من الحل إلى المخاطر: كيف أصبح التصريح ثغرة جديدة؟
1. نظرة عامة على التصريح
لنبدأ بقصة بسيطة عن اقتراض الأموال:
أنا أخطط لاستدانة مليون دولار من صديقي الجيد جاك ما. دون تردد، يلتقط جاك ما الهاتف، ويتصل بالبنك، وبعد التحقق من هويته، يخبر البنك قائلاً: "أنا أذن لفلان بسحب مليون دولار". يقر البنك بذلك ويسجل هذا الإذن.
الخطوة التالية هي أن أذهب إلى البنك وأخبر الصراف بأنني هنا لسحب المليون الذي أذن به جاك ما. يقوم البنك بالتحقق من سجل الإذن وبعد تأكيد أنني الشخص الصحيح، يسلم المليون.
هذه القصة مقارنة جيدة لكيفية عمل الموافقة على Ethereum. في هذه العملية، يمكن لجاك ما (مالك الأصول) فقط الاتصال بالبنك لإعطاء الموافقة (على السلسلة)، والبنك (عقد الرمز) يدير هذه الموافقات. فقط بعد ذلك يمكنني (الطرف المخول) سحب مبلغ لا يتجاوز الموافقة. إذا لم يجد البنك سجل موافقة، فإن طلب السحب الخاص بي سيتم رفضه بالتأكيد.
الآن، ماذا سيحدث إذا استخدمنا طريقة مختلفة للترخيص - تصريح؟ كيف سيعمل استدانة المال من جاك ما في هذه الحالة؟
هذه المرة ، أطلب اقتراض مليون آخر. سخي أكثر من أي وقت مضى ، جاك ما لا يكلف نفسه عناء الاتصال بالبنك. بدلا من ذلك ، يسحب دفتر شيكات ، ويملأ المبلغ ، ويوقعه ، ويسلمه لي. ثم آخذ هذا الشيك إلى البنك. على الرغم من أن البنك ليس لديه أي سجلات تفويض ، يمكن للبنك التحقق من توقيع جاك ما على الشيك ، وبناء على ذلك ، يسلمني المبلغ المحدد.
الآن ، ربما يمكنك رؤية الفرق في العمليات. تم استخدام الموافقة ، كوظيفة أساسية ERC-20 ، على نطاق واسع منذ فترة وجيزة بعد إطلاق Ethereum. فلماذا تم تقديم طريقة التصريح في ERC-2612 لتحقيق نتيجة مماثلة؟
2. لماذا يلزم التصريح؟
تم تقديم اقتراح ERC-2612 في مارس 2019 واكتملت مراجعته النهائية في أكتوبر 2022. يرتبط نشره ارتباطًا وثيقًا بالارتفاع الحاد في أسعار الغاز التي شهدتها شبكة Ethereum الرئيسية خلال تلك الفترة.
صورة: أسعار الغاز في شبكة ETH الرئيسية ظلت مرتفعة من عام 2020 حتى عام 2022
أدى الجمع بين السوق الصاعدة المستعرة وتأثير خلق الثروة للمشاريع الجديدة على السلسلة إلى تغذية حماس المستخدمين للتعامل على السلسلة. كانوا على استعداد لدفع رسوم أعلى لمعالجة معاملاتهم بشكل أسرع لأنه في بعض الأحيان يتم تأكيدها حتى كتلة واحدة فقط في وقت سابق يمكن أن يؤدي إلى عوائد أعلى بكثير.
ومع ذلك، أدى هذا إلى الجانب السلبي: عندما يرغب المستخدمون في تداول الرموز على الشبكة، يتعين عليهم في كثير من الأحيان تحمل رسوم الغاز المفرطة. بموجب طريقة الموافقة، يتطلب إتمام عملية تبادل رمز واحد عملتين (TX). بالنسبة للمستخدمين ذوي الأموال الأقل، يمكن أن تكون رسوم المعاملات كابوسًا.
تغيير مقدمة ERC-2612 لعملية التصريح باستبدال الموافقة على السلسلة بالتوقيعات غير المتصلة بالشبكة ، والتي لا يلزم تقديمها فوراً. يحتاج المستخدمون فقط إلى توفير التفويض عند تحويل الرموز ، على غرار قصة الاقتراض ، حيث كان لدي فقط لإظهار شيك جاك ما عند سحب الأموال من البنك.
