هل محفظتك آمنة؟ كيف يستغل القراصنة تصريح Permit و Uniswap Permit2 والتواقيع للصيد الاحتيالي.

مبتدئ9/24/2024, 10:47:17 AM
يستكشف هذا المقال المخاطر الأمنية المتضمنة في استخدام محافظ العملات المشفرة، مركزًا بشكل خاص على هجمات التصيد التي تستغل التصاريح، وتصاريح يونيسواب2، وغيرها من وسائل توقيع التفويض.

أتذكر شخصًا ما في المجموعة قد شارك مرة واحدة مقولة حكيمة: “إذا لم تعرف من يقوم بتوليد الأرباح، فأنت الشخص الذي يولدها.” هذا يتفاعل حقًا معي. ينطبق نفس المبدأ على أمان استخدام محافظ العملات المشفرة. إذا لم تكن متأكدًا من ما ينطوي عليه إجراء معين ، فقد يعرض كل تفاعل أو توقيع على السلسلة النقدية الخاصة بك يمكن أن يعرض أصول محفظتك للخطر.

مؤخراً، أصدر مراقب الاحتيال تقريراً عن الصيد الاحتيالي لمدة منتصف عام 2024: في أول نصف من هذا العام فقط، تعرض 260،000 ضحية للصيد الاحتيالي على سلاسل EVM (سلاسل مبنية على الإيثيريوم)، مما أدى إلى خسائر تصل إجمالاً إلى 314 مليون دولار. لتوضيح ذلك، فقد تجاوزت هذه الأرقام بالفعل الخسائر البالغة 295 مليون دولار في هجمات الصيد الاحتيالي في عام 2023، ولم يستغرق سوى ستة أشهر للوصول إلى هذا الرقم، كما هو موضح في الرسم البياني أدناه.

يسلط التقرير الضوء على أن معظم سرقات الرموز ERC20 تحدث من توقيع تصيد التصديقات ، مثل إذن (توقيعات التصديق غير المتصلة بالإنترنت) ، زيادة السماح (توسيع حدود التفويض) ، و Uniswap Permit2. يظل هجمات التصيد واضحة ضعفًا كبيرًا في أمان السلسلة.

قبل بضعة أيام، واجه صديق مشكلة. قبل شهرين، في 14 يونيو، قاموا بثلاثة تحويلات من محفظتهم في كوينبيس إلى بينانس (تحويلات سلسلة Ethereum). تمت عملية التحويل الأول بنجاح، ولكن التحويلين الآخرين لم يصلوا أبدًا، ولقد مر شهرين الآن. ما الذي يمكن أن يكون قد حدث خطأ؟

فحصت سجلات المعاملات على Etherscan ووجدت فقط عملية واحدة ، بدون أي أثر للاثنين الآخرين ، كما هو موضح في الصورة أدناه.

بعد التحقق بدقة من جميع المعاملات على السلسلة من 14 يونيو، تم العثور على ثلاث محاولات للتحويل، ولكن تم وضع علامة على المحاولتين الأخيرتين كمعاملات فاشلة، كما هو موضح في الصورة أدناه.

ثم قمت بالنقر على إحدى المعاملات الفاشلة (التي يتم وضع علامة عليها باسم "Fail") لمعرفة ما الذي حدث بشكل خاطئ. وقد ذكرت رسالة الخطأ، "Error encountered during contract execution." وفقًا لوثائق Etherscan الرسمية، يجب أن لا يؤدي هذا النوع من الأخطاء إلى فقدان الأصول من المحفظة. فالرموز المميزة لا تغادر محفظة المرسل في مثل هذه الحالات، على الرغم من أن رسوم الغاز لا تزال مخصومة. ويتم توضيح ذلك في الصورة التالية.

لمعالجة هذا النوع من المشكلات، يجب تأكيد ما يلي:

-تحقق مما إذا تم نقل الأموال فعلاً أم فقدت من المحفظة في ذلك اليوم (أي إذا لم تؤدي المعاملة الفاشلة إلى عودة الأموال إلى المحفظة).

-إذا تم تأكيد أن الأصول قد تم نقلها أو فقدت، قد تحتاج إلى التواصل مع دعم العملاء للمنصة ذات الصلة. في مثل هذه الحالات، من الأفضل الاتصال بالمنصة المسؤولة عن إرسال أو بدء السحب، حيث لن تتمكن المنصة المستلمة أو العنوان من حل المشكلة.

بالنظر إلى ذلك ، فإن توصيتي المعتادة هي أنه من الجيد الاحتفاظ بسجل معاملات مفصل ، مثل استخدام Excel لتتبع معاملاتك اليومية (شراء / بيع) والتدفق النقدي (الدخل / النفقات). بهذه الطريقة ، إذا ظهرت أي مشكلات ، يمكنك مقارنة السجل بسجلات المعاملات على السلسلة للتحقق المتبادل. أنا في الواقع أحتفظ بمثل هذا السجل ، وأسجل كل معاملة بالتفصيل. أقوم أيضا بإضافة ملاحظات حول تجاربي أو أفكاري حول معاملات معينة.

في هذه النقطة، يبدو أن المشكلة مفهومة إلى حد كبير. ومع ذلك، أثناء مراجعة تاريخ المعاملات على السلسلة الرئيسية، اكتشفت مشكلة أكثر خطورة مع محفظة هذا الصديق - تم استهدافها من قبل قراصنة!

ماذا حدث؟ دعنا نلقي نظرة أقرب (كما هو موضح في الصورة أدناه):

دعونا نلقي أولا نظرة على الصندوق الأحمر في الصورة (صفقة شرعية):

قام مالك المحفظة للتو بإتمام صفقة بقيمة 10,000 دولار ونقل الUSDT إلى محفظة تبدأ بـ 0x8F وتنتهي بـ f103.

الآن، تحقق من المربع الأخضر (صفقة صيد):

في الحال بعد ذلك، قام القرصنة بإنشاء عدة معاملات مزيفة. ومن المثير للاهتمام أن عنوان محفظة القرصنة يبدأ أيضًا ب 0x8F وينتهي ب f103.

دعونا نقارن عناوين المحافظ عن كثب:

عنوان مالك المحفظة الحقيقي هو:

0x8F773C2E1bF81cbA8ee71CBb8d33249Be6e5f103

عناوين محافظ القراصنة هي:

0x8F7cCF79d497feDa14eD09F55d2c511001E5f103

0x8F776d5623F778Ea061efcA240912f9643fdf103

هل لاحظت المشكلة؟ الأربعة الأولى والأربعة الأخيرة من هذه العناوين متطابقة، مما يجعلها تبدو متشابهة تقريبًا بسرعة نظرة. إذا قمت بنسخ ولصق عنوان مباشرة من تاريخ المعاملات دون التحقق المزدوج، يمكن أن تنتهي بسهولة بإرسال الأموال مباشرة إلى القراصنة.

