التهديدات الخفية في عالم البلوكتشين: تحليل ووقاية من احتيال العقود الذكية
تقوم العملات المشفرة وتكنولوجيا البلوكتشين بإعادة تشكيل القطاع المالي، لكن يترافق مع ذلك تهديد جديد. لم يعد المحتالون محصورين في استغلال ثغرات تقنية، بل يقومون بتحويل بروتوكولات العقود الذكية في البلوكتشين نفسها إلى أدوات هجومية. من خلال فخاخ الهندسة الاجتماعية المصممة بعناية، يستغلون شفافية البلوكتشين وعدم قابليته للتغيير، لتحويل ثقة المستخدمين إلى وسيلة لسرقة الأصول. من العقود الذكية المزيفة إلى التلاعب بالمعاملات عبر السلاسل، هذه الهجمات ليست فقط خفية وصعبة الاكتشاف، بل تتمتع أيضًا بخداع أكبر بسبب مظهرها "المشروع". ستقوم هذه المقالة من خلال تحليل الأمثلة، بكشف كيفية تحويل المحتالين البروتوكولات إلى وسائل هجوم، وتقديم حلول شاملة من الحماية التقنية إلى الوقاية السلوكية، لمساعدة المستخدمين على السير بأمان في عالم لامركزي.
١. كيف تطورت الاتفاقيات القانونية إلى أدوات احتيال؟
تم تصميم بروتوكولات البلوكتشين في الأصل لضمان الأمان والثقة، لكن المحتالين استغلوا خصائصها، مع دمج إهمال المستخدمين، لإنشاء طرق هجوم خفية متعددة. فيما يلي بعض الأساليب الشائعة وتفاصيلها التقنية:
(1) تفويض العقود الذكية الخبيثة
المبدأ الفني:
في بلوكتشين مثل الإيثيريوم، يسمح معيار رموز ERC-20 للمستخدمين بتفويض طرف ثالث (عادةً ما يكون عقدًا ذكيًا) لسحب كمية محددة من الرموز من محفظتهم من خلال دالة "Approve". تُستخدم هذه الوظيفة على نطاق واسع في بروتوكولات DeFi، حيث يحتاج المستخدمون إلى تفويض العقود الذكية لإتمام المعاملات أو الرهن أو تعدين السيولة. ومع ذلك، يستغل المحتالون هذه الآلية لتصميم عقود خبيثة.
طريقة التشغيل:
يخلق المحتالون DApp يتظاهر بأنه مشروع قانوني، وعادة ما يروّج له عبر مواقع التصيد أو وسائل التواصل الاجتماعي. يقوم المستخدمون بربط محافظهم ويتم إغواؤهم بالنقر على "Approve"، على أنه تصريح لعدد قليل من الرموز، بينما في الواقع قد يكون بحدود غير محدودة (قيمة uint256.max). بمجرد انتهاء التفويض، يحصل عنوان عقد المحتالين على إذن، ويمكنه استدعاء وظيفة "TransferFrom" في أي وقت لسحب جميع الرموز المقابلة من محفظة المستخدم.
حالات حقيقية:
في أوائل عام 2023، أدى موقع مزيف يتنكر ك"ترقية某DEX" إلى خسارة مئات المستخدمين لملايين الدولارات من USDT وETH. تظهر البيانات على البلوكتشين أن هذه المعاملات تتوافق تمامًا مع معيار ERC-20، ولا يمكن للضحايا حتى استرداد أموالهم من خلال الوسائل القانونية، لأن التفويض تم توقيعه طواعية.
(2) توقيع التصيد
المبادئ التقنية:
تتطلب معاملات البلوكتشين من المستخدمين إنشاء توقيع باستخدام المفتاح الخاص لإثبات شرعية المعاملة. عادةً ما تظهر المحفظة طلب توقيع، وبعد تأكيد المستخدم، تُبث المعاملة إلى الشبكة. يستغل المحتالون هذه العملية لتزوير طلبات التوقيع وسرقة الأصول.
طريقة التشغيل:
يتلقى المستخدم رسالة بريد إلكتروني أو رسالة اجتماعية تتظاهر بأنها إشعار رسمي، مثل "انتظر استلام NFT الخاص بك، يرجى التحقق من المحفظة". بعد النقر على الرابط، يتم توجيه المستخدم إلى موقع ضار يطلب منه توصيل محفظته وتوقيع "معاملة التحقق". قد تكون هذه المعاملة في الواقع استدعاء لدالة "Transfer"، تنقل مباشرة ETH أو الرموز من المحفظة إلى عنوان المحتال؛ أو عملية "SetApprovalForAll"، التي تخول المحتال السيطرة على مجموعة NFT الخاصة بالمستخدم.
