المنطق الأساسي لعملية التصيد في Web3: التعرف على تصيد التفويض، التصريح وPermit2
في مجال Web3، أصبحت "صيد التوقيع" واحدة من أكثر أساليب الاحتيال استخدامًا من قبل القراصنة. على الرغم من أن خبراء الأمان وشركات المحافظ يواصلون الترويج للمعرفة ذات الصلة، لا يزال هناك العديد من المستخدمين الذين ينخدعون كل يوم. أحد الأسباب الرئيسية وراء ذلك هو أن معظم الناس يفتقرون إلى الفهم الأساسي لمبادئ التفاعل مع المحافظ، وأن مستوى صعوبة تعلم المعرفة ذات الصلة مرتفع بالنسبة لغير المتخصصين.
لمساعدة المزيد من الناس على فهم هذه المشكلة، ستسعى هذه المقالة إلى شرح منطق الصيد بالتوقيع بطريقة سهلة الفهم.
أولاً، نحتاج إلى فهم أن هناك نوعين رئيسيين من العمليات عند استخدام المحفظة: "التوقيع" و"التفاعل". بعبارة بسيطة، يحدث التوقيع خارج سلسلة الكتل (خارج السلسلة)، ولا يتطلب دفع رسوم غاز؛ بينما يحدث التفاعل على سلسلة الكتل (داخل السلسلة)، ويتطلب دفع رسوم غاز.
تتمثل السيناريوهات النموذجية للتوقيع في التحقق من الهوية، مثل تسجيل الدخول إلى المحفظة أو الاتصال بـ DApp. على سبيل المثال، عندما ترغب في تبادل الرموز في DEX معين، تحتاج أولاً إلى الاتصال بالمحفظة، وفي هذه الحالة تحتاج إلى توقيع لإثبات أنك مالك هذه المحفظة. لن يؤثر هذه العملية على blockchain، لذا لا حاجة لدفع الرسوم.
بالمقارنة، تتضمن التفاعلات عمليات فعلية على السلسلة. على سبيل المثال، لتبادل الرموز على DEX، تحتاج أولاً إلى دفع رسوم، وتفويض عقد الذكي لـ DEX لتحريك رموزك (يُسمى "تفويض"). بعد ذلك، تحتاج أيضًا إلى دفع رسوم أخرى لتنفيذ عملية التبادل الفعلية.
بعد فهم الفرق بين التوقيع والتفاعل، دعونا نلقي نظرة على بعض طرق الصيد الشائعة: صيد التفويض، صيد توقيع التصريح، وصيد توقيع التصريح 2.
التصريح بالاحتيال هو أسلوب احتيالي كلاسيكي يستغل آلية التصريح (approve). قد يقوم القراصنة بإنشاء موقع مزيف يتنكر كمشروع NFT أو نشاط توزيع رموز. عندما ينقر المستخدم على زر "استلام التوزيع"، فإنه في الواقع يقوم بتفويض عنوان القراصنة للتصرف في رموزه الخاصة. على الرغم من أن هذه الطريقة تتطلب دفع رسوم الغاز، إلا أن هناك عددًا غير قليل من المستخدمين قد يقع في الفخ عن غير قصد.
تعتبر عمليات الاحتيال بتوقيع Permit وPermit2 أكثر خفاءً، وأصعب في الحماية. لأن المستخدمين اعتادوا على تسجيل الدخول إلى المحفظة بتوقيع قبل استخدام DApp، فمن السهل أن يتشكل لديهم تفكير تلقائي "أن هذه العملية آمنة". بالإضافة إلى أن التوقيع لا يتطلب دفع رسوم، فإن الكثير من الناس لا يفهمون معنى كل توقيع وراءه، مما يخلق فرصة للمخترقين.
Permit هو ميزة موسعة لمعيار ERC-20، تسمح للمستخدمين بالموافقة على تحريك رموزهم من قبل الآخرين من خلال التوقيع. ببساطة، يشبه الأمر التوقيع على "إذن"، مما يسمح لشخص ما بتحريك رموزك. يمكن للشخص الذي يحمل هذا "الإذن" إثبات أنه لديه الإذن لتحريك رموزك إلى العقد الذكي. يمكن للقراصنة استغلال هذه الآلية، وإغراء المستخدمين بالتوقيع على Permit، وبالتالي الحصول على إذن نقل الرموز.