لذا، فمن الواضح أن هذه المحفظة قد تعرضت فعلا للاستهداف من قبل قراصنة يحاولون اصطياد الأصول. وما أكثر من ذلك، فإن صفحة تجزئة المعاملات تؤكد هذا - تم وضع علامة على فعل المعاملة كمزورة احتيالية، وهو ما لا يترك أي شك في أن هذا هو عنوان قراصنة. انظر الصورة أدناه للإشارة.

نصيحة سريعة: لماذا لا يمكنك رؤية المعاملات غير الصالحة أو التحويلات بقيمة صفر على Etherscan؟ كيف يمكنك تغيير متصفح Ethereum إلى اللغة الصينية المبسطة؟

تقوم Etherscan بإخفاء المعاملات غير الصالحة والتحويلات بقيمة صفرية بشكل افتراضي. إذا كنت ترغب في عرضها ، فما عليك سوى الانتقال إلى صفحة الإعدادات على Etherscan وتمكين الخيارات المتقدمة. بالمثل ، إذا كنت تفضل استخدام الواجهة باللغة الصينية المبسطة ، فيمكنك أيضًا ضبط ذلك في الإعدادات. انظر الصورة أدناه للإشارة. بديلًا ، يمكنك استخدام مستكشفات العملات المتعددة من الطرف الثالث مثل Oklink ، والتي تدعم أيضًا اللغة الصينية المبسطة.

أمان المحفظة شيء يتطلب بالتأكيد اهتمامًا وثيقًا، خاصة بالنسبة للمحافظ التي تحتوي على أصول كبيرة (أكثر من مليون دولار). فمن الفكرة الجيدة توزيع أموالك عبر محافظ مختلفة بناءً على أغراضها لتعزيز السلامة. إليك كيف أقوم شخصيًا بتنظيم محافظي إلى طبقات مختلفة:

المستوى 1: تم إعداد محفظة باردة على هاتف Apple، بشكل صارم للتخزين على المدى الطويل. يتم الاحتفاظ بها دون الاتصال بالإنترنت ولا يتم استخدامها أبدًا لأي معاملات أو تحويلات. أنا أعتزم الاحتفاظ بهذه الأصول لمدة لا تقل عن 10 سنوات دون لمسها. إذا كنت ترغب في استخدام محفظة باردة للمعاملات، يمكنك النظر في شراء محافظ هاردوير معروفة من خلال قنوات موثوقة (مثل Trezor، Ledger، إلخ).

الطبقة 2: محفظة ساخنة للمبالغ الأكبر. أستخدم محفظة Trust ولا أمنح أي أذونات dApp. يتم استخدام هذه المحفظة فقط للتحويل بين محافظي الخاصة والسحب أو التحويل إلى Binance.

المستوى 3: العشرات من المحافظ الصغيرة ، بعضها لأغراض الاختبار (مثل التفاعل مع مشاريع جديدة لتجربة ميزاتها أو في بعض الأحيان تعطيل الإنزال الجوي) ، بينما تم استخدام البعض الآخر لشراء العملات البديلة أو رموز meme (على الرغم من أنني فعلت أقل من هذا في السنوات الأخيرة). تحتوي كل محفظة على مبالغ صغيرة فقط ، تتراوح من بضع مئات إلى بضعة آلاف من الدولارات. أنا أكثر استرخاء بشأن التراخيص والتوقيعات مع هذه المحافظ ، وحتى إذا تم اختراق أحدها ، فهذه ليست مشكلة كبيرة. قد تبدو إدارة كل هذه المحافظ وكأنها متاعب ، لكنها تستحق ذلك لمزيد من الأمان.

في الخلاصة، لديهم الجميع تفضيلاتهم الخاصة في كيفية إدارة محافظهم، حسب حالتهم الشخصية. يفضل مستخدمو العملات الرقمية الخبراء الحفاظ على أصولهم على السلسلة، لكن بالنسبة لمعظم المستخدمين الجدد، فإن تخزين الأصول (بأقل من 100000 دولار) على المنصات الرئيسية مثل بينانس أو أوكس هو الخيار الأكثر أمانًا في الواقع.

الآن، دعونا نمر ببعض تكتيكات الاحتيال الشائعة:

1. السماح بالهجوم عبر التصيد الاحتيالي

للبدء، دعونا نشرح بعض المفاهيم الأساسية: عند نقل الرموز على إيثريوم، عادةً ما تتفاعل مع عقد الذكاء الاصطناعي للرمز باستخدام وظيفة النقل أو وظيفة النقل من. تُستخدم وظيفة النقل عندما يُذن المالك مباشرة بنقل الرموز إلى عنوان آخر، بينما تُسمح وظيفة النقل من لطرف ثالث بنقل الرموز من عنوان إلى آخر.

هكذا يعمل هجوم الصيد الاحتيالي للتصريح:

أولاً، يخدع المهاجم الضحية للنقر على رابط احتيالي أو زيارة موقع ويب مزيف، مما يدفعهم إلى توقيع معاملة المحفظة (خارج السلسلة).

ثم يستخدم المهاجم وظيفة الإذن للحصول على تفويض.

أخيرًا، يقوم المهاجم بالاتصال بوظيفة التحويل من لنقل أصول الضحية، وإتمام هجوم التصيّد الاحتيالي.

تتميز هذه الطريقة الاحتيالية بسمة مميزة: بعد أن يحصل الهاجم على إذن التوقيع الخاص بك ، يمكنه تنفيذ عمليات الإذن والتحويل. الشيء المهم الذي يجب ملاحظته هو أن الإذن لن يظهر في سجل المعاملات على السلسلة الرئيسية للضحية ، ولكنه سيكون مرئيًا في نشاط عنوان الهاجم.

عادة ما تكون هذه الأنواع من هجمات التصيد الاحتيالي المميزة أحداثا لمرة واحدة ، مما يعني أنها لا تشكل تهديدا مستمرا للتصيد الاحتيالي. بعبارات أبسط: لا يمكن لهجوم التصيد الاحتيالي المميز سرقة عبارة ذاكري محفظتك (أو المفتاح الخاص). تسمح كل محاولة تصيد احتيالي للمتسلل باستخدام التفويض مرة واحدة فقط ، وتؤثر فقط على الرمز المميز و blockchain الذي سمحت به (على سبيل المثال ، إذا سمحت ب USDT ، فيمكن للمتسلل فقط أخذ USDT الخاص بك). بمعنى آخر ، يمنح توقيع تصيد واحد المتسلل فرصة لمرة واحدة ، ما لم ترتكب خطأ التوقيع مرة أخرى في المستقبل ، مما يمنحه فرصة أخرى لاستغلال محفظتك.