جاك ما المشغول يوفر لنفسه مكالمة هاتفية، ويبدو أن المستخدمين أيضًا يوفرون TX واحدة. عندما تكون أسعار الغاز مرتفعة، يمكن أن تكون التوفيرات في الرسوم كبيرة، مما يجعلها تبدو كفوز للجميع. ومع ذلك، لم يدرك أحد أن صندوق باندورا كان يفتح بصمت...
3. نمو مفجر مثل ثوران بركاني
قبل ظهور التصريح ، كان أحد التكتيكات الشائعة التي استخدمها المتسللون للتصيد الاحتيالي لمستخدمي التشفير هو خداعهم للتوقيع على معاملة موافقة. نظرا لأن هذه المعاملات تتطلب من المستخدمين إنفاق الغاز ، فإنها غالبا ما تثير الشكوك ، مما يجعل من الصعب على المتسللين النجاح. حتى إذا نقر المستخدمون عن طريق الخطأ على المعاملة ، فإن حقيقة أن الأمر استغرق بعض الوقت ليتم تأكيده على السلسلة أعطاهم الفرصة لتقديم معاملة أخرى بنفس المعاملة لإلغائها - مما يجعل من الصعب نسبيا على المتسللين تنفيذ مخططاتهم.
ومع ذلك ، كان وصول Permit بمثابة حلم تحقق للمتسللين. على عكس الموافقة ، لا يستهلك التصريح الغاز ويتطلب فقط توقيعا ، مما يقلل بشكل كبير من حماية المستخدم. بالإضافة إلى ذلك ، نظرا لطبيعة التوقيعات غير المتصلة بالإنترنت ، يكون عنصر التحكم في يد المتسلل. لا يقتصر الأمر على عدم وجود فرصة للمستخدمين للتراجع عن أخطائهم ، ولكن يمكن للمتسللين أيضا التمسك بالتفويض والإضراب في اللحظة الأكثر فائدة ، مما يزيد من مكاسبهم.
هذا أدى إلى ارتفاع ملحوظ في عدد ضحايا الصيد الاحتيالي وكمية الأموال المسروقة. وفقًا للإحصاءات من Gate.@ScamSniffer"">@ScamSniffer:
- في عام 2023، فقد ضحايا التصيد عبر البريد الإلكتروني ما مجموعه 295 مليون دولار.
- في النصف الأول من عام 2024، تجاوز هذا الرقم بالفعل 314 مليون دولار.
- بحلول نهاية الربع الثالث من عام 2024، وقع حادث كبير: تعرضت عنوان محفظة لشخصية بارزة، يُشتبه في أنه شينيو، لهجوم احتيال بتصريح، مما أدى إلى فقدان 12،000 spWETH، بقيمة تقدر بحوالي 200 مليون رينمينبي.
صورة: تقرير هجمات التصيد الاحتيالي لـ ScamSniffer للنصف الأول من عام 2024
كان مثل هذا السيناريو على الأرجح خارج نطاق تصور المطورين الأصليين. الغرض من إدخال تصريح كان لتقليل تكاليف الغاز، وتحسين تجربة المستخدم، وزيادة الكفاءة. ما كان يُعتقد أنه سيكون سيف ذو حدين، بمكاسب وخسائر، تبين أنه كان سيف ذو حدين واحد—حاد كالموس—يقطع ثقبًا كبيرًا في الدرع الذي كان من المفترض أن يحمي أصول المستخدمين.
التصريح ليس الطريقة الوحيدة للتفويض بناءً على التوقيعات. على سبيل المثال ، قدم Uniswap في وقت لاحق تصريح 2 ، مما يسمح لجميع رموز ERC-20 بدعم التوقيعات غير المتصلة بالإنترنت. كما أن تحرك Uniswap كـ أكبر منصة تبادل غير مركزية زاد مزيدًا من اعتماد المستخدمين على التوقيعات غير المتصلة بالإنترنت ، مما زاد في المقابل من مخاطر هجمات التصيّد.
