مؤخراً، قام مستخدم بالإعلان عن فقدان ملايين الرنمينبي من الأصول بسبب عملية احتيال عبر الإنترنت على سولانا. وفقاً للوصف، فإنه نقر عن طريق الخطأ على رابط نشره مجموعة احتيالية تحت تغريدة من مشروع مانيكي، مما أدى به إلى موقع ويب احتيالي.

ما أربكه هو أنه خلال التفاعل، لم يبدو أن الموقع يتطلب أي عملية ترخيص رمزية، ونجح القراصنة في سرقة الأصول مباشرة. عندما أدرك أنه قد يكون هناك مشكلة في الموقع وحاول نقل الرموز من محفظته لتجنب السرقة، وجد أن محاولات عديدة للتحويل فشلت، وأنه لم يعد بإمكانه سحب أصوله.

نظرًا للتفاصيل المحدودة المقدمة، لا يمكننا استعادة مشهد الحادث بالكامل. ومع ذلك، من الواضح أن المستخدم فقد السيطرة على حساب رمز منيكي، وهذا هو السبب في فشل محاولات نقل الأصول من محفظته. قد يشعر المستخدمون المعتادون على EVM بالارتباك بشأن ما يعنيه السيطرة على الحساب.

هذا يعود لأن سولانا تستخدم تنفيذًا مختلفًا عن سلسلة EVM. الاستمرار في التفاعل مع سولانا باستخدام العادات من EVM مثل استخدام سيف قديم في معركة حديثة، مما يؤدي بالضرورة إلى مخاطر كبيرة.

للتمتع باللعب على سولانا، من الضروري فهم خصائص سولانا وتكتيكات الاحتيال. لهذا السبب، قمنا بتجميع بعض أساليب الهجوم على سولانا التي تختلف عن تلك الموجودة على EVM، على أمل مساعدة المستخدمين غير الملمين بسولانا على تجنب الفخاخ.

1. cuckoo in the nest: نقل ملكية حساب الرمز المميز

واجه بطل القضية الافتتاحية لدينا هذا النوع من الهجوم. في محفظة سولانا، يحتوي كل رمز على حساب منفصل (حساب الرمز)، على غرار كيفية وجود حسابات منفصلة للعملات المختلفة مثل الرنمبي والدولار الأمريكي في الحساب المصرفي، والتي تعتمد بشكل مستقل عن بعضها البعض. كما يحتوي كل حساب رمز على سمة ملكية.

بشكل افتراضي ، يتم تعيين مالك حساب الرمز كمحفظة الحالية. ومع ذلك ، فإن هذا ليس مُشفرًا بشكل صلب. من خلال استدعاء عملية createsetauthorityinstruction ، يمكن تغيير ملكية حساب الرمز. يستخدم المخترقون هذه العملية لخداع المستخدمين وتحويل ملكية حساب الرمز من محفظتهم إلى محفظة المخترق.

بمجرد نجاحها، حتى وإن كانت الرموز ما زالت في المحفظة، لا يمكن للمستخدم نقلها، مما يعادل سرقة الرموز.

نظرًا لارتفاع مخاطر هذه العملية، كل من فانتوم و@Backpack_CNتقوم المحافظ بالتقاط وتحذير المستخدمين من مخاطر العملية، مطلوبة تأكيد ثاني للعملية ، ما لم يصر المستخدم على الموافقة عليها.

2. لا يتطلب أي تفويض مسبق للمعاملات على سولانا

على EVM، يحتاج عقد الصيد الاحتيالي إلى أن يأذن المستخدم بالعقد على عقد الرمز المميز قبل أن يتمكن من نقل الرموز من محفظة المستخدم. يمكن لعقد الصيد الاحتيالي فقط بدء الصفقة لنقل أصول المستخدم بعد الحصول على الإذن.