(Image credit: bocaibocai@wzxznl)

2. هجوم احتيالي Uniswap Permit2

هذه الطريقة الاحتيالية مشابهة لهجوم الإذن المذكور سابقًا، حيث يتورط كل منهما في الاحتيال على التوقيع خارج السلسلة. يعد Uniswap Permit2 عقدًا ذكيًا قدمته Uniswap في عام 2022. وفقًا لـ Uniswap، إنه عقد موافقة رمز مصمم للسماح بمشاركة وإدارة أذونات الرمز عبر تطبيقات مختلفة، مما يوفر تجربة مستخدم أكثر سلاسة وكفاءة وأمانًا. فقد قامت العديد من المشاريع بدمج Permit2 الآن.

مؤخرًا، قرأت بعض المقالات بقلم bocaibocai (X@wzxznl) للغوص عميقًا في ميكانيكيات هجمات الاحتيال باستخدام إذن2. إليكم ملخص سريع:

عندما ترغب في إجراء تبديل على بورصة غير مركزية (DEX)، يتطلب العملية التقليدية منك الموافقة أولاً على DEX للوصول إلى رموزك ثم إجراء التبادل. وعادة ما يعني هذا دفع رسوم الغاز مرتين، مما قد يكون غير مريح للمستخدمين. يبسط Permit2 هذه العملية عن طريق تخطي خطوة الموافقة الإضافية، مما يقلل بشكل فعال من تكاليف التفاعل ويحسن تجربة المستخدم العامة.

بشكل أساسي ، تعمل Permit2 كوسيط بين المستخدمين وتطبيقات العقود الذكية اللامركزية. بمجرد أن يقوم المستخدمون بتفويض Permit2 ، يمكن لأي تطبيق متكامل مع Permit2 مشاركة هذا الحد المفوض. هذا لا يقلل فقط من التكاليف ويبسط العملية بالنسبة للمستخدمين ولكنه يساعد أيضًا تطبيقات العقود الذكية في جذب المزيد من المستخدمين والسيولة بسبب التجربة المحسنة.

ما بدا وكأنه وضع مربح للجانبين يمكن أن يتحول أيضا إلى سيف ذو حدين. تقليديا ، تتضمن كل من التراخيص وتحويلات الأموال إجراءات على السلسلة من قبل المستخدم. ولكن مع Permit2 ، يتم تقليل تفاعل المستخدم إلى توقيع خارج السلسلة ، بينما يتعامل الوسطاء مثل عقد Permit2 أو المشاريع المدمجة معه مع العمليات على السلسلة. يوفر هذا التحول مزايا من خلال تقليل الاحتكاك على السلسلة للمستخدمين ، ولكنه يمثل أيضا مخاطر. التوقيعات خارج السلسلة هي المكان الذي غالبا ما يخفض فيه المستخدمون دفاعاتهم. على سبيل المثال ، عند توصيل محفظة بتطبيقات dApps معينة ، يطلب من المستخدمين التوقيع على شيء ما ، لكن معظمهم لا يفحصون أو يفهمون بعناية محتوى التوقيع (والذي غالبا ما يبدو وكأنه خليط من التعليمات البرمجية). هذا النقص في التدقيق يمكن أن يكون خطيرا.

مصدر قلق رئيسي آخر هو أن Permit2 بشكل افتراضي يسمح بالوصول إلى رصيد الرمز المميز بالكامل ، بغض النظر عن المبلغ الذي تخطط لمبادلته. بينما تسمح لك محافظ مثل MetaMask بتعيين حد مخصص ، فمن المحتمل أن ينقر معظم المستخدمين على "max" أو يستخدمون الإعداد الافتراضي. الإعداد الافتراضي ل Permit2 هو تفويض غير محدود ، وهو أمر محفوف بالمخاطر بشكل خاص. انظر الصورة أدناه كمرجع.

هذا يعني بشكل أساسي أنه إذا تفاعلت مع Uniswap ومنحت سماحية لعقد Permit2، فأنت معرض لهذا الاحتيال بصيد الأسماك.

على سبيل المثال، دعونا نقول أن شياو لي استخدمت Uniswap وأذنت بمبلغ غير محدود من USDT إلى عقد Permit2. في وقت لاحق، أثناء إجراء معاملات المحفظة الروتينية، سقطت شياو لي دون علم في فخ احتيالي يتعلق بـ Permit2. بمجرد أن حصل القراصنة على توقيع شياو لي، يمكنهم استخدامه لأداء عمليتين رئيسيتين على عقد Permit2 - إذن ونقل من - لسرقة أصول شياو لي.

إليك كيف يعمل هجوم الصيد الاحتيالي هذا:

قبل محاولة الصيد الاحتيالي ، كان المستخدم قد استخدم بالفعل Uniswap ومنح أذونات الرمز لعقد Uniswap Permit2 (بإذن غير محدود بشكل افتراضي).

ثم ينشئ المهاجم رابط أو موقع ويب تصيدية مزيفًا، يخدع من خلاله المستخدم لتوقيع عملية تحويل. وبمجرد التقاط التوقيع، يحصل القراصنة على كل المعلومات التي يحتاجونها (هذه الخطوة مشابهة للتصيد المسموح به).

باستخدام هذا، يقوم المهاجم بالاتصال بوظيفة السماح في عقد السماح2، مكتملة الترخيص.

أخيرًا، يقوم المهاجم بالاتصال بوظيفة Transfer From داخل عقد Permit2 لنقل أصول الضحية، مكتملًا بذلك هجوم الاحتيال.

عادة ما تتضمن هذه الهجمات عناوين استلام متعددة. يتم استخدام بعضها فقط لعمليات التصيد الاحتيالي (وقد يتم تصميمها لتبدو مثل عنوان الضحية بأحرف متشابهة في البداية والنهاية) ، بينما ينتمي البعض الآخر إلى حلقات التصيد الاحتيالي المنظمة (على سبيل المثال ، موفرو DaaS). يبدو أن صناعة التصيد الاحتيالي التي تستهدف محافظ العملات المشفرة قد تطورت إلى سوق سرية واسعة النطاق. انظر الصورة أدناه.

كيف يمكنك حماية نفسك من هجمات التصيد الاحتيالي Permit and Permit2؟

خيار واحد هو استخدام مكونات إضافية لأمان المتصفح مثل Scamsniffer (لقد كنت أستخدم هذا على Google Chrome الخاص بي) لحظر روابط الاحتيال. بالإضافة إلى ذلك، يمكنك التحقق بانتظام وإلغاء أي إذن أو توقيع مشبوه غير ضروري باستخدام أدوات مثل Revoke Cash. انظر الصورة أدناه لمثال.

يمكنك أيضا استخدام أداة متخصصة لإدارة التفويض من Scamsniffer، مصممة خصيصا ل Uniswap Permit2، لمراجعة تفويضاتك بانتظام. إذا كان أي شيء يبدو غير عادي ، فمن المهم إلغاء الأذونات على الفور. انظر الصورة أدناه.

