توضيح تصيد الويب 3: المنطق الأساسي وإجراءات الحماية
في مجال Web3، أصبحت "صيد التوقيع" واحدة من أساليب الاحتيال المفضلة لدى القراصنة. على الرغم من أن العديد من خبراء الأمن وشركات المحافظ يقومون باستمرار بتوعية المستخدمين، إلا أن هناك عددًا كبيرًا من المستخدمين يتعرضون للخسائر يوميًا. أحد الأسباب الرئيسية وراء ذلك هو أن معظم المستخدمين يفتقرون إلى الفهم لآلية التفاعل مع المحافظ، وأن عتبة تعلم المعرفة ذات الصلة تكون مرتفعة بالنسبة لغير المتخصصين.
لمساعدة المزيد من الناس على فهم هذه المشكلة، سنقوم بشرح المنطق الأساسي لاصطياد التوقيعات من خلال الرسوم البيانية بلغة سهلة الفهم.
نوعان من عمليات المحفظة
عند استخدام محفظة التشفير، نقوم بشكل أساسي بعمليتين: التوقيع والتفاعل.
التوقيع: يحدث خارج blockchain (خارج السلسلة) ، ولا يتطلب دفع رسوم الغاز.
التفاعل: يحدث على السلسلة (على السلسلة) ويتطلب دفع رسوم الغاز.
تُستخدم التوقيعات عادةً للتحقق من الهوية، مثل تسجيل الدخول إلى تطبيق لامركزي (DApp). هذه العملية لا تغير البيانات أو الحالة على blockchain، لذا لا حاجة لدفع رسوم.
تتعلق التفاعلات بالعمليات الفعلية على البلوكشين. على سبيل المثال، عند إجراء تبادل رموز على DEX معين، تحتاج أولاً إلى منح إذن لعقد الذكاء الاصطناعي الخاص بالـ DEX لاستخدام رموزك (الموافقة)، ثم تنفيذ عملية التبادل الفعلية. تتطلب هاتان الخطوتان دفع رسوم الغاز.
أساليب الصيد الشائعة
1. تفويض الصيد
هذه طريقة صيد كلاسيكية. يقوم القراصنة بإنشاء موقع يتنكر كمشروع عادي، ليقوموا بإغراء المستخدمين للنقر على أزرار مثل "استلام الإهداء". في الواقع، النقر من قبل المستخدمين سيفعل عملية تفويض، مما يسمح للقراصنة بالوصول إلى رموز المستخدم.
المزايا:操作简单直接。
العيوب: يتعين دفع رسوم الغاز، مما قد يؤدي إلى إيقاظ حذر المستخدمين.
2. تصريح توقيع التصيد
تعتبر Permit ميزة موسعة لمعيار ERC-20، تسمح للمستخدمين بتفويض الآخرين لاستخدام رموزهم من خلال التوقيع. يمكن للقراصنة استدراج المستخدمين لتوقيع Permit، ثم استخدام هذا التوقيع لنقل أصول المستخدم.
المميزات: لا يحتاج المستخدم لدفع رسوم الغاز، مما يسهل الغش.
العيوب: تنطبق فقط على الرموز التي تدعم وظيفة الإذن.
3. تصيد توقيع Permit2
Permit2 هي ميزة أطلقتها بعض منصات التداول اللامركزية (DEX) تهدف إلى تبسيط عمليات المستخدمين. يمكن للمستخدمين منح تصريح بمبلغ كبير لمرة واحدة لعقد Permit2، وبعد ذلك يحتاجون فقط إلى التوقيع في كل عملية تداول، وتتحمل العقد رسوم الغاز.
المزايا: نطاق التطبيق واسع، ويمكن أن يؤثر على عدد كبير من المستخدمين.
العيوب: يحتاج المستخدم إلى استخدام هذا الـ DEX مسبقًا ومنح إذن لعقد Permit2.
تدابير الوقاية
تعزيز الوعي بالأمان: تحقق بعناية من العملية التي تقوم بها في كل مرة تقوم فيها بإجراء عمليات على المحفظة.
فصل الأموال: قم بفصل الأموال الكبيرة عن محفظة الاستخدام اليومي، لتقليل الخسائر المحتملة.