ومع ذلك، على سولانا، "الموافقة" لا تعني التفويض بل الموافقة على العملية. إذا عالج المستخدم بطريقة خاطئة هذه الخطوة على أنها خطوة تفويض ووافق عليها، يتم إرسال عملية الاحتيال، مما يترك فرصة ضئيلة للاسترداد.

الموقف الأكثر خطورة هو إذا تم خداع المستخدم لتفويض الرموز المميزة على EVM ، يتأثر الرمز المميز المصرح به فقط ، وتظل الرموز المميزة الأخرى غير المصرح بها آمنة. في Solana ، نظرا لعدم الحاجة إلى إذن وموافقة المستخدم فقط مطلوبة لنقل الرموز المميزة ، جنبا إلى جنب مع النقطة الثالثة التي سنناقشها بعد ذلك ، فقد يؤدي ذلك إلى خسائر كبيرة للمستخدم.

3. حذار من التأثير بك لنقل عدة رموز

تسمح تصميمات معاملات سولانا بتضمين عدة معاملات فرعية في معاملة واحدة، حيث تنفذ كل معاملة فرعية تفاعلاً معينًا، مثل نقل رمز معين. بالمقارنة مع EVM، حيث يتطلب نقل كل رمز معاملة منفصلة، فإن هذه الميزة في سولانا توفر بعض الراحة.

على سبيل المثال، قد يحتوي محفظتك على بعض الرموز ذات القيمة الصغيرة جدًا، أقل من 1 دولار أمريكي. يستخدم سول-إنسينراتور هذه الميزة للسماح للمستخدمين بإرسال دُفعات من الرموز ذات القيمة الصغيرة من محفظتهم وتحويلها إلى سول من دون الحاجة إلى تحويلات متعددة، التي تستهلك الكثير من الغاز وتوفر الوقت العملي.

بينما يوفر هذا الميزة الراحة، إلا أنه يسهل بشكل كبير أنشطة الاختراق. إذا نجح القراصنة في خداع المستخدم لتأكيد عملية معينة، فيمكنهم سحب جميع الرموز والعملات الرقمية وحتى سول من محفظة المستخدم. لذا، إذا رأيت عملية تشمل نقل العديد من الرموز، فكن حذرًا لأنه قد يكون القراصنة يحاولون إفراغ محفظتك باستخدام هذه الميزة.

4. سرقة تواقيع المعاملات

في نظام الـ EVM ، تُفضل تواقيع التصريح من قِبَل مجموعات التصيد بسبب خفتها وحقيقة عدم ظهورها في محفظة المُصرّح. حاليًا ، يستخدم أكثر من نصف الهجمات النصلية هذه الطريقة. في عالم Solana ، هناك طريقة مشابهة: Nonce دائم.

تعمل وظائف العدم الدائم بشكل مماثل للإذن. إذا قام المستخدم بتوقيع عملية غير مدرك لها، فلن يفقد الأصول على الفور أو يرى هذه العملية في محفظته. بدلاً من ذلك، يتم إرسال معلومات العملية الموقعة إلى مجموعة الصيد الاحتيالي، الذين يقومون بإرسال العملية إلى سلسلة الكتل. هذه الخاصية للعملية غير المتصلة بالإنترنت خطيرة بنفس القدر مثل الإذن.

نظرًا لأن سولانا يمكنها محاكاة نتائج المعاملات، فإن الرقم التسلسلي المستديم أكثر قابلية للقراءة من السماح، مما يجعل من الأسهل على المستخدمين التعرف عليه. ومع ذلك، قامت مجموعات الاحتيال بدمج الرقم التسلسلي المستديم مع ترقيات العقود لسرقة الأصول بشكل أكثر فعالية مع تجاوز تحذيرات محاكاة المعاملات.

