تصيد توقيع Web3: فهم المنطق الأساسي لزيادة الوعي بالأمان
في عالم Web3، أصبحت "صيد التوقيع" واحدة من أكثر الأساليب شيوعًا التي يستخدمها المخترقون. على الرغم من أن الخبراء في الصناعة يروجون باستمرار للمعرفة ذات الصلة، لا يزال العديد من المستخدمين يقعون في الفخ دون قصد. أحد الأسباب الرئيسية وراء ذلك هو أن معظم الناس يفتقرون إلى الفهم العميق للمنطق الأساسي للتفاعل مع المحافظ، بينما تكون عتبة تعلم المعرفة ذات الصلة مرتفعة.
لهذا، ستسعى هذه المقالة إلى شرح مبادئ هجمات تصيد التوقيع بلغة بسيطة وسهلة الفهم مع الرسوم التوضيحية، وكيفية الحماية منها بفعالية.
أولاً، نحتاج إلى فهم أن هناك نوعين رئيسيين من العمليات عند استخدام المحفظة: "التوقيع" و"التفاعل". ببساطة، يحدث التوقيع خارج السلسلة ولا يتطلب دفع رسوم الغاز؛ بينما يحدث التفاعل على السلسلة ويتطلب دفع رسوم الغاز.
التوقيع عادة ما يُستخدم للتحقق من الهوية. على سبيل المثال، عندما تحتاج إلى تسجيل الدخول إلى تطبيق لامركزي (DApp)، تحتاج إلى التوقيع لإثبات أنك مالك المحفظة. هذه العملية لن تؤثر على البلوكشين، وبالتالي لا حاجة لدفع أي رسوم.
بالمقارنة، فإن التفاعل يتضمن عمليات فعلية على السلسلة. على سبيل المثال، عند إجراء تبادل رموز على DEX معين، تحتاج أولاً إلى تفويض العقد الذكي للعمل على رموزك (approve)، ثم تنفيذ عملية التبادل الفعلية. تحتاج كلا الخطوتين إلى دفع رسوم الغاز.
بعد فهم هذه المفاهيم الأساسية، دعونا نلقي نظرة على بعض أساليب الاحتيال الشائعة:
التصيد المصرح به: هذه تقنية كلاسيكية في التصيد. يقوم القراصنة بالتنكر كـ DApp أو مشروع NFT عادي، ويغوون المستخدمين للقيام بعمليات التصريح. بمجرد أن يؤكد المستخدم، يتمكن القراصنة من الحصول على إذن للتصرف في أصول المستخدم.
تصيد توقيع Permit: Permit هو ميزة موسعة لمعيار رموز ERC-20، يسمح للمستخدمين بتفويض الآخرين للعمل على رموزهم من خلال التوقيع. يمكن للقراصنة إغراء المستخدمين بتوقيع رسائل Permit، مما يمنحهم إذن نقل أصول المستخدم.
تصيد توقيع Permit2: Permit2 هي ميزة أطلقتها بعض منصات التداول اللامركزية، تهدف إلى تبسيط إجراءات المستخدمين. ومع ذلك، إذا كان المستخدم قد استخدم هذه المنصة من قبل ومنحها حدًا غير محدود، فيمكن للقراصنة استغلال هذه الآلية لنقل أصول المستخدم.
لمنع هذه الهجمات التصيدية، يمكننا اتخاذ التدابير التالية:
تعزيز الوعي الأمني: يجب عليك التحقق بعناية مما تقوم به من عمليات في كل مرة تقوم فيها بإجراء على المحفظة.
إدارة توزيع الأصول: فصل الأموال الكبيرة عن المحفظة المستخدمة يوميًا لتقليل الخسائر المحتملة.
تعلم كيفية التعرف على التوقيعات المشبوهة: انتبه بشكل خاص لطلبات التوقيع التي تحتوي على الحقول التالية:
تفاعلي: رابط التفاعل
المالك: عنوان الجهة المصرح لها
Spender: عنوان الطرف المخوّل
القيمة: عدد التفويضات
Nonce:رقم عشوائي
Deadline: الوقت المحدد
من خلال فهم هذه المنطق الأساسية واتخاذ التدابير الوقائية المناسبة، يمكننا تقليل خطر أن نصبح ضحايا لعمليات الاحتيال بالتوقيعات بشكل كبير. في عالم Web3، فإن اليقظة والتعلم المستمر هما المفتاح لضمان أمان الأصول.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 20
أعجبني
20
5
إعادة النشر
مشاركة
تعليق
0/400
AirdropHunter007
· 08-12 15:38
ما الذي توقعت توقيعه، أحب أن أُخدع
شاهد النسخة الأصليةرد0
ProveMyZK
· 08-10 17:54
لقد سقطت في بركة السمك مرة أخرى، أليس كذلك؟
شاهد النسخة الأصليةرد0
FastLeaver
· 08-10 17:52
الخبرة تأتي من الخسارة!
