تحليل فخ التصيد الاحتيالي في Web3: تحليل آلية التفويض، الإذن و Permit2

مؤخراً، أصبح القراصنة في مجال Web3 متحمسين لأسلوب جديد من أساليب التصيد الاحتيالي - "تصيد التوقيع". على الرغم من أن خبراء الأمن وشركات المحافظ يقومون باستمرار بتوعية المستخدمين وتحذيرهم من ذلك، إلا أن هناك عددًا كبيرًا من المستخدمين يقع في الفخ يوميًا. أحد الأسباب الرئيسية لهذه الظاهرة هو أن معظم المستخدمين يفتقرون إلى الفهم الأساسي لمنطق التفاعل مع المحافظ، بالإضافة إلى أن مستوى صعوبة تعلم المعرفة ذات الصلة مرتفع بالنسبة للأشخاص غير التقنيين.

لمساعدة المزيد من الأشخاص على فهم هذه المشكلة، ستقوم هذه المقالة بشرح المنطق الأساسي لعملية التصيد الاحتيالي من خلال التوقيعات بطريقة بسيطة وسهلة الفهم، مع التركيز على توضيح الأمر للمستخدمين غير الملمين بالتكنولوجيا.

أولاً ، نحتاج إلى فهم أن استخدام المحفظة ينطوي بشكل أساسي على عمليتين: "التوقيع" و"التفاعل". ببساطة ، التوقيع هو عملية تحدث خارج سلسلة الكتل ولا تحتاج إلى دفع رسوم الغاز؛ بينما التفاعل يحدث على سلسلة الكتل ويتطلب دفع رسوم الغاز.

السيناريو النموذجي للتوقيع هو استخدامه للتحقق من الهوية، مثل تسجيل الدخول إلى المحفظة. عندما تحتاج إلى إجراء عملية على تطبيق لامركزي، يجب عليك أولاً استخدام التوقيع لإثبات أنك مالك هذه المحفظة. هذه العملية لن تحدث أي تغييرات جوهرية على blockchain، لذلك لا حاجة لدفع رسوم.

بالمقارنة، تتعلق التفاعلات بالعمليات الفعلية على السلسلة. على سبيل المثال، عندما تريد تبادل الرموز في DEX معين، تحتاج أولاً إلى السماح لعقد الذكاء الخاص بـ DEX باستخدام الرموز الخاصة بك، ثم تنفيذ عملية التبادل الفعلية. يتعين دفع رسوم الغاز في كلا الخطوتين.

بعد فهم الفرق بين التوقيع والتفاعل، دعونا نلقي نظرة على بعض طرق التصيد الشائعة: تصيد التفويض، تصيد توقيع Permit، وتصيد توقيع Permit2.

الاحتيال عن طريق التفويض هو أسلوب احتيالي كلاسيكي يستغل آلية التفويض (approve). قد يقوم المتسللون بإنشاء موقع تصيد يتنكر كمشروع NFT، ويغري المستخدمين للنقر على زر "استلام الإيهام". في الواقع، بعد أن ينقر المستخدم، تظهر له نافذة تطلب التفويض لعنوان المتسلل للتصرف في رموز المستخدم. بمجرد أن يؤكد المستخدم، يمكن للمتسلل السيطرة على أصول المستخدم.

ومع ذلك، فإن التصيد الاحتيالي المعتمد على التفويض يتطلب دفع رسوم الغاز، لذلك يصبح العديد من المستخدمين أكثر حذرًا عند ظهور طلب دفع من المحفظة، مما يجعل من السهل نسبيًا الوقاية منه.

تعتبر عمليات التصيد الاحتيالي باستخدام Permit وPermit2 أكثر خفاءً وخطورة. Permit هو وظيفة موسعة لمعيار ERC-20، تسمح للمستخدمين بالتصريح للآخرين بإجراء عمليات على رموزهم من خلال التوقيع. يتعين على المستخدم فقط التوقيع على "ورقة" تحتوي على معلومات التفويض، ويمكن للشخص الذي يحمل هذه "الورقة" تمثيل المستخدم في إجراء عمليات التفويض.

Permit2 هو ميزة أطلقتها بعض منصات التداول اللامركزية لتحسين تجربة المستخدم. يسمح للمستخدمين بتفويض مبلغ كبير لمرة واحدة لعقد Permit2، وبعد ذلك يحتاجون فقط إلى تأكيد التوقيع في كل عملية تداول دون الحاجة لدفع رسوم غاز إضافية.

تعود صعوبة الحماية من طريقتي الصيد هاتين إلى أن المستخدمين قد اعتادوا على إجراء عملية التوقيع قبل استخدام DApp، وغالبًا ما لا يتحققون بدقة من محتوى التوقيع.

من أجل الحماية من هجمات التصيد الاحتيالي عبر التوقيع، يجب على المستخدمين:

1. تعزيز الوعي الأمني، تحقق بعناية من العملية الجارية في كل مرة تقوم فيها بتشغيل المحفظة.

2. فصل المبالغ الكبيرة من الأموال عن المحفظة المستخدمة بشكل يومي لتقليل الخسائر المحتملة.

3. تعلم كيفية التعرف على تنسيق توقيع Permit و Permit2، وعندما ترى طلب توقيع يحتوي على المعلومات التالية، يجب أن تكون حذرًا بشكل خاص:

   • تفاعلي：رابط تفاعلي
   • المالك: عنوان المخول
   • Spender: عنوان الجهة المخولة
   • القيمة: كمية التفويض
   • Nonce：رقم عشوائي
   • Deadline: وقت انتهاء الصلاحية

من خلال فهم مبادئ وآليات هذه الهجمات الاحتيالية وطرق الوقاية، يمكن للمستخدمين حماية أصولهم الرقمية بشكل أفضل.