ومع ذلك ، فإن أهم جانب هو الحفاظ على وعي قوي بالأمان. تجنب زيارة مواقع أو روابط غير معروفة ، وعند التفاعل مع تطبيقات الويب المشفرة ، تحقق دائمًا مما تقوم بتفويضه.

(Image credit: bocaibocai@wzxznl)

نصيحة سريعة: كيف يمكنك معرفة ما إذا كان توقيع المحفظة لـ Permit أو Permit2؟

عند التوقيع ، سترى بعض التفاصيل في نافذة تأكيد التفويض. يمكنك التعرف على نوع التوقيع من خلال النظر إلى حقول المفتاح مثل تلك الموضحة في الصورة أدناه:

المالك (العنوان الذي يعطي التفويض)؛ المنفق (العنوان الذي يتلقى التفويض)؛ القيمة (المبلغ المصرح به)؛ عدد عشوائي فريد (Nonce)؛ الموعد النهائي (تاريخ انتهاء الصلاحية).

3. هجوم الصيد الاحتيالي على المطالبة

هذا النوع من الاحتيال شائع جدًا. على سبيل المثال، إذا كنت تتصفح X (السابقاً تويتر) بانتظام، فمن المحتمل أن تصادف رسائل تقدم "هبات جوائز مجانية." في بعض الأحيان، قد تجد حتى NFTs عشوائية تسقط بشكل غامض في محفظتك (والتي قد تتضمن رابط موقع ويب).

إذا قمت بالنقر على موقع احتيالي وتابعت مع مطالبةفي حالة العملية، يمكن أن تسرق الأصول في محفظتك على الفور من قبل القراصنة.

كيف يمكنك حماية نفسك؟

أولاً، لا تقع في فخ العروض "جيدة للغاية لتكون حقيقية" (تجنب النقر على الروابط المشبوهة أو قبول الNFT المجانية غير المعروفة والهبات الجوية). ثانياً، تحقق دائماً مرتين من الموقع الذي تستخدمه للتأكد من أنه الموقع الرسمي الشرعي قبل القيام بأي عمليات مطالبة.

4. احتيال نقل العنوان المماثل

في 3 مايو من هذا العام، تعرضت سمكة الكريبتو لهجوم تصيد باستخدام عنوان مشابه، حيث فقدت 1,155 WBTC (بقيمة تقدر بحوالي 70 مليون دولار في ذلك الوقت).

سبق لـ SlowMist تحليل هذا الحدث بالتفصيل ، لذلك لن أكرر التفاصيل هنا. إذا كنت مهتمًا ، يمكنك إعادة زيارة القضية هنا:

https://mp.weixin.qq.com/s/mQch5pEg1fmJsMbiOClwOg

هذا النوع من الصيد الاحتيالي نسبياً بسيط:

أولاً، يقوم القراصنة بإنشاء عدد كبير من عناوين الصيد الخادعة التي تشبه بشكل كبير عنوان الضحية المقصود، وغالبًا ما تتطابق أول 4 أحرف وآخر 6 أحرف.

بعد ذلك ، ينفذون برنامج دفعة لمراقبة أنشطة الضحية في السلسلة الرئيسية ثم يشنون هجوم احتيال عن طريق إرسال عنوان مماثل قبل الصفقة المقصودة.

أخيرًا، عندما يقوم الضحية بعملية التحويل، يستخدم القراصنة عنوانًا يشبهه لإرسال عملية تحويل فورًا. بهذه الطريقة، يظهر عنوان الصيد الاحتيالي في سجل المعاملات للمستخدم. انظر الصورة أدناه.

نظرًا لأن العديد من المستخدمين لديهم عادة نسخ تفاصيل المعاملات من تاريخ محفظتهم ، فقد يرون معاملة احتيالية تتبع عن قرب معاملتهم الخاصة ولا يدركون أنهم قاموا بنسخ العنوان الخاطئ. دون التحقق بعناية ، يمكن أن ينتهي بهم الأمر إلى إرسال 1،155 WBTC إلى العنوان الاحتيالي عن طريق الخطأ.

كيف يمكنك منع ذلك؟

أولا ، احفظ العناوين شائعة الاستخدام في دفتر عناوين محفظتك (أو قم بإدراجها في القائمة البيضاء) ، لذلك في المرة القادمة ، يمكنك تحديد العنوان الصحيح من القائمة. ثانيا ، تحقق دائما من العنوان الكامل قبل تحويل الأموال - لا تعتمد على الأحرف القليلة الأولى أو الأخيرة فقط. عند إجراء تحويل كبير ، من الجيد إرسال معاملة اختبار صغيرة أولا للتأكد من صحة كل شيء.

5. صيد البريد الالكتروني الخاص بالتوقيع المصرح به

السماح وتصريح يوني سواب 2 وطرق المطالبة المذكورة سابقا تندرج جميعها تحت مظلة صيد الصلاحيات. في الواقع، هناك العديد من الطرق التي يمكن للقراصنة استغلال تصاريح المحفظة، مثل الموافقة (منح الإذن للسماح لمنصة مثل يوني سواب باستخدام USDT الخاص بك) وزيادة السماح (رفع الحد الأقصى للإنفاق).

عادة ما تتضمن عملية التصيد الاحتيالي قيام المهاجم بإعداد رابط أو موقع ويب مزيف أو حتى اختراق موقع مشروع رسمي وتضمين برامج ضارة ، مما يخدع المستخدمين للنقر ومنح إذن المحفظة دون علمهم.

تم مناقشة خمسة أساليب احتيالية فقط من بجملة الأساليب الأكثر شيوعا. يقوم المخترقون باستمرار بابتكار طرق هجوم جديدة ومبتكرة. كما يقول المثل "سيظل المخترقون دائمًا خطوة واحدة أمام." وهذا يعني أن أمان المحفظة تحدي مستمر، ويجب على المستخدمين أن يظلوا يقظين في جميع الأوقات.

إخلاء المسؤولية:

  1. تم نشر هذه المقالة من [Gate]话李话外]مع العنوان 'هل محفظتك آمنة؟ كيف يستغل القراصنة تصريحات Permit وUniswap Permit2 والتوقيعات للصيد الاحتيالي.'، جميع حقوق النسخ تنتمي إلى الكاتب الأصلي [话李话外]. إذا كانت هناك اعتراضات على هذا النشر، يرجى الاتصال بالبوابة التعلمالفريق، وسيتعاملون معه بسرعة.

  2. إخلاء المسؤولية عن الضرر: الآراء والآراء المعبر عنها في هذه المقالة هي فقط تلك التي تعود إلى الكاتب ولا تشكل أي نصيحة استثمارية.

  3. تتم ترجمة المقالة إلى لغات أخرى من قبل فريق Gate Learn. ما لم يتم ذكرهGate.io، منع نسخ أو توزيع أو ارتكاب التزوير في المقالات المترجمة.