حالات حقيقية:
تعرض مجتمع مشروع NFT معروف لهجوم تصيد عبر التوقيع، حيث فقد العديد من المستخدمين NFTs تقدر قيمتها بملايين الدولارات بسبب توقيعهم على معاملات "استلام إيردروب" مزورة. استخدم المهاجمون معيار توقيع EIP-712 لتزوير طلبات تبدو آمنة.
(3) العملات الوهمية و"هجوم الغبار"
المبادئ التقنية:
تسمح علنية البلوكتشين لأي شخص بإرسال الرموز إلى أي عنوان، حتى لو لم يطلب المستلم ذلك بشكل نشط. يستغل المحتالون هذه النقطة عن طريق إرسال كميات صغيرة من العملات المشفرة إلى عدة عناوين محفظة، لتتبع أنشطة المحفظة وربطها بالأفراد أو الشركات المالكة للمحفظة.
طريقة العمل:
في معظم الحالات، يتم توزيع "الغبار" المستخدم في هجمات الغبار على شكل إيردروب إلى محفظة المستخدمين، وقد تحمل هذه الرموز أسماء أو بيانات وصفية (مثل "FREE_AIRDROP")، مما يحفز المستخدمين على زيارة موقع ويب للاستعلام عن التفاصيل. عادة ما يرغب المستخدمون في تحويل هذه الرموز إلى نقد، ثم يمكن للمهاجمين الوصول إلى محفظة المستخدم من خلال عنوان العقد المرفق بالرموز. والخفي هو أن هجمات الغبار تستخدم الهندسة الاجتماعية، وتحلل المعاملات اللاحقة للمستخدم، لتحديد عنوان المحفظة النشطة للمستخدم، مما يسمح بتنفيذ عمليات احتيال أكثر دقة.
حالات حقيقية:
أثرت هجمات "غبار رموز GAS" التي ظهرت على شبكة الإيثيريوم على آلاف المحافظ. فقد بعض المستخدمين ETH ورموز ERC-20 بسبب فضولهم في التفاعل.
٢. لماذا من الصعب اكتشاف هذه الاحتيالات؟
هذه الاحتيالات نجحت إلى حد كبير لأنها تختبئ في آليات البلوكتشين الشرعية، مما يجعل من الصعب على المستخدمين العاديين التمييز بين طبيعتها الخبيثة. فيما يلي بعض الأسباب الرئيسية:
تعقيد التكنولوجيا: يعتبر كود العقود الذكية وطلبات التوقيع غامضًا وصعب الفهم بالنسبة للمستخدمين غير التقنيين. على سبيل المثال، قد تظهر طلبات "الموافقة" كبيانات سداسية مثل "0x095ea7b3..."، مما يجعل من الصعب على المستخدمين فهم معناها بشكل مباشر.
الشرعية على البلوكتشين: يتم تسجيل جميع المعاملات على البلوكتشين، تبدو شفافة، لكن الضحايا غالبًا ما يدركون عواقب التفويض أو التوقيع بعد حدوث ذلك، وفي هذه الحالة تكون الأصول قد فقدت.
الهندسة الاجتماعية: يستغل المحتالون نقاط الضعف البشرية مثل الجشع ("احصل على 1000 دولار من الرموز مجانًا")، والخوف ("حسابك غير طبيعي ويحتاج إلى التحقق")، أو الثقة (التظاهر بأنهم خدمة العملاء).
التمويه المتقن: قد تستخدم مواقع التصيد URLs مشابهة للاسم الرسمي للنطاق، وحتى تعزز مصداقيتها من خلال شهادات HTTPS.
٣. كيف تحمي محفظة العملات المشفرة الخاصة بك؟
في مواجهة هذه الحيل التي تجمع بين الحرب النفسية والتقنية، يتطلب حماية الأصول استراتيجيات متعددة المستويات. فيما يلي تدابير الوقاية التفصيلية:
تحقق وإدارة أذونات التفويض
الأدوات: استخدم فاحص التفويض لمتصفح البلوكتشين أو أدوات الإلغاء المتخصصة لفحص سجلات التفويض للمحفظة.
العملية: قم بإلغاء التفويضات غير الضرورية بشكل دوري، خاصةً التفويضات غير المحدودة لعناوين غير معروفة. تأكد من أن DApp تأتي من مصدر موثوق قبل كل تفويض.
التفاصيل التقنية: تحقق من قيمة "Allowance"، وإذا كانت "غير محدودة" (مثل 2^256-1)، يجب إلغاؤها على الفور.
