تحليل المنطق الأساسي لعمليات الصيد بالتصديق في Web3

يواجه العديد من المستخدمين ارتباكًا أثناء تفاعلهم مع المحافظ: "لقد وقعت للتو، لماذا اختفت أموالي؟" هذه "خداع التوقيع" أصبحت واحدة من أكثر طرق الاحتيال المفضلة من قبل قراصنة Web3. على الرغم من أن خبراء الأمن وشركات المحافظ يواصلون تذكير المستخدمين بضرورة توخي الحذر، إلا أن هناك عددًا كبيرًا من المستخدمين يقع في الفخ يوميًا.

واحدة من الأسباب الرئيسية وراء هذه الحالة هي أن معظم المستخدمين يفتقرون إلى فهم آلية التفاعل مع المحفظة الأساسية، وأن مستوى التعلم مرتفع نسبيًا لغير المتخصصين. لذلك، قررنا استخدام الرسوم التوضيحية لشرح مبدأ صياغة التوقيع بطريقة مبسطة، ونسعى جاهدين لاستخدام لغة سهلة الفهم حتى يتمكن المستخدمون العاديون من فهمها.

أولاً، نحتاج إلى فهم أنه عند استخدام المحافظ، هناك نوعان فقط من العمليات: "التوقيع" و"التفاعل". أبسط طريقة لفهم ذلك هي: يحدث التوقيع خارج سلسلة الكتل (، وليس هناك حاجة لدفع رسوم الغاز؛ بينما يحدث التفاعل على سلسلة الكتل )، ويتطلب دفع رسوم الغاز.

تُستخدم التوقيعات عادةً للتحقق من الهوية، مثل تسجيل الدخول إلى المحفظة. عندما ترغب في تبادل الرموز في أي DEX، تحتاج أولاً إلى ربط المحفظة، وفي هذه المرحلة تحتاج إلى توقيع لإثبات "أنا مالك هذه المحفظة". هذه العملية لن تُحدث أي تغيير في البيانات أو الحالة على البلوكشين، لذا لا حاجة لإنفاق أي شيء.

التفاعل هو عندما تحتاج حقًا إلى تبادل الرموز على DEX، عليك أولاً دفع رسوم لإخبار عقد DEX الذكي: "أريد تبادل 100USDT لرمز واحد، لقد سمحت لك بتحريك 100USDT الخاصة بي". تُعرف هذه الخطوة بالتفويض (approve). ثم عليك أيضًا دفع رسوم أخرى لإخبار العقد الذكي: "أحتاج الآن إلى تبادل 100USDT لرمز واحد، يمكنك تنفيذ العملية الآن". بهذه الطريقة، تكون قد أكملت عملية تبادل 100USDT لرمز واحد.

بعد فهم الفرق بين التوقيع والتفاعل، دعونا نقدم ثلاثة أنواع شائعة من طرق الصيد: الصيد من خلال التفويض، وصيد التوقيع باستخدام تصريح، وصيد التوقيع باستخدام تصريح 2.

تعتبر عملية التصيد الاحتيالي المصرح بها واحدة من أساليب التصيد الأكثر شهرة في Web3. يقوم القراصنة بإنشاء موقع ويب مزيف يتنكر كأحد مشاريع NFT، حيث يوجد زر بارز "استلام الإيردروب". عندما ينقر المستخدم عليه، فإن واجهة محفظته المنبثقة تطلب في الواقع من المستخدم السماح بنقل الرموز إلى عنوان القراصنة. إذا أكد المستخدم هذا الإجراء، فإن القراصنة يكونون قد نجحوا في تنفيذ عملية احتيال.

ومع ذلك، فإن التصيد المصرح به له عيب واحد: بسبب الحاجة لدفع رسوم الغاز، فإن العديد من المستخدمين أصبحوا أكثر حذرًا عند إجراء العمليات المتعلقة بالأموال، حيث يمكن أن يكتشفوا أي شذوذ بمراقبة بسيطة على المواقع غير المألوفة.