تعلم كيفية التعرف على توقيعات الخطر: انتبه بشكل خاص لطلبات التوقيع التي تحتوي على الحقول التالية:
تفاعلي(交互网址)
المالك(عنوان المفوض)
Spender (عنوان الطرف المفوض)
القيمة (عدد الأذونات)
نونس (رقم عشوائي)
الموعد النهائي
من خلال فهم مبادئ وأشكال هذه الطرق في التصيد، يمكن للمستخدمين حماية أصولهم الرقمية بشكل أفضل. تذكر، في عالم Web3، الوعي بالأمان والعمليات الحذرة هما المفتاح لحماية الأصول.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تحليل شامل لعمليات الاحتيال بالتوقيع في Web3: تحليل المبدأ ودليل الحماية
توضيح تصيد الويب 3: المنطق الأساسي وإجراءات الحماية
في مجال Web3، أصبحت "صيد التوقيع" واحدة من أساليب الاحتيال المفضلة لدى القراصنة. على الرغم من أن العديد من خبراء الأمن وشركات المحافظ يقومون باستمرار بتوعية المستخدمين، إلا أن هناك عددًا كبيرًا من المستخدمين يتعرضون للخسائر يوميًا. أحد الأسباب الرئيسية وراء ذلك هو أن معظم المستخدمين يفتقرون إلى الفهم لآلية التفاعل مع المحافظ، وأن عتبة تعلم المعرفة ذات الصلة تكون مرتفعة بالنسبة لغير المتخصصين.
لمساعدة المزيد من الناس على فهم هذه المشكلة، سنقوم بشرح المنطق الأساسي لاصطياد التوقيعات من خلال الرسوم البيانية بلغة سهلة الفهم.
نوعان من عمليات المحفظة
عند استخدام محفظة التشفير، نقوم بشكل أساسي بعمليتين: التوقيع والتفاعل.
تُستخدم التوقيعات عادةً للتحقق من الهوية، مثل تسجيل الدخول إلى تطبيق لامركزي (DApp). هذه العملية لا تغير البيانات أو الحالة على blockchain، لذا لا حاجة لدفع رسوم.
تتعلق التفاعلات بالعمليات الفعلية على البلوكشين. على سبيل المثال، عند إجراء تبادل رموز على DEX معين، تحتاج أولاً إلى منح إذن لعقد الذكاء الاصطناعي الخاص بالـ DEX لاستخدام رموزك (الموافقة)، ثم تنفيذ عملية التبادل الفعلية. تتطلب هاتان الخطوتان دفع رسوم الغاز.
أساليب الصيد الشائعة
1. تفويض الصيد
هذه طريقة صيد كلاسيكية. يقوم القراصنة بإنشاء موقع يتنكر كمشروع عادي، ليقوموا بإغراء المستخدمين للنقر على أزرار مثل "استلام الإهداء". في الواقع، النقر من قبل المستخدمين سيفعل عملية تفويض، مما يسمح للقراصنة بالوصول إلى رموز المستخدم.
المزايا:操作简单直接。 العيوب: يتعين دفع رسوم الغاز، مما قد يؤدي إلى إيقاظ حذر المستخدمين.
2. تصريح توقيع التصيد
تعتبر Permit ميزة موسعة لمعيار ERC-20، تسمح للمستخدمين بتفويض الآخرين لاستخدام رموزهم من خلال التوقيع. يمكن للقراصنة استدراج المستخدمين لتوقيع Permit، ثم استخدام هذا التوقيع لنقل أصول المستخدم.
المميزات: لا يحتاج المستخدم لدفع رسوم الغاز، مما يسهل الغش. العيوب: تنطبق فقط على الرموز التي تدعم وظيفة الإذن.
3. تصيد توقيع Permit2
Permit2 هي ميزة أطلقتها بعض منصات التداول اللامركزية (DEX) تهدف إلى تبسيط عمليات المستخدمين. يمكن للمستخدمين منح تصريح بمبلغ كبير لمرة واحدة لعقد Permit2، وبعد ذلك يحتاجون فقط إلى التوقيع في كل عملية تداول، وتتحمل العقد رسوم الغاز.
المزايا: نطاق التطبيق واسع، ويمكن أن يؤثر على عدد كبير من المستخدمين. العيوب: يحتاج المستخدم إلى استخدام هذا الـ DEX مسبقًا ومنح إذن لعقد Permit2.
تدابير الوقاية
تعزيز الوعي بالأمان: تحقق بعناية من العملية التي تقوم بها في كل مرة تقوم فيها بإجراء عمليات على المحفظة.
فصل الأموال: قم بفصل الأموال الكبيرة عن محفظة الاستخدام اليومي، لتقليل الخسائر المحتملة.
تعلم كيفية التعرف على توقيعات الخطر: انتبه بشكل خاص لطلبات التوقيع التي تحتوي على الحقول التالية:
من خلال فهم مبادئ وأشكال هذه الطرق في التصيد، يمكن للمستخدمين حماية أصولهم الرقمية بشكل أفضل. تذكر، في عالم Web3، الوعي بالأمان والعمليات الحذرة هما المفتاح لحماية الأصول.