هل محفظتك آمنة؟ كيف يستغل القراصنة تصريح Permit و Uniswap Permit2 والتواقيع للصيد الاحتيالي.

مبتدئ9/24/2024, 10:47:17 AM
يستكشف هذا المقال المخاطر الأمنية المتضمنة في استخدام محافظ العملات المشفرة، مركزًا بشكل خاص على هجمات التصيد التي تستغل التصاريح، وتصاريح يونيسواب2، وغيرها من وسائل توقيع التفويض.

أتذكر شخصًا ما في المجموعة قد شارك مرة واحدة مقولة حكيمة: “إذا لم تعرف من يقوم بتوليد الأرباح، فأنت الشخص الذي يولدها.” هذا يتفاعل حقًا معي. ينطبق نفس المبدأ على أمان استخدام محافظ العملات المشفرة. إذا لم تكن متأكدًا من ما ينطوي عليه إجراء معين ، فقد يعرض كل تفاعل أو توقيع على السلسلة النقدية الخاصة بك يمكن أن يعرض أصول محفظتك للخطر.

مؤخراً، أصدر مراقب الاحتيال تقريراً عن الصيد الاحتيالي لمدة منتصف عام 2024: في أول نصف من هذا العام فقط، تعرض 260،000 ضحية للصيد الاحتيالي على سلاسل EVM (سلاسل مبنية على الإيثيريوم)، مما أدى إلى خسائر تصل إجمالاً إلى 314 مليون دولار. لتوضيح ذلك، فقد تجاوزت هذه الأرقام بالفعل الخسائر البالغة 295 مليون دولار في هجمات الصيد الاحتيالي في عام 2023، ولم يستغرق سوى ستة أشهر للوصول إلى هذا الرقم، كما هو موضح في الرسم البياني أدناه.

يسلط التقرير الضوء على أن معظم سرقات الرموز ERC20 تحدث من توقيع تصيد التصديقات ، مثل إذن (توقيعات التصديق غير المتصلة بالإنترنت) ، زيادة السماح (توسيع حدود التفويض) ، و Uniswap Permit2. يظل هجمات التصيد واضحة ضعفًا كبيرًا في أمان السلسلة.

قبل بضعة أيام، واجه صديق مشكلة. قبل شهرين، في 14 يونيو، قاموا بثلاثة تحويلات من محفظتهم في كوينبيس إلى بينانس (تحويلات سلسلة Ethereum). تمت عملية التحويل الأول بنجاح، ولكن التحويلين الآخرين لم يصلوا أبدًا، ولقد مر شهرين الآن. ما الذي يمكن أن يكون قد حدث خطأ؟

فحصت سجلات المعاملات على Etherscan ووجدت فقط عملية واحدة ، بدون أي أثر للاثنين الآخرين ، كما هو موضح في الصورة أدناه.

بعد التحقق بدقة من جميع المعاملات على السلسلة من 14 يونيو، تم العثور على ثلاث محاولات للتحويل، ولكن تم وضع علامة على المحاولتين الأخيرتين كمعاملات فاشلة، كما هو موضح في الصورة أدناه.

ثم قمت بالنقر على إحدى المعاملات الفاشلة (التي يتم وضع علامة عليها باسم "Fail") لمعرفة ما الذي حدث بشكل خاطئ. وقد ذكرت رسالة الخطأ، "Error encountered during contract execution." وفقًا لوثائق Etherscan الرسمية، يجب أن لا يؤدي هذا النوع من الأخطاء إلى فقدان الأصول من المحفظة. فالرموز المميزة لا تغادر محفظة المرسل في مثل هذه الحالات، على الرغم من أن رسوم الغاز لا تزال مخصومة. ويتم توضيح ذلك في الصورة التالية.

لمعالجة هذا النوع من المشكلات، يجب تأكيد ما يلي:

-تحقق مما إذا تم نقل الأموال فعلاً أم فقدت من المحفظة في ذلك اليوم (أي إذا لم تؤدي المعاملة الفاشلة إلى عودة الأموال إلى المحفظة).

-إذا تم تأكيد أن الأصول قد تم نقلها أو فقدت، قد تحتاج إلى التواصل مع دعم العملاء للمنصة ذات الصلة. في مثل هذه الحالات، من الأفضل الاتصال بالمنصة المسؤولة عن إرسال أو بدء السحب، حيث لن تتمكن المنصة المستلمة أو العنوان من حل المشكلة.

بالنظر إلى ذلك ، فإن توصيتي المعتادة هي أنه من الجيد الاحتفاظ بسجل معاملات مفصل ، مثل استخدام Excel لتتبع معاملاتك اليومية (شراء / بيع) والتدفق النقدي (الدخل / النفقات). بهذه الطريقة ، إذا ظهرت أي مشكلات ، يمكنك مقارنة السجل بسجلات المعاملات على السلسلة للتحقق المتبادل. أنا في الواقع أحتفظ بمثل هذا السجل ، وأسجل كل معاملة بالتفصيل. أقوم أيضا بإضافة ملاحظات حول تجاربي أو أفكاري حول معاملات معينة.

في هذه النقطة، يبدو أن المشكلة مفهومة إلى حد كبير. ومع ذلك، أثناء مراجعة تاريخ المعاملات على السلسلة الرئيسية، اكتشفت مشكلة أكثر خطورة مع محفظة هذا الصديق - تم استهدافها من قبل قراصنة!

ماذا حدث؟ دعنا نلقي نظرة أقرب (كما هو موضح في الصورة أدناه):

دعونا نلقي أولا نظرة على الصندوق الأحمر في الصورة (صفقة شرعية):

قام مالك المحفظة للتو بإتمام صفقة بقيمة 10,000 دولار ونقل الUSDT إلى محفظة تبدأ بـ 0x8F وتنتهي بـ f103.

الآن، تحقق من المربع الأخضر (صفقة صيد):

في الحال بعد ذلك، قام القرصنة بإنشاء عدة معاملات مزيفة. ومن المثير للاهتمام أن عنوان محفظة القرصنة يبدأ أيضًا ب 0x8F وينتهي ب f103.

دعونا نقارن عناوين المحافظ عن كثب:

عنوان مالك المحفظة الحقيقي هو:

0x8F773C2E1bF81cbA8ee71CBb8d33249Be6e5f103

عناوين محافظ القراصنة هي:

0x8F7cCF79d497feDa14eD09F55d2c511001E5f103

0x8F776d5623F778Ea061efcA240912f9643fdf103

هل لاحظت المشكلة؟ الأربعة الأولى والأربعة الأخيرة من هذه العناوين متطابقة، مما يجعلها تبدو متشابهة تقريبًا بسرعة نظرة. إذا قمت بنسخ ولصق عنوان مباشرة من تاريخ المعاملات دون التحقق المزدوج، يمكن أن تنتهي بسهولة بإرسال الأموال مباشرة إلى القراصنة.