تحقق من الرابط والمصدر
الطريقة: أدخل عنوان URL الرسمي يدويًا، وتجنب النقر على الروابط في وسائل التواصل الاجتماعي أو البريد الإلكتروني.
التحقق: تأكد من أن الموقع يستخدم اسم النطاق وشهادة SSL الصحيحة (رمز القفل الأخضر). احذر من الأخطاء الإملائية أو الأحرف الزائدة.
مثال: إذا استلمت نسخة معدلة من موقع رسمي (مثل إضافة أحرف إضافية)، اشكك على الفور في صحتها.
استخدام المحفظة الباردة والتوقيع المتعدد
المحفظة الباردة: تخزين معظم الأصول في محفظة الأجهزة، والاتصال بالشبكة فقط عند الحاجة.
التوقيع المتعدد: بالنسبة للأصول ذات القيمة الكبيرة، استخدم أداة التوقيع المتعدد، والتي تتطلب تأكيد المعاملات من قبل مفاتيح متعددة، مما يقلل من مخاطر الأخطاء الفردية.
الفوائد: حتى إذا تم اختراق المحفظة الساخنة، تظل أصول التخزين البارد آمنة.
تعامل بحذر مع طلبات التوقيع
الخطوات: في كل مرة تقوم فيها بالتوقيع، اقرأ بعناية تفاصيل المعاملة في نافذة المحفظة. بعض المحافظ ستظهر حقل "البيانات"، إذا كان يحتوي على دالة غير معروفة (مثل "TransferFrom")، فقم برفض التوقيع.
الأدوات: استخدم وظيفة "فك تشفير بيانات الإدخال" لمتصفح البلوكتشين لتحليل محتوى التوقيع، أو استشر خبراء التقنية.
الاقتراح: إنشاء محفظة مستقلة للعمليات عالية المخاطر، وتخزين كمية قليلة من الأصول.
مواجهة هجمات الغبار
الاستراتيجية: عند استلام رموز غير معروفة، لا تتفاعل معها. قم بتمييزها ك"قمامة" أو إخفائها.
تحقق: من خلال مستعرض البلوكتشين، تأكد من مصدر الرمز، إذا كان إرسالاً جماعياً، كن حذراً جداً.
الوقاية: تجنب الكشف عن عنوان المحفظة، أو استخدم عنوانًا جديدًا لإجراء عمليات حساسة.
الخاتمة
من خلال تنفيذ التدابير الأمنية المذكورة أعلاه، يمكن للمستخدمين العاديين تقليل خطر أن يصبحوا ضحايا لبرامج الاحتيال المتقدمة بشكل كبير، لكن الأمان الحقيقي ليس مجرد انتصار تقني من جانب واحد. عندما تشكل محافظ الأجهزة خط دفاع مادي، وتوزع التوقيعات المتعددة مخاطر التعرض، فإن فهم المستخدمين لآلية التفويض، وحرصهم على سلوكهم على السلسلة، هو آخر حصن ضد الهجمات. كل تحليل للبيانات قبل التوقيع، وكل مراجعة للصلاحيات بعد التفويض، هي قسم على السيادة الرقمية الخاصة بهم.
في المستقبل، بغض النظر عن كيفية تكرار التكنولوجيا، فإن الخط الدفاعي الأكثر جوهرية يكمن دائماً في: ترسيخ الوعي بالأمان كذاكرة عضلية، وإقامة توازن أبدي بين الثقة والتحقق. بعد كل شيء، في عالم البلوكتشين حيث القانون هو الكود، يتم تسجيل كل نقرة، وكل معاملة بشكل دائم في عالم السلسلة، ولا يمكن تغييرها.
شاهد النسخة الأصلية
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تحليل احتيال العقود الذكية: التهديدات الخفية لأمن البلوكتشين واستراتيجيات الوقاية
التهديدات الخفية في عالم البلوكتشين: تحليل ووقاية من احتيال العقود الذكية
تقوم العملات المشفرة وتكنولوجيا البلوكتشين بإعادة تشكيل القطاع المالي، لكن يترافق مع ذلك تهديد جديد. لم يعد المحتالون محصورين في استغلال ثغرات تقنية، بل يقومون بتحويل بروتوكولات العقود الذكية في البلوكتشين نفسها إلى أدوات هجومية. من خلال فخاخ الهندسة الاجتماعية المصممة بعناية، يستغلون شفافية البلوكتشين وعدم قابليته للتغيير، لتحويل ثقة المستخدمين إلى وسيلة لسرقة الأصول. من العقود الذكية المزيفة إلى التلاعب بالمعاملات عبر السلاسل، هذه الهجمات ليست فقط خفية وصعبة الاكتشاف، بل تتمتع أيضًا بخداع أكبر بسبب مظهرها "المشروع". ستقوم هذه المقالة من خلال تحليل الأمثلة، بكشف كيفية تحويل المحتالين البروتوكولات إلى وسائل هجوم، وتقديم حلول شاملة من الحماية التقنية إلى الوقاية السلوكية، لمساعدة المستخدمين على السير بأمان في عالم لامركزي.