مواقع الصيد الاحتيالية تتفاعل أولاً مع المستخدمين باستخدام عقود عادية دون معاملات خبيثة. تظهر ميزة محاكاة المعاملات في المحفظة لا توجد مشاكل في هذه المرحلة. بمجرد موافقة المستخدم على المعاملة، لا تبث مجموعة الصيد الاحتيالية على الفور إلى سلسلة الكتل. بدلاً من ذلك، ينتظرون ويقومون في وقت لاحق بترقية العقد إلى إصدار يحتوي على كود خبيث قبل بثه. بعد ذلك، سيجد المستخدم فجأة أصولهم مفقودة، غالبًا بعد أيام من توقيع المعاملة.

هذه الطريقة المحسنة للهجوم خفية للغاية وضارة. لا يمكن لوظائف محاكاة المعاملات الحالية عرض هذا الخطر. لذلك، من الأهمية بمكان الحفاظ على يقظة عالية وعدم الاعتماد بشكل كبير على تحذيرات برامج المحافظ أو الثقة العمياء في نتائج محاكاة المعاملات.

استنتاج

كان الغرض الأصلي من تلك الميزات هو خفض حواجز المستخدم وتوفير المزيد من الراحة. ومع ذلك، كما السيف ذو حدين، فإن التكنولوجيات الجديدة أيضًا قدمت لمجموعات الاحتيال مجموعة أوسع من طرق الهجوم.

قبل كتابة هذه المقالة، أصدرت سولانا ميزتين جديدتين: العمل والوميض. بينما هناك الكثير من الترقب حول هذه الميزات، حذر البعض أيضًا من إمكانية استغلال مجموعات التصيد لها.

التصيد على سولانا يتميز بالعمليات ذات النقرة الواحدة والخفية العالية. نظرًا لعدم استقرار rpc وأسباب أخرى، قد لا تعمل وظائف محاكاة المعاملات دائمًا، لذا لا يمكن الاعتماد عليها بشكل كامل.

يُوصَى باستخدام محفظة الأجهزة Keystone للتفاعل مع النظام لدى المستخدمين الذين يمتلكون الوسائل. وهذا يضيف طبقة إضافية من التأكيد، مما يمنع إجراءات التأكيد السريعة التي تحدث بسبب الاندفاع أو النقرات العشوائية.

بالإضافة إلى ذلك، يقوم Keystone بتحليل المعاملات على الجانب الأجهزة. في الحالات التي تفشل فيها محاكاة معاملات محفظة البرمجيات، يمكن للأجهزة ما زالت تحليل محتوى المعاملة، مما يوفر الخط الأخير للدفاع.

تتطور تكنولوجيا البلوكشين باستمرار وتتحول. بينما نقلق من المخاطر المرتبطة بالتكنولوجيات الجديدة، لا يمكننا أن نتوقف عن التقدم. مجموعات الاحتيال مثل الآفات التي يرغب الجميع في القضاء عليها، والمحترفون، بما في ذلك مصنعو محافظ العملات وشركات الأمان، يعملون باستمرار على تطوير حلول لمواجهة التهديدات الجديدة.

كمستخدمين عاديين، من الضروري تذكير أنفسنا بعدم الانجذاب بواسطة "الهدايا المجانية" ولكن بدلاً من ذلك يجب علينا فحص تفاصيل المعاملات بعناية. باستيعاب هذا المستوى من الوعي الأمني، فإن محاولات الاحتيال أقل احتمالًا للنجاح.

تنويه:

1. هذا المقال مأخوذ بالطبع من [الحجر الزاوي]. جميع حقوق النشر تنتمي إلى الكاتب الأصلي [الحجر الزاوي]. إذا كان هناك اعتراضات على هذا النشر، يرجى التواصل معبوابة تعلم، وسيتعاملون معها بسرعة فائقة.
2. تنصل المسؤولية: الآراء والآراء المعبر عنها في هذه المقالة هي فقط تلك التي تعود للكاتب ولا تشكل أي نصيحة استثمارية.
3. تتم ترجمة المقالات إلى لغات أخرى من قبل فريق Gate learn. ما لم يذكر غير ذلك، يُحظر نسخ أو توزيع أو سرقة المقالات المترجمة.