لذا، فمن الواضح أن هذه المحفظة قد تعرضت فعلا للاستهداف من قبل قراصنة يحاولون اصطياد الأصول. وما أكثر من ذلك، فإن صفحة تجزئة المعاملات تؤكد هذا - تم وضع علامة على فعل المعاملة كمزورة احتيالية، وهو ما لا يترك أي شك في أن هذا هو عنوان قراصنة. انظر الصورة أدناه للإشارة.

نصيحة سريعة: لماذا لا يمكنك رؤية المعاملات غير الصالحة أو التحويلات بقيمة صفر على Etherscan؟ كيف يمكنك تغيير متصفح Ethereum إلى اللغة الصينية المبسطة؟

تقوم Etherscan بإخفاء المعاملات غير الصالحة والتحويلات بقيمة صفرية بشكل افتراضي. إذا كنت ترغب في عرضها ، فما عليك سوى الانتقال إلى صفحة الإعدادات على Etherscan وتمكين الخيارات المتقدمة. بالمثل ، إذا كنت تفضل استخدام الواجهة باللغة الصينية المبسطة ، فيمكنك أيضًا ضبط ذلك في الإعدادات. انظر الصورة أدناه للإشارة. بديلًا ، يمكنك استخدام مستكشفات العملات المتعددة من الطرف الثالث مثل Oklink ، والتي تدعم أيضًا اللغة الصينية المبسطة.

أمان المحفظة شيء يتطلب بالتأكيد اهتمامًا وثيقًا، خاصة بالنسبة للمحافظ التي تحتوي على أصول كبيرة (أكثر من مليون دولار). فمن الفكرة الجيدة توزيع أموالك عبر محافظ مختلفة بناءً على أغراضها لتعزيز السلامة. إليك كيف أقوم شخصيًا بتنظيم محافظي إلى طبقات مختلفة:

المستوى 1: تم إعداد محفظة باردة على هاتف Apple، بشكل صارم للتخزين على المدى الطويل. يتم الاحتفاظ بها دون الاتصال بالإنترنت ولا يتم استخدامها أبدًا لأي معاملات أو تحويلات. أنا أعتزم الاحتفاظ بهذه الأصول لمدة لا تقل عن 10 سنوات دون لمسها. إذا كنت ترغب في استخدام محفظة باردة للمعاملات، يمكنك النظر في شراء محافظ هاردوير معروفة من خلال قنوات موثوقة (مثل Trezor، Ledger، إلخ).

الطبقة 2: محفظة ساخنة للمبالغ الأكبر. أستخدم محفظة Trust ولا أمنح أي أذونات dApp. يتم استخدام هذه المحفظة فقط للتحويل بين محافظي الخاصة والسحب أو التحويل إلى Binance.

المستوى 3: العشرات من المحافظ الصغيرة ، بعضها لأغراض الاختبار (مثل التفاعل مع مشاريع جديدة لتجربة ميزاتها أو في بعض الأحيان تعطيل الإنزال الجوي) ، بينما تم استخدام البعض الآخر لشراء العملات البديلة أو رموز meme (على الرغم من أنني فعلت أقل من هذا في السنوات الأخيرة). تحتوي كل محفظة على مبالغ صغيرة فقط ، تتراوح من بضع مئات إلى بضعة آلاف من الدولارات. أنا أكثر استرخاء بشأن التراخيص والتوقيعات مع هذه المحافظ ، وحتى إذا تم اختراق أحدها ، فهذه ليست مشكلة كبيرة. قد تبدو إدارة كل هذه المحافظ وكأنها متاعب ، لكنها تستحق ذلك لمزيد من الأمان.

في الخلاصة، لديهم الجميع تفضيلاتهم الخاصة في كيفية إدارة محافظهم، حسب حالتهم الشخصية. يفضل مستخدمو العملات الرقمية الخبراء الحفاظ على أصولهم على السلسلة، لكن بالنسبة لمعظم المستخدمين الجدد، فإن تخزين الأصول (بأقل من 100000 دولار) على المنصات الرئيسية مثل بينانس أو أوكس هو الخيار الأكثر أمانًا في الواقع.

الآن، دعونا نمر ببعض تكتيكات الاحتيال الشائعة:

1. السماح بالهجوم عبر التصيد الاحتيالي

للبدء، دعونا نشرح بعض المفاهيم الأساسية: عند نقل الرموز على إيثريوم، عادةً ما تتفاعل مع عقد الذكاء الاصطناعي للرمز باستخدام وظيفة النقل أو وظيفة النقل من. تُستخدم وظيفة النقل عندما يُذن المالك مباشرة بنقل الرموز إلى عنوان آخر، بينما تُسمح وظيفة النقل من لطرف ثالث بنقل الرموز من عنوان إلى آخر.

هكذا يعمل هجوم الصيد الاحتيالي للتصريح:

أولاً، يخدع المهاجم الضحية للنقر على رابط احتيالي أو زيارة موقع ويب مزيف، مما يدفعهم إلى توقيع معاملة المحفظة (خارج السلسلة).

ثم يستخدم المهاجم وظيفة الإذن للحصول على تفويض.

أخيرًا، يقوم المهاجم بالاتصال بوظيفة التحويل من لنقل أصول الضحية، وإتمام هجوم التصيّد الاحتيالي.

تتميز هذه الطريقة الاحتيالية بسمة مميزة: بعد أن يحصل الهاجم على إذن التوقيع الخاص بك ، يمكنه تنفيذ عمليات الإذن والتحويل. الشيء المهم الذي يجب ملاحظته هو أن الإذن لن يظهر في سجل المعاملات على السلسلة الرئيسية للضحية ، ولكنه سيكون مرئيًا في نشاط عنوان الهاجم.

عادة ما تكون هذه الأنواع من هجمات التصيد الاحتيالي المميزة أحداثا لمرة واحدة ، مما يعني أنها لا تشكل تهديدا مستمرا للتصيد الاحتيالي. بعبارات أبسط: لا يمكن لهجوم التصيد الاحتيالي المميز سرقة عبارة ذاكري محفظتك (أو المفتاح الخاص). تسمح كل محاولة تصيد احتيالي للمتسلل باستخدام التفويض مرة واحدة فقط ، وتؤثر فقط على الرمز المميز و blockchain الذي سمحت به (على سبيل المثال ، إذا سمحت ب USDT ، فيمكن للمتسلل فقط أخذ USDT الخاص بك). بمعنى آخر ، يمنح توقيع تصيد واحد المتسلل فرصة لمرة واحدة ، ما لم ترتكب خطأ التوقيع مرة أخرى في المستقبل ، مما يمنحه فرصة أخرى لاستغلال محفظتك.