4. كيفية تجنب المخاطر؟
كمستخدمين عاديين، ما هي الخطوات التي يمكننا اتخاذها لتجنب الخسائر وحماية أنفسنا من هذا السيف الحاد المعلق فوق رؤوسنا؟
1⃣ زيادة الوعي
ابق هادئًا عندما يصبح لديك إغراء بالحصول على الهبات الجوية.
يمكن أن تبدو جوائز الهبوط الجوي من المشاريع العملات المشفرة مغرية، ولكن في معظم الأحيان، فإنها هجمات احتيال تنكر كجوائز هبوط جوي. عند مواجهة مثل هذه المعلومات، لا تستعجل في المطالبة بها. بدلاً من ذلك، تحقق من شرعية الهبوط الجوي وموقعه الرسمي من مصادر متعددة لتجنب الوقوع في فخ الاحتيال.تجنب التوقيع الأعمى
إذا هبطت بالخطأ على موقع ويب للتصيد الاحتيالي ولم تدرك ذلك، فخذ لحظة لمراجعة الصفقة بعناية عندما يطلب منك محفظتك التوقيع. إذا ظهرت مصطلحات مثل الإذن، الإذن2، الموافقة، أو زيادة السماح، فإن ذلك يعني أن الصفقة تطلب تفويض الرمز. في هذه النقطة، يجب أن تكون حذرًا لأن الهبات الجوية الشرعية لا تتطلب هذه العملية. لقد قامت محافظ الأجهزة Keystone بتنفيذ تحليل الصفقات وعرض الميزات، مما يتيح للمستخدمين فهم تفاصيل الصفقة بشكل أفضل وتجنب التوقيع الأعمى، الذي يمكن أن يؤدي إلى عواقب خطيرة نتيجة لقرارات عجلة.
صورة: محفظة Keystone Hardware ، تحليل وعرض تصاريح محفظة Rabby وعمليات التوقيع Permit2
2⃣ استفد جيدًا من الأدوات
ScamSniffer
بالنسبة للمستخدم العادي، يمكن أن يكون تحديد مواقع الصيد الاحتيالي بدقة تحديا كبيرا، ومن السهل أن تتسلل بعضها خلال الفجوات. من خلال استخدام إضافة متصفح ScamSniffer، ستتلقى تنبيهات عند محاولة الوصول إلى مواقع الصيد الاحتيالي المحتملة، مما يمنحك الفرصة لوقف التفاعل قبل فوات الأوان.إلغاء
Revoke.cashيتيح لك البرنامج عرض تفويضات الرموز الخاصة بمحفظتك. نوصي بإلغاء أي تفويضات مشبوهة أو غير محدودة. من الممارسات الجيدة تنظيف تفويضاتك بانتظام وتقييدها بالمبالغ اللازمة فقط.
3⃣ فصل الأصول والتوقيع المتعدد
كما يقول المثل، لا تضع جميع بيضك في سلة واحدة - هذا المبدأ ينطبق أيضًا على الأصول الرقمية. على سبيل المثال، يمكنك تخزين كميات كبيرة من الأصول في محفظة باردة مثل Keystone، بينما تستخدم محفظة ساخنة للمعاملات اليومية. حتى إذا كنت ضحية لهجوم، فإن رصيدك بأكمله لن يتعرض للخطر.
بالنسبة لأولئك الذين لديهم مطالب أمان أعلى، يمكن أن يعزز استخدام محافظ التوقيع المتعدد (محفظة multi-sig) الحماية بشكل أكبر. يمكن نقل الأصول الموجودة تحت محفظة multi-sig فقط عندما يتم الوصول إلى حد معين من موافقات المحفظة. إذا تم اختراق محفظة واحدة ولكن لم يتم تحقيق الحد المطلوب، فلن يكون للمتسللين وصول إلى أصولك.
5. الاستنتاج
بينما لا يمكننا إنكار القيمة التي جلبتها تصريح ، إلا أن العدد المتزايد من عمليات السرقة يظهر أيضًا أن المخاطر التي يمثلها قد تتجاوز فوائده. تمامًا مثل طريقة ethsign القديمة ، التي كانت مفضلة من قبل القراصنة بسبب قراءتها الضعيفة وثغرات أمانها الكبيرة ، تم تعطيل تصريح الآن من قبل معظم برامج المحافظ ، مع استبدال وظائفه ببدائل أكثر أمانًا.
