تحليل مبدأ تصيد التوقيع في Web3: الفرق بين التفويض، تصريح وتصريح2
في مجال Web3 ، أصبحت "هجمات التصيد بواسطة التوقيع" واحدة من أكثر أساليب الهجوم استخدامًا من قبل القراصنة. على الرغم من أن خبراء الأمان وشركات المحافظ يقومون بجهود توعوية مستمرة، لا يزال العديد من المستخدمين يتعرضون للخسائر يوميًا. السبب في ذلك هو أن معظم المستخدمين يفتقرون إلى الفهم العميق للمنطق الأساسي لتفاعل المحافظ، وأنه بالنسبة للأشخاص غير التقنيين، فإن عتبة تعلم هذه المعرفة مرتفعة.
لمساعدة المزيد من الناس على فهم هذه المشكلة، سنقوم بشرح المنطق الأساسي لعملية اصطياد التوقيع من خلال الرسوم التوضيحية بلغة بسيطة وسهلة الفهم.
أولاً، نحتاج إلى فهم أن هناك نوعين رئيسيين من العمليات عند استخدام المحفظة: "التوقيع" و"التفاعل". ببساطة، التوقيع هو عملية تحدث خارج سلسلة الكتل ولا تحتاج إلى دفع رسوم الغاز؛ بينما التفاعل هو عملية تحدث على سلسلة الكتل وتتطلب دفع رسوم الغاز.
التوقيع عادة ما يستخدم للتحقق من الهوية، مثل تسجيل الدخول إلى تطبيق لامركزي (DApp). لا ينتج عن هذه العملية أي تغييرات على بيانات البلوكشين، لذا لا حاجة لدفع رسوم. بالمقابل، التفاعل يتضمن عمليات فعلية على السلسلة، مثل تبادل الرموز، ويتطلب دفع رسوم الغاز.
سنقدم بعد ذلك ثلاثة أنواع شائعة من أساليب الصيد: اصطياد التفويض، اصطياد توقيع تصريح، واصطياد توقيع تصريح 2.
تعتبر هجمات التصيد الاحتيالي المعتمدة على التفويض أسلوب هجوم كلاسيكي يستغل آلية تفويض العقود الذكية. قد يقوم القراصنة بإنشاء موقع تصيد يتنكر كمشروع NFT، ويحث المستخدمين على النقر على زر "استلام الإضافات". في الواقع، ستسمح هذه العملية للقراصنة بالوصول إلى رموز المستخدمين. ومع ذلك، نظرًا لأن هذه الطريقة تتطلب دفع رسوم الغاز، فإن المستخدمين عادة ما يكونون أكثر حذرًا، مما يجعل من السهل نسبيًا الوقاية منها.
تعتبر عملية التصيد الاحتيالي لتواقيع Permit وPermit2 من المشاكل الأكثر تعقيدًا في الوقت الحالي. Permit هو وظيفة موسعة لمعيار ERC-20، تسمح للمستخدمين بالموافقة على نقل رموزهم من قبل الآخرين من خلال التوقيع. لا تتطلب هذه الطريقة دفع رسوم الغاز مباشرة، لذلك قد يقوم المستخدمون عن غير قصد بتفويض المتسللين بالتحكم في أصولهم.
Permit2 هو ميزة أطلقتها بعض منصات التداول اللامركزية لتحسين تجربة المستخدم. يسمح للمستخدمين بتفويض مبلغ كبير دفعة واحدة، وبعد ذلك يتطلب الأمر توقيعًا فقط في كل عملية تداول دون الحاجة إلى التفويض المتكرر. ومع ذلك، فإن هذا يتيح أيضًا فرصًا للقراصنة.
لمنع هذه الهجمات، يجب على المستخدمين:
تعزيز الوعي بالأمان، تحقق بعناية قبل كل عملية.
فصل الأموال الكبيرة عن محفظة الاستخدام اليومي.
تعلم التعرف على تنسيق توقيع Permit و Permit2، وكن حذرًا بشأن التوقيعات التي تحتوي على عنوان الجهة المخولة، وعنوان الجهة المخولة لها، وكمية التفويض، إلخ.