شاهد النسخة الأصليةرد0
MerkleDreamer
· 08-10 17:51
تم خداعي مرتين، والكلام كثير يسبب البكاء.
شاهد النسخة الأصليةرد0
ZenChainWalker
· 08-10 17:48
تم خداعي مرة أخرى بثلاثمائة عملة، فهمت متأخراً جداً.
دليل الوقاية من تصيد توقيع Web3: كشف الأسس والمبادئ الأمنية
تصيد توقيع Web3: فهم المنطق الأساسي لزيادة الوعي بالأمان
في عالم Web3، أصبحت "صيد التوقيع" واحدة من أكثر الأساليب شيوعًا التي يستخدمها المخترقون. على الرغم من أن الخبراء في الصناعة يروجون باستمرار للمعرفة ذات الصلة، لا يزال العديد من المستخدمين يقعون في الفخ دون قصد. أحد الأسباب الرئيسية وراء ذلك هو أن معظم الناس يفتقرون إلى الفهم العميق للمنطق الأساسي للتفاعل مع المحافظ، بينما تكون عتبة تعلم المعرفة ذات الصلة مرتفعة.
لهذا، ستسعى هذه المقالة إلى شرح مبادئ هجمات تصيد التوقيع بلغة بسيطة وسهلة الفهم مع الرسوم التوضيحية، وكيفية الحماية منها بفعالية.
أولاً، نحتاج إلى فهم أن هناك نوعين رئيسيين من العمليات عند استخدام المحفظة: "التوقيع" و"التفاعل". ببساطة، يحدث التوقيع خارج السلسلة ولا يتطلب دفع رسوم الغاز؛ بينما يحدث التفاعل على السلسلة ويتطلب دفع رسوم الغاز.
التوقيع عادة ما يُستخدم للتحقق من الهوية. على سبيل المثال، عندما تحتاج إلى تسجيل الدخول إلى تطبيق لامركزي (DApp)، تحتاج إلى التوقيع لإثبات أنك مالك المحفظة. هذه العملية لن تؤثر على البلوكشين، وبالتالي لا حاجة لدفع أي رسوم.
بالمقارنة، فإن التفاعل يتضمن عمليات فعلية على السلسلة. على سبيل المثال، عند إجراء تبادل رموز على DEX معين، تحتاج أولاً إلى تفويض العقد الذكي للعمل على رموزك (approve)، ثم تنفيذ عملية التبادل الفعلية. تحتاج كلا الخطوتين إلى دفع رسوم الغاز.
بعد فهم هذه المفاهيم الأساسية، دعونا نلقي نظرة على بعض أساليب الاحتيال الشائعة:
التصيد المصرح به: هذه تقنية كلاسيكية في التصيد. يقوم القراصنة بالتنكر كـ DApp أو مشروع NFT عادي، ويغوون المستخدمين للقيام بعمليات التصريح. بمجرد أن يؤكد المستخدم، يتمكن القراصنة من الحصول على إذن للتصرف في أصول المستخدم.
تصيد توقيع Permit: Permit هو ميزة موسعة لمعيار رموز ERC-20، يسمح للمستخدمين بتفويض الآخرين للعمل على رموزهم من خلال التوقيع. يمكن للقراصنة إغراء المستخدمين بتوقيع رسائل Permit، مما يمنحهم إذن نقل أصول المستخدم.
تصيد توقيع Permit2: Permit2 هي ميزة أطلقتها بعض منصات التداول اللامركزية، تهدف إلى تبسيط إجراءات المستخدمين. ومع ذلك، إذا كان المستخدم قد استخدم هذه المنصة من قبل ومنحها حدًا غير محدود، فيمكن للقراصنة استغلال هذه الآلية لنقل أصول المستخدم.
لمنع هذه الهجمات التصيدية، يمكننا اتخاذ التدابير التالية:
تعزيز الوعي الأمني: يجب عليك التحقق بعناية مما تقوم به من عمليات في كل مرة تقوم فيها بإجراء على المحفظة.
إدارة توزيع الأصول: فصل الأموال الكبيرة عن المحفظة المستخدمة يوميًا لتقليل الخسائر المحتملة.
تعلم كيفية التعرف على التوقيعات المشبوهة: انتبه بشكل خاص لطلبات التوقيع التي تحتوي على الحقول التالية:
من خلال فهم هذه المنطق الأساسية واتخاذ التدابير الوقائية المناسبة، يمكننا تقليل خطر أن نصبح ضحايا لعمليات الاحتيال بالتوقيعات بشكل كبير. في عالم Web3، فإن اليقظة والتعلم المستمر هما المفتاح لضمان أمان الأصول.