وبينما نركز على تصريح، ألسنا أيضًا في مفترق طرق مشابه لتلك التي واجهتها إيثسين؟ ما إذا كان تحسين وترقية أم التخلص تمامًا هو سؤال يحتاج مطورو إيثريوم إلى أخذ الوقت للنظر فيه ومناقشته.
قبل أن يتم التوصل إلى أي استنتاجات، يهدف Keystone إلى تعزيز الوقاية من المخاطر المتعلقة بـ التصريح على محافظ الأجهزة الخاصة به. نحن نبدأ التصويت لإضافة الميزات التالية:
- تحذير قوي ينبغي للتصاريح/تصاريح2 المعاملات
- زر لتعطيل وظائف التصريح/تصريح2
إخلاء المسؤولية:
- تم استنساخ هذه المقالة من [KeystoneCN، وحقوق النشر تعود إلى الكاتب الأصلي [،KeystoneCN], إذا كان لديك أي اعتراض على إعادة النشر، يرجى التواصل فريق تعلم جيت، سيتعامل الفريق معه في أقرب وقت ممكن وفقًا للإجراءات ذات الصلة.
- تنويه: الآراء والآراء المعبر عنها في هذه المقالة تمثل آراء الكاتب فقط ولا تشكل أي توصية استثمارية.
- يتم إجراء ترجمات المقالة إلى لغات أخرى من قبل فريق Gate Learn. ما لم يتم ذكره ، يُحظر نسخ وتوزيع أو سرقة المقالات المترجمة.
مقالات ذات صلة
كيفية تخزين ETH?
الإعداد لترقية كانكون: OP مقابل ARB - ما هو الخيار الأفضل؟
ما هي المجموعات؟
من الحل إلى المخاطر: كيف أصبح التصريح ثغرة جديدة؟
1. نظرة عامة على التصريح
2. لماذا هو مطلوب التصريح؟
3. النمو المتفجر مثل ثوران بركاني
4. كيف تتجنب المخاطر؟
5. الاستنتاج
1. نظرة عامة على التصريح
لنبدأ بقصة بسيطة عن اقتراض الأموال:
أنا أخطط لاستدانة مليون دولار من صديقي الجيد جاك ما. دون تردد، يلتقط جاك ما الهاتف، ويتصل بالبنك، وبعد التحقق من هويته، يخبر البنك قائلاً: "أنا أذن لفلان بسحب مليون دولار". يقر البنك بذلك ويسجل هذا الإذن.
الخطوة التالية هي أن أذهب إلى البنك وأخبر الصراف بأنني هنا لسحب المليون الذي أذن به جاك ما. يقوم البنك بالتحقق من سجل الإذن وبعد تأكيد أنني الشخص الصحيح، يسلم المليون.
هذه القصة مقارنة جيدة لكيفية عمل الموافقة على Ethereum. في هذه العملية، يمكن لجاك ما (مالك الأصول) فقط الاتصال بالبنك لإعطاء الموافقة (على السلسلة)، والبنك (عقد الرمز) يدير هذه الموافقات. فقط بعد ذلك يمكنني (الطرف المخول) سحب مبلغ لا يتجاوز الموافقة. إذا لم يجد البنك سجل موافقة، فإن طلب السحب الخاص بي سيتم رفضه بالتأكيد.
الآن، ماذا سيحدث إذا استخدمنا طريقة مختلفة للترخيص - تصريح؟ كيف سيعمل استدانة المال من جاك ما في هذه الحالة؟
هذه المرة ، أطلب اقتراض مليون آخر. سخي أكثر من أي وقت مضى ، جاك ما لا يكلف نفسه عناء الاتصال بالبنك. بدلا من ذلك ، يسحب دفتر شيكات ، ويملأ المبلغ ، ويوقعه ، ويسلمه لي. ثم آخذ هذا الشيك إلى البنك. على الرغم من أن البنك ليس لديه أي سجلات تفويض ، يمكن للبنك التحقق من توقيع جاك ما على الشيك ، وبناء على ذلك ، يسلمني المبلغ المحدد.