من خلال فهم هذه المبادئ واتخاذ التدابير الوقائية المناسبة، يمكن للمستخدمين حماية أصولهم الرقمية بشكل أفضل.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تحليل شامل لعمليات التصيد الاحتيالي في Web3: الثغرات الأمنية في التفويض، والتصريح وPermit2
تحليل مبدأ تصيد التوقيع في Web3: الفرق بين التفويض، تصريح وتصريح2
في مجال Web3 ، أصبحت "هجمات التصيد بواسطة التوقيع" واحدة من أكثر أساليب الهجوم استخدامًا من قبل القراصنة. على الرغم من أن خبراء الأمان وشركات المحافظ يقومون بجهود توعوية مستمرة، لا يزال العديد من المستخدمين يتعرضون للخسائر يوميًا. السبب في ذلك هو أن معظم المستخدمين يفتقرون إلى الفهم العميق للمنطق الأساسي لتفاعل المحافظ، وأنه بالنسبة للأشخاص غير التقنيين، فإن عتبة تعلم هذه المعرفة مرتفعة.
لمساعدة المزيد من الناس على فهم هذه المشكلة، سنقوم بشرح المنطق الأساسي لعملية اصطياد التوقيع من خلال الرسوم التوضيحية بلغة بسيطة وسهلة الفهم.
أولاً، نحتاج إلى فهم أن هناك نوعين رئيسيين من العمليات عند استخدام المحفظة: "التوقيع" و"التفاعل". ببساطة، التوقيع هو عملية تحدث خارج سلسلة الكتل ولا تحتاج إلى دفع رسوم الغاز؛ بينما التفاعل هو عملية تحدث على سلسلة الكتل وتتطلب دفع رسوم الغاز.
التوقيع عادة ما يستخدم للتحقق من الهوية، مثل تسجيل الدخول إلى تطبيق لامركزي (DApp). لا ينتج عن هذه العملية أي تغييرات على بيانات البلوكشين، لذا لا حاجة لدفع رسوم. بالمقابل، التفاعل يتضمن عمليات فعلية على السلسلة، مثل تبادل الرموز، ويتطلب دفع رسوم الغاز.
سنقدم بعد ذلك ثلاثة أنواع شائعة من أساليب الصيد: اصطياد التفويض، اصطياد توقيع تصريح، واصطياد توقيع تصريح 2.
تعتبر هجمات التصيد الاحتيالي المعتمدة على التفويض أسلوب هجوم كلاسيكي يستغل آلية تفويض العقود الذكية. قد يقوم القراصنة بإنشاء موقع تصيد يتنكر كمشروع NFT، ويحث المستخدمين على النقر على زر "استلام الإضافات". في الواقع، ستسمح هذه العملية للقراصنة بالوصول إلى رموز المستخدمين. ومع ذلك، نظرًا لأن هذه الطريقة تتطلب دفع رسوم الغاز، فإن المستخدمين عادة ما يكونون أكثر حذرًا، مما يجعل من السهل نسبيًا الوقاية منها.
تعتبر عملية التصيد الاحتيالي لتواقيع Permit وPermit2 من المشاكل الأكثر تعقيدًا في الوقت الحالي. Permit هو وظيفة موسعة لمعيار ERC-20، تسمح للمستخدمين بالموافقة على نقل رموزهم من قبل الآخرين من خلال التوقيع. لا تتطلب هذه الطريقة دفع رسوم الغاز مباشرة، لذلك قد يقوم المستخدمون عن غير قصد بتفويض المتسللين بالتحكم في أصولهم.
Permit2 هو ميزة أطلقتها بعض منصات التداول اللامركزية لتحسين تجربة المستخدم. يسمح للمستخدمين بتفويض مبلغ كبير دفعة واحدة، وبعد ذلك يتطلب الأمر توقيعًا فقط في كل عملية تداول دون الحاجة إلى التفويض المتكرر. ومع ذلك، فإن هذا يتيح أيضًا فرصًا للقراصنة.
لمنع هذه الهجمات، يجب على المستخدمين:
من خلال فهم هذه المبادئ واتخاذ التدابير الوقائية المناسبة، يمكن للمستخدمين حماية أصولهم الرقمية بشكل أفضل.