيالي: يمكن للمستخدمين الذين يدخلون مفاتيحهم الخاصة أو عبارات البذور على مواقع الصيد الاحتيالي التي تقدم خدمات مثل بطاقات الوقود أو بطاقات الهدايا أو شبكات الخصوصية أن يفقدوا السيطرة على محافظهم.
التداول خارج البورصة: أثناء المعاملات خارج البورصة (OTC) ، قد يلتقط شخص ما أو يحصل على المفاتيح أو الأذونات الخاصة بالمستخدم ، مما يؤدي إلى هجوم ضار متعدد التوقيعات.
الغش المتعلق بالمفاتيح الخاصة: قد يقدم المحتالون مفتاحًا خاصًا، مدعين أنهم لا يمكنهم سحب الأصول ويقدمون مكافأة مقابل المساعدة. على الرغم من أن المحفظة المرتبطة تبدو بها أموال، إلا أن أذونات السحب مكونة لعنوان آخر، مما يمنع أي تحويل.
في هذا الدليل ، استخدمنا محفظة TRON كمثال لشرح آلية التوقيع المتعدد ، وكيف يقوم المتسللون بهجمات ضارة متعددة التواقيع ، والتكتيكات الشائعة المستخدمة. تهدف هذه المعلومات إلى تعزيز الفهم وتحسين الوقاية من الهجمات الضارة متعددة التوقيعات. بالإضافة إلى ذلك ، قد يقوم بعض المستخدمين ، وخاصة المبتدئين ، بتكوين محافظهم عن طريق الخطأ للتوقيع المتعدد ، مما يتطلب توقيعات متعددة لعمليات النقل. في مثل هذه الحالات، يحتاج المستخدمون إلى تلبية متطلبات التوقيع المتعدد أو العودة إلى توقيع واحد عن طريق تعيين أذونات المالك/الأذونات النشطة إلى عنوان واحد فقط.
في الدفعة السابقة من دليل أمان Web3، تحدثنا عن المخاطر المرتبطة بتنزيل أو شراء المحافظ، وكيفية العثور على المواقع الرسمية، وطرق التحقق من أصالة المحافظ، وأخطار تسرب مفتاح خاص/عبارة بذرة. تؤكد عبارة "ليست مفاتيحك، ليست عملاتك" أهمية السيطرة على مفاتيحك الخاصة. ومع ذلك، هناك حالات حيث حتى وجود المفاتيح الخاصة أو عبارات البذرة لا يضمن السيطرة على أصولك، مثل عندما تتعرض المحفظة للاختراق من خلال إعداد متعدد التوقيع خبيث.
استنادًا إلى البيانات التي تم جمعها من تقرير الأموال المسروقة من MistTrack ، يجد بعض المستخدمين أن محافظهم تحتوي على أموال ، ولكنهم لا يستطيعون تحويلها بسبب تكوينات التوقيع المتعدد الخبيثة. في هذا الدليل ، نستخدم محفظة TRON كمثال لشرح مفهوم احتيال التوقيع المتعدد ، وميكانيكيات أنظمة التوقيع المتعدد ، والتكتيكات الشائعة المستخدمة من قبل القراصنة ، والاستراتيجيات لمنع تكوين محفظتك بشكل خبيث مع إعدادات التوقيع المتعدد.
آلية التوقيع المتعددة (التوقيعات المتعددة) مصممة لتعزيز أمان المحفظة عن طريق السماح لعدة مستخدمين بإدارة والتحكم في الوصول إلى محفظة الأصول الرقمية بشكل جماعي. يعني هذا الإعداد أنه حتى لو فقد بعض المديرين مفاتيحهم الخاصة / عبارات البذر، فإن الأصول داخل المحفظة قد تظل آمنة.
يتضمن نظام TRON للتوقيع المتعدد ثلاثة مستويات إذن متميزة: المالك والشاهد والنشط ، وكل منها يؤدي وظائف وأغراض محددة.
أذونات المالك:
تحمل أعلى مستوى من السلطة، قادرة على تنفيذ جميع العقود والعمليات.
يمكن للمالك فقط تعديل الأذونات الأخرى، بما في ذلك إضافة أو إزالة الموقعين.
عند إنشاء حساب جديد، يتم تعيين إذن المالك للحساب تلقائيًا.
أذونات الشاهد:
أذونات نشطة:
كما ذكرنا سابقا ، يتلقى عنوان الحساب الجديد تلقائيا أذونات المالك (أعلى مستوى) افتراضيا. يمكن لهذا المالك بعد ذلك ضبط بنية أذونات الحساب، وتحديد العناوين التي تتلقى الأذونات، ووزن هذه الأذونات، وتعيين الحدود. يحدد الحد الوزن المطلوب للتوقيعات لتنفيذ إجراءات محددة. على سبيل المثال ، إذا تم تعيين الحد الأدنى على 2 ، وكان لكل عنوان من العناوين الثلاثة المصرح بها وزن 1 ، فيجب أن يوافق موقعان على الأقل على المضي قدما في العملية.