(Image credit: bocaibocai@wzxznl)

2. هجوم احتيالي Uniswap Permit2

هذه الطريقة الاحتيالية مشابهة لهجوم الإذن المذكور سابقًا، حيث يتورط كل منهما في الاحتيال على التوقيع خارج السلسلة. يعد Uniswap Permit2 عقدًا ذكيًا قدمته Uniswap في عام 2022. وفقًا لـ Uniswap، إنه عقد موافقة رمز مصمم للسماح بمشاركة وإدارة أذونات الرمز عبر تطبيقات مختلفة، مما يوفر تجربة مستخدم أكثر سلاسة وكفاءة وأمانًا. فقد قامت العديد من المشاريع بدمج Permit2 الآن.

مؤخرًا، قرأت بعض المقالات بقلم bocaibocai (X@wzxznl) للغوص عميقًا في ميكانيكيات هجمات الاحتيال باستخدام إذن2. إليكم ملخص سريع:

عندما ترغب في إجراء تبديل على بورصة غير مركزية (DEX)، يتطلب العملية التقليدية منك الموافقة أولاً على DEX للوصول إلى رموزك ثم إجراء التبادل. وعادة ما يعني هذا دفع رسوم الغاز مرتين، مما قد يكون غير مريح للمستخدمين. يبسط Permit2 هذه العملية عن طريق تخطي خطوة الموافقة الإضافية، مما يقلل بشكل فعال من تكاليف التفاعل ويحسن تجربة المستخدم العامة.

بشكل أساسي ، تعمل Permit2 كوسيط بين المستخدمين وتطبيقات العقود الذكية اللامركزية. بمجرد أن يقوم المستخدمون بتفويض Permit2 ، يمكن لأي تطبيق متكامل مع Permit2 مشاركة هذا الحد المفوض. هذا لا يقلل فقط من التكاليف ويبسط العملية بالنسبة للمستخدمين ولكنه يساعد أيضًا تطبيقات العقود الذكية في جذب المزيد من المستخدمين والسيولة بسبب التجربة المحسنة.

ما بدا وكأنه وضع مربح للجانبين يمكن أن يتحول أيضا إلى سيف ذو حدين. تقليديا ، تتضمن كل من التراخيص وتحويلات الأموال إجراءات على السلسلة من قبل المستخدم. ولكن مع Permit2 ، يتم تقليل تفاعل المستخدم إلى توقيع خارج السلسلة ، بينما يتعامل الوسطاء مثل عقد Permit2 أو المشاريع المدمجة معه مع العمليات على السلسلة. يوفر هذا التحول مزايا من خلال تقليل الاحتكاك على السلسلة للمستخدمين ، ولكنه يمثل أيضا مخاطر. التوقيعات خارج السلسلة هي المكان الذي غالبا ما يخفض فيه المستخدمون دفاعاتهم. على سبيل المثال ، عند توصيل محفظة بتطبيقات dApps معينة ، يطلب من المستخدمين التوقيع على شيء ما ، لكن معظمهم لا يفحصون أو يفهمون بعناية محتوى التوقيع (والذي غالبا ما يبدو وكأنه خليط من التعليمات البرمجية). هذا النقص في التدقيق يمكن أن يكون خطيرا.

مصدر قلق رئيسي آخر هو أن Permit2 بشكل افتراضي يسمح بالوصول إلى رصيد الرمز المميز بالكامل ، بغض النظر عن المبلغ الذي تخطط لمبادلته. بينما تسمح لك محافظ مثل MetaMask بتعيين حد مخصص ، فمن المحتمل أن ينقر معظم المستخدمين على "max" أو يستخدمون الإعداد الافتراضي. الإعداد الافتراضي ل Permit2 هو تفويض غير محدود ، وهو أمر محفوف بالمخاطر بشكل خاص. انظر الصورة أدناه كمرجع.

هذا يعني بشكل أساسي أنه إذا تفاعلت مع Uniswap ومنحت سماحية لعقد Permit2، فأنت معرض لهذا الاحتيال بصيد الأسماك.

على سبيل المثال، دعونا نقول أن شياو لي استخدمت Uniswap وأذنت بمبلغ غير محدود من USDT إلى عقد Permit2. في وقت لاحق، أثناء إجراء معاملات المحفظة الروتينية، سقطت شياو لي دون علم في فخ احتيالي يتعلق بـ Permit2. بمجرد أن حصل القراصنة على توقيع شياو لي، يمكنهم استخدامه لأداء عمليتين رئيسيتين على عقد Permit2 - إذن ونقل من - لسرقة أصول شياو لي.

إليك كيف يعمل هجوم الصيد الاحتيالي هذا:

قبل محاولة الصيد الاحتيالي ، كان المستخدم قد استخدم بالفعل Uniswap ومنح أذونات الرمز لعقد Uniswap Permit2 (بإذن غير محدود بشكل افتراضي).

ثم ينشئ المهاجم رابط أو موقع ويب تصيدية مزيفًا، يخدع من خلاله المستخدم لتوقيع عملية تحويل. وبمجرد التقاط التوقيع، يحصل القراصنة على كل المعلومات التي يحتاجونها (هذه الخطوة مشابهة للتصيد المسموح به).

باستخدام هذا، يقوم المهاجم بالاتصال بوظيفة السماح في عقد السماح2، مكتملة الترخيص.

أخيرًا، يقوم المهاجم بالاتصال بوظيفة Transfer From داخل عقد Permit2 لنقل أصول الضحية، مكتملًا بذلك هجوم الاحتيال.

عادة ما تتضمن هذه الهجمات عناوين استلام متعددة. يتم استخدام بعضها فقط لعمليات التصيد الاحتيالي (وقد يتم تصميمها لتبدو مثل عنوان الضحية بأحرف متشابهة في البداية والنهاية) ، بينما ينتمي البعض الآخر إلى حلقات التصيد الاحتيالي المنظمة (على سبيل المثال ، موفرو DaaS). يبدو أن صناعة التصيد الاحتيالي التي تستهدف محافظ العملات المشفرة قد تطورت إلى سوق سرية واسعة النطاق. انظر الصورة أدناه.

كيف يمكنك حماية نفسك من هجمات التصيد الاحتيالي Permit and Permit2؟

خيار واحد هو استخدام مكونات إضافية لأمان المتصفح مثل Scamsniffer (لقد كنت أستخدم هذا على Google Chrome الخاص بي) لحظر روابط الاحتيال. بالإضافة إلى ذلك، يمكنك التحقق بانتظام وإلغاء أي إذن أو توقيع مشبوه غير ضروري باستخدام أدوات مثل Revoke Cash. انظر الصورة أدناه لمثال.

يمكنك أيضا استخدام أداة متخصصة لإدارة التفويض من Scamsniffer، مصممة خصيصا ل Uniswap Permit2، لمراجعة تفويضاتك بانتظام. إذا كان أي شيء يبدو غير عادي ، فمن المهم إلغاء الأذونات على الفور. انظر الصورة أدناه.