١. كيف تطورت الاتفاقيات القانونية إلى أدوات احتيال؟
تم تصميم بروتوكولات البلوكتشين في الأصل لضمان الأمان والثقة، لكن المحتالين استغلوا خصائصها، مع دمج إهمال المستخدمين، لإنشاء طرق هجوم خفية متعددة. فيما يلي بعض الأساليب الشائعة وتفاصيلها التقنية:
(1) تفويض العقود الذكية الخبيثة
المبدأ الفني: في بلوكتشين مثل الإيثيريوم، يسمح معيار رموز ERC-20 للمستخدمين بتفويض طرف ثالث (عادةً ما يكون عقدًا ذكيًا) لسحب كمية محددة من الرموز من محفظتهم من خلال دالة "Approve". تُستخدم هذه الوظيفة على نطاق واسع في بروتوكولات DeFi، حيث يحتاج المستخدمون إلى تفويض العقود الذكية لإتمام المعاملات أو الرهن أو تعدين السيولة. ومع ذلك، يستغل المحتالون هذه الآلية لتصميم عقود خبيثة.
طريقة التشغيل: يخلق المحتالون DApp يتظاهر بأنه مشروع قانوني، وعادة ما يروّج له عبر مواقع التصيد أو وسائل التواصل الاجتماعي. يقوم المستخدمون بربط محافظهم ويتم إغواؤهم بالنقر على "Approve"، على أنه تصريح لعدد قليل من الرموز، بينما في الواقع قد يكون بحدود غير محدودة (قيمة uint256.max). بمجرد انتهاء التفويض، يحصل عنوان عقد المحتالين على إذن، ويمكنه استدعاء وظيفة "TransferFrom" في أي وقت لسحب جميع الرموز المقابلة من محفظة المستخدم.
حالات حقيقية: في أوائل عام 2023، أدى موقع مزيف يتنكر ك"ترقية某DEX" إلى خسارة مئات المستخدمين لملايين الدولارات من USDT وETH. تظهر البيانات على البلوكتشين أن هذه المعاملات تتوافق تمامًا مع معيار ERC-20، ولا يمكن للضحايا حتى استرداد أموالهم من خلال الوسائل القانونية، لأن التفويض تم توقيعه طواعية.
(2) توقيع التصيد
المبادئ التقنية: تتطلب معاملات البلوكتشين من المستخدمين إنشاء توقيع باستخدام المفتاح الخاص لإثبات شرعية المعاملة. عادةً ما تظهر المحفظة طلب توقيع، وبعد تأكيد المستخدم، تُبث المعاملة إلى الشبكة. يستغل المحتالون هذه العملية لتزوير طلبات التوقيع وسرقة الأصول.
طريقة التشغيل: يتلقى المستخدم رسالة بريد إلكتروني أو رسالة اجتماعية تتظاهر بأنها إشعار رسمي، مثل "انتظر استلام NFT الخاص بك، يرجى التحقق من المحفظة". بعد النقر على الرابط، يتم توجيه المستخدم إلى موقع ضار يطلب منه توصيل محفظته وتوقيع "معاملة التحقق". قد تكون هذه المعاملة في الواقع استدعاء لدالة "Transfer"، تنقل مباشرة ETH أو الرموز من المحفظة إلى عنوان المحتال؛ أو عملية "SetApprovalForAll"، التي تخول المحتال السيطرة على مجموعة NFT الخاصة بالمستخدم.
حالات حقيقية: تعرض مجتمع مشروع NFT معروف لهجوم تصيد عبر التوقيع، حيث فقد العديد من المستخدمين NFTs تقدر قيمتها بملايين الدولارات بسبب توقيعهم على معاملات "استلام إيردروب" مزورة. استخدم المهاجمون معيار توقيع EIP-712 لتزوير طلبات تبدو آمنة.
(3) العملات الوهمية و"هجوم الغبار"
المبادئ التقنية: تسمح علنية البلوكتشين لأي شخص بإرسال الرموز إلى أي عنوان، حتى لو لم يطلب المستلم ذلك بشكل نشط. يستغل المحتالون هذه النقطة عن طريق إرسال كميات صغيرة من العملات المشفرة إلى عدة عناوين محفظة، لتتبع أنشطة المحفظة وربطها بالأفراد أو الشركات المالكة للمحفظة.