تُعتبر Permit2 ميزة أطلقتها بعض منصات التداول اللامركزية (DEX) لتحسين تجربة المستخدم. حيث تسمح للمستخدمين بإعطاء تفويض لمبلغ كبير مرة واحدة لعقد Permit2 الذكي، وبعد ذلك يحتاج المستخدم فقط للتوقيع في كل صفقة دون الحاجة لإعادة التفويض. على الرغم من أن ذلك يُبسط عملية التشغيل، إلا أنه يخلق أيضًا ظروفًا للاحتيال. إذا كان المستخدم قد استخدم هذه المنصة من قبل ووافق على تفويض غير محدود لعقد Permit2 (وهذا هو الإعداد الافتراضي لهذه المنصة)، فإن القراصنة يحتاجون فقط إلى تحفيز المستخدم للتوقيع من أجل نقل الرموز الخاصة بهم.
بشكل عام، فإن تصيد التفويض يسمح لك بتفويض المتسللين مباشرةً لتحريك رموزك، بينما تصيد التوقيع يحفزك على توقيع "مذكرة" تسمح للآخرين بتحريك أصولك. تصريح هو وظيفة توسيع التفويض لـ ERC-20، و Permit2 هو وظيفة جديدة تم إطلاقها من قبل بعض DEX، وكلاهما يمثلان مناطق شديدة التعرض لتصيد التوقيع الحالي.
إذن، كيف يمكننا الحماية من هذه الهجمات الاحتيالية؟
من الضروري تعزيز الوعي بالأمان. يجب عليك التحقق بعناية من ما تفعله في كل مرة تقوم فيها بإجراء عملية محفظة.
افصل الأموال الكبيرة عن المحفظة المستخدمة يوميًا لتقليل الخسائر المحتملة.
تعلم كيفية التعرف على تنسيقات توقيع Permit و Permit2. كن حذرًا بشكل خاص عندما ترى طلب توقيع يحتوي على المعلومات التالية:
التفاعلي:رابط تفاعلي
المالك: عنوان الجهة المصرح لها
Spender: عنوان الطرف المعتمد
القيمة: كمية التفويض
Nonce: رقم عشوائي
Deadline:موعد انتهاء الصلاحية
من خلال فهم هذه المنطق الأساسية وإجراءات الحماية، يمكننا حماية أصولنا الرقمية بشكل أفضل وتجنب أن نصبح ضحايا لعمليات الاحتيال بالتوقيع.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 16
أعجبني
16
3
مشاركة
تعليق
0/400
SignatureDenied
· منذ 23 س
آه، لقد كنت حمقى مرة أخرى، وما زلت أتعثر عدة مرات.
شاهد النسخة الأصليةرد0
StablecoinArbitrageur
· 07-27 01:33
*يعدل الرسوم البيانية* فقدت 10.3% أخرى من قيمة المحفظة بسبب استغلال التصاريح... متى سيتعلمون قراءة الbytecode
تحليل عمليات الاحتيال بتوقيع Web3: المخاطر والوقاية من التفويض، الإذن وPermit2
المنطق الأساسي لعملية التصيد في Web3: التعرف على تصيد التفويض، التصريح وPermit2
في مجال Web3، أصبحت "صيد التوقيع" واحدة من أكثر أساليب الاحتيال استخدامًا من قبل القراصنة. على الرغم من أن خبراء الأمان وشركات المحافظ يواصلون الترويج للمعرفة ذات الصلة، لا يزال هناك العديد من المستخدمين الذين ينخدعون كل يوم. أحد الأسباب الرئيسية وراء ذلك هو أن معظم الناس يفتقرون إلى الفهم الأساسي لمبادئ التفاعل مع المحافظ، وأن مستوى صعوبة تعلم المعرفة ذات الصلة مرتفع بالنسبة لغير المتخصصين.
لمساعدة المزيد من الناس على فهم هذه المشكلة، ستسعى هذه المقالة إلى شرح منطق الصيد بالتوقيع بطريقة سهلة الفهم.
أولاً، نحتاج إلى فهم أن هناك نوعين رئيسيين من العمليات عند استخدام المحفظة: "التوقيع" و"التفاعل". بعبارة بسيطة، يحدث التوقيع خارج سلسلة الكتل (خارج السلسلة)، ولا يتطلب دفع رسوم غاز؛ بينما يحدث التفاعل على سلسلة الكتل (داخل السلسلة)، ويتطلب دفع رسوم غاز.
تتمثل السيناريوهات النموذجية للتوقيع في التحقق من الهوية، مثل تسجيل الدخول إلى المحفظة أو الاتصال بـ DApp. على سبيل المثال، عندما ترغب في تبادل الرموز في DEX معين، تحتاج أولاً إلى الاتصال بالمحفظة، وفي هذه الحالة تحتاج إلى توقيع لإثبات أنك مالك هذه المحفظة. لن يؤثر هذه العملية على blockchain، لذا لا حاجة لدفع الرسوم.