الآن ، ربما يمكنك رؤية الفرق في العمليات. تم استخدام الموافقة ، كوظيفة أساسية ERC-20 ، على نطاق واسع منذ فترة وجيزة بعد إطلاق Ethereum. فلماذا تم تقديم طريقة التصريح في ERC-2612 لتحقيق نتيجة مماثلة؟
2. لماذا يلزم التصريح؟
تم تقديم اقتراح ERC-2612 في مارس 2019 واكتملت مراجعته النهائية في أكتوبر 2022. يرتبط نشره ارتباطًا وثيقًا بالارتفاع الحاد في أسعار الغاز التي شهدتها شبكة Ethereum الرئيسية خلال تلك الفترة.
صورة: أسعار الغاز في شبكة ETH الرئيسية ظلت مرتفعة من عام 2020 حتى عام 2022
أدى الجمع بين السوق الصاعدة المستعرة وتأثير خلق الثروة للمشاريع الجديدة على السلسلة إلى تغذية حماس المستخدمين للتعامل على السلسلة. كانوا على استعداد لدفع رسوم أعلى لمعالجة معاملاتهم بشكل أسرع لأنه في بعض الأحيان يتم تأكيدها حتى كتلة واحدة فقط في وقت سابق يمكن أن يؤدي إلى عوائد أعلى بكثير.
ومع ذلك، أدى هذا إلى الجانب السلبي: عندما يرغب المستخدمون في تداول الرموز على الشبكة، يتعين عليهم في كثير من الأحيان تحمل رسوم الغاز المفرطة. بموجب طريقة الموافقة، يتطلب إتمام عملية تبادل رمز واحد عملتين (TX). بالنسبة للمستخدمين ذوي الأموال الأقل، يمكن أن تكون رسوم المعاملات كابوسًا.
تغيير مقدمة ERC-2612 لعملية التصريح باستبدال الموافقة على السلسلة بالتوقيعات غير المتصلة بالشبكة ، والتي لا يلزم تقديمها فوراً. يحتاج المستخدمون فقط إلى توفير التفويض عند تحويل الرموز ، على غرار قصة الاقتراض ، حيث كان لدي فقط لإظهار شيك جاك ما عند سحب الأموال من البنك.
جاك ما المشغول يوفر لنفسه مكالمة هاتفية، ويبدو أن المستخدمين أيضًا يوفرون TX واحدة. عندما تكون أسعار الغاز مرتفعة، يمكن أن تكون التوفيرات في الرسوم كبيرة، مما يجعلها تبدو كفوز للجميع. ومع ذلك، لم يدرك أحد أن صندوق باندورا كان يفتح بصمت...
3. نمو مفجر مثل ثوران بركاني
قبل ظهور التصريح ، كان أحد التكتيكات الشائعة التي استخدمها المتسللون للتصيد الاحتيالي لمستخدمي التشفير هو خداعهم للتوقيع على معاملة موافقة. نظرا لأن هذه المعاملات تتطلب من المستخدمين إنفاق الغاز ، فإنها غالبا ما تثير الشكوك ، مما يجعل من الصعب على المتسللين النجاح. حتى إذا نقر المستخدمون عن طريق الخطأ على المعاملة ، فإن حقيقة أن الأمر استغرق بعض الوقت ليتم تأكيده على السلسلة أعطاهم الفرصة لتقديم معاملة أخرى بنفس المعاملة لإلغائها - مما يجعل من الصعب نسبيا على المتسللين تنفيذ مخططاتهم.
ومع ذلك ، كان وصول Permit بمثابة حلم تحقق للمتسللين. على عكس الموافقة ، لا يستهلك التصريح الغاز ويتطلب فقط توقيعا ، مما يقلل بشكل كبير من حماية المستخدم. بالإضافة إلى ذلك ، نظرا لطبيعة التوقيعات غير المتصلة بالإنترنت ، يكون عنصر التحكم في يد المتسلل. لا يقتصر الأمر على عدم وجود فرصة للمستخدمين للتراجع عن أخطائهم ، ولكن يمكن للمتسللين أيضا التمسك بالتفويض والإضراب في اللحظة الأكثر فائدة ، مما يزيد من مكاسبهم.