طريقة العمل: في معظم الحالات، يتم توزيع "الغبار" المستخدم في هجمات الغبار على شكل إيردروب إلى محفظة المستخدمين، وقد تحمل هذه الرموز أسماء أو بيانات وصفية (مثل "FREE_AIRDROP")، مما يحفز المستخدمين على زيارة موقع ويب للاستعلام عن التفاصيل. عادة ما يرغب المستخدمون في تحويل هذه الرموز إلى نقد، ثم يمكن للمهاجمين الوصول إلى محفظة المستخدم من خلال عنوان العقد المرفق بالرموز. والخفي هو أن هجمات الغبار تستخدم الهندسة الاجتماعية، وتحلل المعاملات اللاحقة للمستخدم، لتحديد عنوان المحفظة النشطة للمستخدم، مما يسمح بتنفيذ عمليات احتيال أكثر دقة.
حالات حقيقية: أثرت هجمات "غبار رموز GAS" التي ظهرت على شبكة الإيثيريوم على آلاف المحافظ. فقد بعض المستخدمين ETH ورموز ERC-20 بسبب فضولهم في التفاعل.
٢. لماذا من الصعب اكتشاف هذه الاحتيالات؟
هذه الاحتيالات نجحت إلى حد كبير لأنها تختبئ في آليات البلوكتشين الشرعية، مما يجعل من الصعب على المستخدمين العاديين التمييز بين طبيعتها الخبيثة. فيما يلي بعض الأسباب الرئيسية:
تعقيد التكنولوجيا: يعتبر كود العقود الذكية وطلبات التوقيع غامضًا وصعب الفهم بالنسبة للمستخدمين غير التقنيين. على سبيل المثال، قد تظهر طلبات "الموافقة" كبيانات سداسية مثل "0x095ea7b3..."، مما يجعل من الصعب على المستخدمين فهم معناها بشكل مباشر.
الشرعية على البلوكتشين: يتم تسجيل جميع المعاملات على البلوكتشين، تبدو شفافة، لكن الضحايا غالبًا ما يدركون عواقب التفويض أو التوقيع بعد حدوث ذلك، وفي هذه الحالة تكون الأصول قد فقدت.
الهندسة الاجتماعية: يستغل المحتالون نقاط الضعف البشرية مثل الجشع ("احصل على 1000 دولار من الرموز مجانًا")، والخوف ("حسابك غير طبيعي ويحتاج إلى التحقق")، أو الثقة (التظاهر بأنهم خدمة العملاء).
التمويه المتقن: قد تستخدم مواقع التصيد URLs مشابهة للاسم الرسمي للنطاق، وحتى تعزز مصداقيتها من خلال شهادات HTTPS.
٣. كيف تحمي محفظة العملات المشفرة الخاصة بك؟
في مواجهة هذه الحيل التي تجمع بين الحرب النفسية والتقنية، يتطلب حماية الأصول استراتيجيات متعددة المستويات. فيما يلي تدابير الوقاية التفصيلية:
تحقق وإدارة أذونات التفويض
تحقق من الرابط والمصدر
استخدام المحفظة الباردة والتوقيع المتعدد
تعامل بحذر مع طلبات التوقيع
مواجهة هجمات الغبار
الخاتمة
من خلال تنفيذ التدابير الأمنية المذكورة أعلاه، يمكن للمستخدمين العاديين تقليل خطر أن يصبحوا ضحايا لبرامج الاحتيال المتقدمة بشكل كبير، لكن الأمان الحقيقي ليس مجرد انتصار تقني من جانب واحد. عندما تشكل محافظ الأجهزة خط دفاع مادي، وتوزع التوقيعات المتعددة مخاطر التعرض، فإن فهم المستخدمين لآلية التفويض، وحرصهم على سلوكهم على السلسلة، هو آخر حصن ضد الهجمات. كل تحليل للبيانات قبل التوقيع، وكل مراجعة للصلاحيات بعد التفويض، هي قسم على السيادة الرقمية الخاصة بهم.
في المستقبل، بغض النظر عن كيفية تكرار التكنولوجيا، فإن الخط الدفاعي الأكثر جوهرية يكمن دائماً في: ترسيخ الوعي بالأمان كذاكرة عضلية، وإقامة توازن أبدي بين الثقة والتحقق. بعد كل شيء، في عالم البلوكتشين حيث القانون هو الكود، يتم تسجيل كل نقرة، وكل معاملة بشكل دائم في عالم السلسلة، ولا يمكن تغييرها.