بالمقارنة، تتضمن التفاعلات عمليات فعلية على السلسلة. على سبيل المثال، لتبادل الرموز على DEX، تحتاج أولاً إلى دفع رسوم، وتفويض عقد الذكي لـ DEX لتحريك رموزك (يُسمى "تفويض"). بعد ذلك، تحتاج أيضًا إلى دفع رسوم أخرى لتنفيذ عملية التبادل الفعلية.
بعد فهم الفرق بين التوقيع والتفاعل، دعونا نلقي نظرة على بعض طرق الصيد الشائعة: صيد التفويض، صيد توقيع التصريح، وصيد توقيع التصريح 2.
التصريح بالاحتيال هو أسلوب احتيالي كلاسيكي يستغل آلية التصريح (approve). قد يقوم القراصنة بإنشاء موقع مزيف يتنكر كمشروع NFT أو نشاط توزيع رموز. عندما ينقر المستخدم على زر "استلام التوزيع"، فإنه في الواقع يقوم بتفويض عنوان القراصنة للتصرف في رموزه الخاصة. على الرغم من أن هذه الطريقة تتطلب دفع رسوم الغاز، إلا أن هناك عددًا غير قليل من المستخدمين قد يقع في الفخ عن غير قصد.
تعتبر عمليات الاحتيال بتوقيع Permit وPermit2 أكثر خفاءً، وأصعب في الحماية. لأن المستخدمين اعتادوا على تسجيل الدخول إلى المحفظة بتوقيع قبل استخدام DApp، فمن السهل أن يتشكل لديهم تفكير تلقائي "أن هذه العملية آمنة". بالإضافة إلى أن التوقيع لا يتطلب دفع رسوم، فإن الكثير من الناس لا يفهمون معنى كل توقيع وراءه، مما يخلق فرصة للمخترقين.
Permit هو ميزة موسعة لمعيار ERC-20، تسمح للمستخدمين بالموافقة على تحريك رموزهم من قبل الآخرين من خلال التوقيع. ببساطة، يشبه الأمر التوقيع على "إذن"، مما يسمح لشخص ما بتحريك رموزك. يمكن للشخص الذي يحمل هذا "الإذن" إثبات أنه لديه الإذن لتحريك رموزك إلى العقد الذكي. يمكن للقراصنة استغلال هذه الآلية، وإغراء المستخدمين بالتوقيع على Permit، وبالتالي الحصول على إذن نقل الرموز.
تُعتبر Permit2 ميزة أطلقتها بعض منصات التداول اللامركزية (DEX) لتحسين تجربة المستخدم. حيث تسمح للمستخدمين بإعطاء تفويض لمبلغ كبير مرة واحدة لعقد Permit2 الذكي، وبعد ذلك يحتاج المستخدم فقط للتوقيع في كل صفقة دون الحاجة لإعادة التفويض. على الرغم من أن ذلك يُبسط عملية التشغيل، إلا أنه يخلق أيضًا ظروفًا للاحتيال. إذا كان المستخدم قد استخدم هذه المنصة من قبل ووافق على تفويض غير محدود لعقد Permit2 (وهذا هو الإعداد الافتراضي لهذه المنصة)، فإن القراصنة يحتاجون فقط إلى تحفيز المستخدم للتوقيع من أجل نقل الرموز الخاصة بهم.
بشكل عام، فإن تصيد التفويض يسمح لك بتفويض المتسللين مباشرةً لتحريك رموزك، بينما تصيد التوقيع يحفزك على توقيع "مذكرة" تسمح للآخرين بتحريك أصولك. تصريح هو وظيفة توسيع التفويض لـ ERC-20، و Permit2 هو وظيفة جديدة تم إطلاقها من قبل بعض DEX، وكلاهما يمثلان مناطق شديدة التعرض لتصيد التوقيع الحالي.
إذن، كيف يمكننا الحماية من هذه الهجمات الاحتيالية؟
من الضروري تعزيز الوعي بالأمان. يجب عليك التحقق بعناية من ما تفعله في كل مرة تقوم فيها بإجراء عملية محفظة.
افصل الأموال الكبيرة عن المحفظة المستخدمة يوميًا لتقليل الخسائر المحتملة.
تعلم كيفية التعرف على تنسيقات توقيع Permit و Permit2. كن حذرًا بشكل خاص عندما ترى طلب توقيع يحتوي على المعلومات التالية:
من خلال فهم هذه المنطق الأساسية وإجراءات الحماية، يمكننا حماية أصولنا الرقمية بشكل أفضل وتجنب أن نصبح ضحايا لعمليات الاحتيال بالتوقيع.