هذا أدى إلى ارتفاع ملحوظ في عدد ضحايا الصيد الاحتيالي وكمية الأموال المسروقة. وفقًا للإحصاءات من Gate.@ScamSniffer"">@ScamSniffer:
- في عام 2023، فقد ضحايا التصيد عبر البريد الإلكتروني ما مجموعه 295 مليون دولار.
- في النصف الأول من عام 2024، تجاوز هذا الرقم بالفعل 314 مليون دولار.
- بحلول نهاية الربع الثالث من عام 2024، وقع حادث كبير: تعرضت عنوان محفظة لشخصية بارزة، يُشتبه في أنه شينيو، لهجوم احتيال بتصريح، مما أدى إلى فقدان 12،000 spWETH، بقيمة تقدر بحوالي 200 مليون رينمينبي.
صورة: تقرير هجمات التصيد الاحتيالي لـ ScamSniffer للنصف الأول من عام 2024
كان مثل هذا السيناريو على الأرجح خارج نطاق تصور المطورين الأصليين. الغرض من إدخال تصريح كان لتقليل تكاليف الغاز، وتحسين تجربة المستخدم، وزيادة الكفاءة. ما كان يُعتقد أنه سيكون سيف ذو حدين، بمكاسب وخسائر، تبين أنه كان سيف ذو حدين واحد—حاد كالموس—يقطع ثقبًا كبيرًا في الدرع الذي كان من المفترض أن يحمي أصول المستخدمين.
التصريح ليس الطريقة الوحيدة للتفويض بناءً على التوقيعات. على سبيل المثال ، قدم Uniswap في وقت لاحق تصريح 2 ، مما يسمح لجميع رموز ERC-20 بدعم التوقيعات غير المتصلة بالإنترنت. كما أن تحرك Uniswap كـ أكبر منصة تبادل غير مركزية زاد مزيدًا من اعتماد المستخدمين على التوقيعات غير المتصلة بالإنترنت ، مما زاد في المقابل من مخاطر هجمات التصيّد.
4. كيفية تجنب المخاطر؟
كمستخدمين عاديين، ما هي الخطوات التي يمكننا اتخاذها لتجنب الخسائر وحماية أنفسنا من هذا السيف الحاد المعلق فوق رؤوسنا؟
1⃣ زيادة الوعي
ابق هادئًا عندما يصبح لديك إغراء بالحصول على الهبات الجوية.
يمكن أن تبدو جوائز الهبوط الجوي من المشاريع العملات المشفرة مغرية، ولكن في معظم الأحيان، فإنها هجمات احتيال تنكر كجوائز هبوط جوي. عند مواجهة مثل هذه المعلومات، لا تستعجل في المطالبة بها. بدلاً من ذلك، تحقق من شرعية الهبوط الجوي وموقعه الرسمي من مصادر متعددة لتجنب الوقوع في فخ الاحتيال.تجنب التوقيع الأعمى
إذا هبطت بالخطأ على موقع ويب للتصيد الاحتيالي ولم تدرك ذلك، فخذ لحظة لمراجعة الصفقة بعناية عندما يطلب منك محفظتك التوقيع. إذا ظهرت مصطلحات مثل الإذن، الإذن2، الموافقة، أو زيادة السماح، فإن ذلك يعني أن الصفقة تطلب تفويض الرمز. في هذه النقطة، يجب أن تكون حذرًا لأن الهبات الجوية الشرعية لا تتطلب هذه العملية. لقد قامت محافظ الأجهزة Keystone بتنفيذ تحليل الصفقات وعرض الميزات، مما يتيح للمستخدمين فهم تفاصيل الصفقة بشكل أفضل وتجنب التوقيع الأعمى، الذي يمكن أن يؤدي إلى عواقب خطيرة نتيجة لقرارات عجلة.