التالي هو التصيد باستخدام توقيع Permit و Permit2، وهو منطقة كوارث كبيرة لأمان أصول Web3 الحالية. السبب في صعوبة الوقاية هو أنه يتعين على المستخدمين توقيع الدخول إلى المحفظة قبل استخدام كل DApp، وقد تشكل لدى العديد من المستخدمين فكرة "هذه العملية آمنة" كفكرة متكررة. بالإضافة إلى ذلك، عدم الحاجة لدفع رسوم، وعدم فهم معظم الناس لمعاني كل توقيع، يجعل هذه الطريقة من التصيد خطيرة بشكل خاص.

تعتبر خاصية Permit وظيفة موسعة مصممة بموجب معيار ERC-20. ببساطة، يمكنك من خلال التوقيع السماح للآخرين بتحريك رموزك. على عكس الحاجة لدفع رسوم عند استخدام (Approve)، فإن خاصية Permit تعني أنك تقوم بالتوقيع على "ورقة" تسمح لشخص ما بتحريك رموزك. ثم يأخذ هذا الشخص "الورقة" إلى العقد الذكي، يدفع رسوم الغاز ويخبر العقد: "لقد سمح لي بتحريك رموزه". خلال هذه العملية، كل ما قمت به هو التوقيع، ولكنك في الواقع سمحت للآخرين باستدعاء التفويض ونقل رموزك.

Permit2 ليست ميزة من ERC-20، بل هي ميزة أطلقتها بعض DEX لتسهيل الأمر على المستخدمين. الهدف منها هو السماح للمستخدمين بتفويض مبالغ كبيرة دفعة واحدة، وبعد ذلك يتطلب الأمر توقيعًا فقط في كل معاملة، دون الحاجة إلى التفويض المتكرر. بهذا الشكل، يدفع المستخدم رسوم Gas مرة واحدة فقط في كل معاملة، وهذه الرسوم يتم دفعها بواسطة عقد Permit2، وسيتم خصمها في النهاية من الرموز المميزة التي يتم تبادلها.

ومع ذلك، فإن شرط الاحتيال عبر Permit2 هو أن يكون المستخدم قد استخدم هذا DEX من قبل ومنح صلاحيات غير محدودة لعقد Permit2 الذكي. نظرًا لأن العملية الافتراضية لهذا DEX هي إذن غير محدود، فإن عدد المستخدمين الذين يستوفون هذا الشرط كبير جدًا.

باختصار، جوهر التصيد المصرح به هو أنك تدفع الرسوم لتخبر العقد الذكي: "أنا أوافق على أن تنقل رموزي إلى القراصنة". جوهر التصيد بالتوقيع هو أنك وقعت على "وثيقة" تسمح للآخرين بتحريك أصولك للقراصنة، ثم يدفع القراصنة الرسوم ليخبر العقد الذكي: "أريد أن أنقل رموزه إليّ".

إذن، كيف يمكن الوقاية من هذه الهجمات الاحتيالية؟

1. من الضروري تعزيز الوعي بالأمان. يجب عليك دائمًا التحقق بعناية مما تقوم به من عمليات في المحفظة.

2. قم بفصل الأموال الكبيرة عن محفظة الاستخدام اليومي، حتى لو تعرضت للاختراق، يمكنك تقليل الخسائر إلى الحد الأدنى.

3. تعلم كيفية التعرف على تنسيق توقيع Permit و Permit2. إذا رأيت توقيعًا يتضمن المعلومات التالية، يجب أن تكون حذرًا:

   • تفاعلي：رابط تفاعلي
   • المالك：عنوان المفوض
   • Spender: عنوان الطرف المخول
   • القيمة: عدد التفويضات
   • Nonce: عدد عشوائي
   • Deadline：موعد انتهاء الصلاحية

من خلال فهم هذه المنطق الأساسي والتدابير الوقائية، يمكن للمستخدمين حماية أصولهم الرقمية بشكل أفضل وتجنب أن يصبحوا ضحايا للاحتيال بالتوقيع.