ومع ذلك ، فإن أهم جانب هو الحفاظ على وعي قوي بالأمان. تجنب زيارة مواقع أو روابط غير معروفة ، وعند التفاعل مع تطبيقات الويب المشفرة ، تحقق دائمًا مما تقوم بتفويضه.

(Image credit: bocaibocai@wzxznl)

نصيحة سريعة: كيف يمكنك معرفة ما إذا كان توقيع المحفظة لـ Permit أو Permit2؟

عند التوقيع ، سترى بعض التفاصيل في نافذة تأكيد التفويض. يمكنك التعرف على نوع التوقيع من خلال النظر إلى حقول المفتاح مثل تلك الموضحة في الصورة أدناه:

المالك (العنوان الذي يعطي التفويض)؛ المنفق (العنوان الذي يتلقى التفويض)؛ القيمة (المبلغ المصرح به)؛ عدد عشوائي فريد (Nonce)؛ الموعد النهائي (تاريخ انتهاء الصلاحية).

3. هجوم الصيد الاحتيالي على المطالبة

هذا النوع من الاحتيال شائع جدًا. على سبيل المثال، إذا كنت تتصفح X (السابقاً تويتر) بانتظام، فمن المحتمل أن تصادف رسائل تقدم "هبات جوائز مجانية." في بعض الأحيان، قد تجد حتى NFTs عشوائية تسقط بشكل غامض في محفظتك (والتي قد تتضمن رابط موقع ويب).

إذا قمت بالنقر على موقع احتيالي وتابعت مع مطالبةفي حالة العملية، يمكن أن تسرق الأصول في محفظتك على الفور من قبل القراصنة.

كيف يمكنك حماية نفسك؟

أولاً، لا تقع في فخ العروض "جيدة للغاية لتكون حقيقية" (تجنب النقر على الروابط المشبوهة أو قبول الNFT المجانية غير المعروفة والهبات الجوية). ثانياً، تحقق دائماً مرتين من الموقع الذي تستخدمه للتأكد من أنه الموقع الرسمي الشرعي قبل القيام بأي عمليات مطالبة.

4. احتيال نقل العنوان المماثل

في 3 مايو من هذا العام، تعرضت سمكة الكريبتو لهجوم تصيد باستخدام عنوان مشابه، حيث فقدت 1,155 WBTC (بقيمة تقدر بحوالي 70 مليون دولار في ذلك الوقت).

سبق لـ SlowMist تحليل هذا الحدث بالتفصيل ، لذلك لن أكرر التفاصيل هنا. إذا كنت مهتمًا ، يمكنك إعادة زيارة القضية هنا:

https://mp.weixin.qq.com/s/mQch5pEg1fmJsMbiOClwOg

هذا النوع من الصيد الاحتيالي نسبياً بسيط:

أولاً، يقوم القراصنة بإنشاء عدد كبير من عناوين الصيد الخادعة التي تشبه بشكل كبير عنوان الضحية المقصود، وغالبًا ما تتطابق أول 4 أحرف وآخر 6 أحرف.

بعد ذلك ، ينفذون برنامج دفعة لمراقبة أنشطة الضحية في السلسلة الرئيسية ثم يشنون هجوم احتيال عن طريق إرسال عنوان مماثل قبل الصفقة المقصودة.

أخيرًا، عندما يقوم الضحية بعملية التحويل، يستخدم القراصنة عنوانًا يشبهه لإرسال عملية تحويل فورًا. بهذه الطريقة، يظهر عنوان الصيد الاحتيالي في سجل المعاملات للمستخدم. انظر الصورة أدناه.

نظرًا لأن العديد من المستخدمين لديهم عادة نسخ تفاصيل المعاملات من تاريخ محفظتهم ، فقد يرون معاملة احتيالية تتبع عن قرب معاملتهم الخاصة ولا يدركون أنهم قاموا بنسخ العنوان الخاطئ. دون التحقق بعناية ، يمكن أن ينتهي بهم الأمر إلى إرسال 1،155 WBTC إلى العنوان الاحتيالي عن طريق الخطأ.

كيف يمكنك منع ذلك؟

أولا ، احفظ العناوين شائعة الاستخدام في دفتر عناوين محفظتك (أو قم بإدراجها في القائمة البيضاء) ، لذلك في المرة القادمة ، يمكنك تحديد العنوان الصحيح من القائمة. ثانيا ، تحقق دائما من العنوان الكامل قبل تحويل الأموال - لا تعتمد على الأحرف القليلة الأولى أو الأخيرة فقط. عند إجراء تحويل كبير ، من الجيد إرسال معاملة اختبار صغيرة أولا للتأكد من صحة كل شيء.

5. صيد البريد الالكتروني الخاص بالتوقيع المصرح به

السماح وتصريح يوني سواب 2 وطرق المطالبة المذكورة سابقا تندرج جميعها تحت مظلة صيد الصلاحيات. في الواقع، هناك العديد من الطرق التي يمكن للقراصنة استغلال تصاريح المحفظة، مثل الموافقة (منح الإذن للسماح لمنصة مثل يوني سواب باستخدام USDT الخاص بك) وزيادة السماح (رفع الحد الأقصى للإنفاق).

عادة ما تتضمن عملية التصيد الاحتيالي قيام المهاجم بإعداد رابط أو موقع ويب مزيف أو حتى اختراق موقع مشروع رسمي وتضمين برامج ضارة ، مما يخدع المستخدمين للنقر ومنح إذن المحفظة دون علمهم.

تم مناقشة خمسة أساليب احتيالية فقط من بجملة الأساليب الأكثر شيوعا. يقوم المخترقون باستمرار بابتكار طرق هجوم جديدة ومبتكرة. كما يقول المثل "سيظل المخترقون دائمًا خطوة واحدة أمام." وهذا يعني أن أمان المحفظة تحدي مستمر، ويجب على المستخدمين أن يظلوا يقظين في جميع الأوقات.

إخلاء المسؤولية:

  1. تم نشر هذه المقالة من [Gate]话李话外]مع العنوان 'هل محفظتك آمنة؟ كيف يستغل القراصنة تصريحات Permit وUniswap Permit2 والتوقيعات للصيد الاحتيالي.'، جميع حقوق النسخ تنتمي إلى الكاتب الأصلي [话李话外]. إذا كانت هناك اعتراضات على هذا النشر، يرجى الاتصال بالبوابة التعلمالفريق، وسيتعاملون معه بسرعة.

  2. إخلاء المسؤولية عن الضرر: الآراء والآراء المعبر عنها في هذه المقالة هي فقط تلك التي تعود إلى الكاتب ولا تشكل أي نصيحة استثمارية.

  3. تتم ترجمة المقالة إلى لغات أخرى من قبل فريق Gate Learn. ما لم يتم ذكرهGate.io، منع نسخ أو توزيع أو ارتكاب التزوير في المقالات المترجمة.

Şimdi Başlayın
Kaydolun ve
100 USD
değerinde Kupon kazanın!