صورة: محفظة Keystone Hardware ، تحليل وعرض تصاريح محفظة Rabby وعمليات التوقيع Permit2
2⃣ استفد جيدًا من الأدوات
ScamSniffer
بالنسبة للمستخدم العادي، يمكن أن يكون تحديد مواقع الصيد الاحتيالي بدقة تحديا كبيرا، ومن السهل أن تتسلل بعضها خلال الفجوات. من خلال استخدام إضافة متصفح ScamSniffer، ستتلقى تنبيهات عند محاولة الوصول إلى مواقع الصيد الاحتيالي المحتملة، مما يمنحك الفرصة لوقف التفاعل قبل فوات الأوان.إلغاء
Revoke.cashيتيح لك البرنامج عرض تفويضات الرموز الخاصة بمحفظتك. نوصي بإلغاء أي تفويضات مشبوهة أو غير محدودة. من الممارسات الجيدة تنظيف تفويضاتك بانتظام وتقييدها بالمبالغ اللازمة فقط.
3⃣ فصل الأصول والتوقيع المتعدد
كما يقول المثل، لا تضع جميع بيضك في سلة واحدة - هذا المبدأ ينطبق أيضًا على الأصول الرقمية. على سبيل المثال، يمكنك تخزين كميات كبيرة من الأصول في محفظة باردة مثل Keystone، بينما تستخدم محفظة ساخنة للمعاملات اليومية. حتى إذا كنت ضحية لهجوم، فإن رصيدك بأكمله لن يتعرض للخطر.
بالنسبة لأولئك الذين لديهم مطالب أمان أعلى، يمكن أن يعزز استخدام محافظ التوقيع المتعدد (محفظة multi-sig) الحماية بشكل أكبر. يمكن نقل الأصول الموجودة تحت محفظة multi-sig فقط عندما يتم الوصول إلى حد معين من موافقات المحفظة. إذا تم اختراق محفظة واحدة ولكن لم يتم تحقيق الحد المطلوب، فلن يكون للمتسللين وصول إلى أصولك.
5. الاستنتاج
بينما لا يمكننا إنكار القيمة التي جلبتها تصريح ، إلا أن العدد المتزايد من عمليات السرقة يظهر أيضًا أن المخاطر التي يمثلها قد تتجاوز فوائده. تمامًا مثل طريقة ethsign القديمة ، التي كانت مفضلة من قبل القراصنة بسبب قراءتها الضعيفة وثغرات أمانها الكبيرة ، تم تعطيل تصريح الآن من قبل معظم برامج المحافظ ، مع استبدال وظائفه ببدائل أكثر أمانًا.
وبينما نركز على تصريح، ألسنا أيضًا في مفترق طرق مشابه لتلك التي واجهتها إيثسين؟ ما إذا كان تحسين وترقية أم التخلص تمامًا هو سؤال يحتاج مطورو إيثريوم إلى أخذ الوقت للنظر فيه ومناقشته.
قبل أن يتم التوصل إلى أي استنتاجات، يهدف Keystone إلى تعزيز الوقاية من المخاطر المتعلقة بـ التصريح على محافظ الأجهزة الخاصة به. نحن نبدأ التصويت لإضافة الميزات التالية:
- تحذير قوي ينبغي للتصاريح/تصاريح2 المعاملات
- زر لتعطيل وظائف التصريح/تصريح2
إخلاء المسؤولية:
- تم استنساخ هذه المقالة من [KeystoneCN، وحقوق النشر تعود إلى الكاتب الأصلي [،KeystoneCN], إذا كان لديك أي اعتراض على إعادة النشر، يرجى التواصل فريق تعلم جيت، سيتعامل الفريق معه في أقرب وقت ممكن وفقًا للإجراءات ذات الصلة.
- تنويه: الآراء والآراء المعبر عنها في هذه المقالة تمثل آراء الكاتب فقط ولا تشكل أي توصية استثمارية.
- يتم إجراء ترجمات المقالة إلى لغات أخرى من قبل فريق Gate Learn. ما لم يتم ذكره ، يُحظر نسخ وتوزيع أو سرقة المقالات المترجمة.
مقالات ذات صلة
كيفية تخزين ETH?
الإعداد لترقية كانكون: OP مقابل ARB - ما هو الخيار الأفضل؟