عندما يحصل المتسلل على المفتاح الخاص للمستخدم أو العبارة الأولية ، ولم ينفذ المستخدم آلية متعددة التوقيعات (بمعنى أن المحفظة يتحكم فيها المستخدم فقط) ، يمكن للمتسلل إما منح نفسه أذونات المالك / النشط أو نقل أذونات المالك / النشط للمستخدم إلى عنوانه الخاص. يشار إلى هذه الإجراءات عادة باسم التوقيعات المتعددة الضارة ، ولكن يمكن تعريف هذا المصطلح على نطاق واسع. في الواقع ، يمكن تصنيف الموقف بناء على ما إذا كان المستخدم لا يزال يحتفظ بأي أذونات المالك / النشط:
في السيناريو الموضح أدناه، لم يتم إزالة أذونات المالك/النشط للمستخدم؛ بدلاً من ذلك، قام القراصنة بإضافة عنوانهم الخاص كطرف مالك/نشط مُصرّح به. حالياً، تتم التحكم في الحساب بشكل مشترك من قبل المستخدم والقراصنة، مع وضع العتبة عند 2. لكل من عناوين المستخدم والقراصنة وزن يساوي 1. على الرغم من أن المستخدم يمتلك المفتاح الخاص/عبارة البذرة ولا يزال لديه أذونات المالك/النشط، إلا أنه لا يمكنه نقل أصوله. هذا يرجع إلى أن أي طلب لنقل الأصول يتطلب موافقة كل من المستخدم والقراصنة، حيث أن كل توقيعين ضروريين لاستكمال العملية.
بينما يتطلب عملية تحويل الأصول من محفظة تحتوي على توقيعات متعددة توقيعات متعددة، فإن إيداع الأموال في المحفظة لا يتطلب ذلك. إذا لم يقم المستخدمون بالتحقق بانتظام من أذونات حسابهم أو لم يقموا بأي تحويلات حديثة، فقد لا يلاحظون التغييرات في أذونات محفظتهم، مما قد يؤدي إلى خسائر مستمرة. إذا كانت المحفظة تحتوي فقط على كمية صغيرة من الأصول، فقد ينتظر المخترقون حتى يتراكم المزيد من الأصول في الحساب قبل سرقة كل شيء دفعة واحدة.
في سيناريو آخر ، يستغل المتسللون نظام إدارة أذونات TRON عن طريق نقل أذونات المالك / النشط للمستخدم مباشرة إلى عنوان المتسلل ، مع استمرار تعيين الحد الأدنى عند 1. يجرد هذا الإجراء المستخدم من أذونات المالك / الأذونات النشطة ، مما يزيل بشكل فعال سيطرته على الحساب ، حتى "حقوق التصويت". على الرغم من أن هذه ليست من الناحية الفنية حالة من التوقيعات المتعددة الضارة ، إلا أنه يشار إليها عادة على هذا النحو.
في كلتا الحالتين، سواء كان المستخدم يحتفظ بأي أذونات المالك / النشط أم لا، يفقد السيطرة الفعلية على الحساب. يمكن للقراصنة، الذي يمتلك الآذونات الأعلى الآن، تغيير إعدادات الحساب ونقل الأصول، مما يترك المالك الشرعي غير قادر على إدارة محفظته.
استنادًا إلى البيانات المجمعة من تقرير الأموال المسروقة من MistTrack، قمنا بتحديد عدة أسباب شائعة للهجمات الخبيثة متعددة التوقيع. يجب على المستخدمين أن يكونوا يقظين في المواقف التالية:
تحميل المحافظ المزيفة: قد يقوم المستخدمون بتحميل المحافظ المزيفة عن طريق النقر على الروابط إلى مواقع ويب احتيالية يتم إرسالها عبر تطبيق تليجرام أو تويتر أو مصادر أخرى. وهذا يمكن أن يؤدي إلى تسرب المفاتيح الخاصة أو عبارات البذور، مما يؤدي إلى هجمات توقيعات متعددة خبيثة.
إدخال المفاتيح الخاصة على مواقع الصيد الاحتيالي: يمكن للمستخدمين الذين يدخلون مفاتيحهم الخاصة أو عبارات البذور على مواقع الصيد الاحتيالي التي تقدم خدمات مثل بطاقات الوقود أو بطاقات الهدايا أو شبكات الخصوصية أن يفقدوا السيطرة على محافظهم.
التداول خارج البورصة: أثناء المعاملات خارج البورصة (OTC) ، قد يلتقط شخص ما أو يحصل على المفاتيح أو الأذونات الخاصة بالمستخدم ، مما يؤدي إلى هجوم ضار متعدد التوقيعات.
الغش المتعلق بالمفاتيح الخاصة: قد يقدم المحتالون مفتاحًا خاصًا، مدعين أنهم لا يمكنهم سحب الأصول ويقدمون مكافأة مقابل المساعدة. على الرغم من أن المحفظة المرتبطة تبدو بها أموال، إلا أن أذونات السحب مكونة لعنوان آخر، مما يمنع أي تحويل.
في هذا الدليل ، استخدمنا محفظة TRON كمثال لشرح آلية التوقيع المتعدد ، وكيف يقوم المتسللون بهجمات ضارة متعددة التواقيع ، والتكتيكات الشائعة المستخدمة. تهدف هذه المعلومات إلى تعزيز الفهم وتحسين الوقاية من الهجمات الضارة متعددة التوقيعات. بالإضافة إلى ذلك ، قد يقوم بعض المستخدمين ، وخاصة المبتدئين ، بتكوين محافظهم عن طريق الخطأ للتوقيع المتعدد ، مما يتطلب توقيعات متعددة لعمليات النقل. في مثل هذه الحالات، يحتاج المستخدمون إلى تلبية متطلبات التوقيع المتعدد أو العودة إلى توقيع واحد عن طريق تعيين أذونات المالك/الأذونات النشطة إلى عنوان واحد فقط.