الأصول الرقمية والبلوكتشين الأمان: التهديدات الجديدة واستراتيجيات الوقاية

الأصول الرقمية والبلوكتشين تكنولوجيا تعيد تشكيل مفهوم الحرية المالية، لكن هذه الثورة جلبت أيضًا تحديات أمنية جديدة. على عكس الهجمات التقليدية للثغرات التقنية، فإن المحتالين اليوم يقومون بذكاء بتحويل بروتوكولات عقود البلوكتشين الذكية نفسها إلى أدوات للهجوم. إنهم يستخدمون شفافية البلوكتشين وعدم قابليته للتغيير، جنبًا إلى جنب مع فخاخ الهندسة الاجتماعية المصممة بعناية، لتحويل ثقة المستخدمين إلى أدوات لسرقة الأصول.

من التعاقدات الذكية المزيفة إلى التلاعب بالمعاملات عبر السلاسل، فإن هذه الأساليب الهجومية ليست فقط خفية وصعبة الاكتشاف، بل إنها تحمل أيضًا خداعًا قويًا بسبب مظهرها "الشرعي". ستقوم هذه المقالة من خلال تحليل حالات حقيقية، بكشف كيفية تحويل المحتالين للبروتوكولات إلى وسائط للاعتداء، وتقديم حلول شاملة تتراوح من الحماية التقنية إلى الوقاية السلوكية، لمساعدة المستخدمين على السير بأمان في عالم اللامركزية.

١. كيف تصبح الاتفاقيات أداة احتيال؟

البلوكتشين البروتوكول مصمم أساسًا لضمان الأمان والثقة، لكن المحتالين يستغلون بمهارة خصائصه، ويجمعونها مع إهمال المستخدمين، ليبتكروا العديد من أساليب الهجوم الخفية. إليك بعض الأساليب الشائعة وتفاصيلها الفنية:

(1) تفويض العقد الذكي الخبيث

المبدأ الفني: على بلوكتشين مثل الإيثريوم، يسمح معيار توكن ERC-20 للمستخدمين بتفويض طرف ثالث (عادةً ما يكون عقد ذكي) لسحب كمية محددة من التوكنات من محفظتهم من خلال دالة "Approve". تُستخدم هذه الوظيفة على نطاق واسع في بروتوكولات التمويل اللامركزي (DeFi)، حيث يحتاج المستخدمون إلى تفويض العقود الذكية لإتمام المعاملات أو الرهن أو تعدين السيولة. ومع ذلك، يستغل المحتالون هذه الآلية لتصميم عقود خبيثة.

طريقة العمل: المحتالون ينشئون تطبيقًا لامركزي (DApp) يتنكر كمشروع شرعي، وغالبًا ما يتم الترويج له من خلال مواقع الصيد أو وسائل التواصل الاجتماعي. يقوم المستخدمون بربط المحفظة ويتم إغواؤهم للنقر على "Approve"، والذي يبدو أنه يمنح تفويضًا لعدد قليل من الرموز، لكن في الواقع قد يكون بحدود غير محدودة (قيمة uint256.max). بمجرد اكتمال التفويض، يحصل عنوان عقد المحتال على الإذن، ويمكنه استدعاء دالة "TransferFrom" في أي وقت لسحب جميع الرموز المقابلة من محفظة المستخدم.

حالة: في بداية عام 2023، أدى موقع احتيالي متظاهر بأنه ترقية لـ DEX إلى خسارة مئات المستخدمين لعدة ملايين من الدولارات من العملات المستقرة والأصول الرقمية الرئيسية. تُظهر البيانات على البلوكتشين أن هذه المعاملات تتوافق تمامًا مع معيار ERC-20، ولا يستطيع الضحايا حتى استرداد أموالهم من خلال الوسائل القانونية، لأن التفويض تم التوقيع عليه طواعية.

(2) توقيع التصيد

مبادئ التقنية: تتطلب معاملات البلوكتشين من المستخدمين إنشاء توقيع باستخدام المفتاح الخاص لإثبات شرعية المعاملة. عادةً ما تظهر المحفظة طلب توقيع، وبعد تأكيد المستخدم، يتم بث المعاملة إلى الشبكة. يستغل المحتالون هذه العملية لتزوير طلبات التوقيع وسرقة الأصول.

كيفية العمل: يتلقى المستخدم بريدًا إلكترونيًا أو رسالة فورية مت disguised كإشعار رسمي، مثل "إيرادات NFT الخاصة بك في انتظار الاستلام، يرجى التحقق من المحفظة". بعد النقر على الرابط، يتم توجيه المستخدم إلى موقع ويب ضار يطلب توصيل المحفظة وتوقيع "صفقة التحقق". قد تكون هذه الصفقة في الواقع استدعاءً لدالة "Transfer"، مما ينقل مباشرة الأصول الرقمية من المحفظة إلى عنوان المحتال؛ أو قد تكون عملية "SetApprovalForAll"، مما يسمح للمحتال بالتحكم في مجموعة NFT الخاصة بالمستخدم.

حالة: تعرض مجتمع مشروع NFT معروف لهجوم تصيد توقيع، حيث فقد العديد من المستخدمين NFTs بقيمة ملايين الدولارات بسبب توقيعهم على معاملات "استلام الإيداع" المزورة. استغل المهاجمون معيار توقيع EIP-712، وقاموا بتزوير طلبات تبدو آمنة.

(3) رموز مزيفة و"هجمات الغبار"

مبادئ تقنية: تسمح شفافية البلوكتشين لأي شخص بإرسال الرموز إلى أي عنوان، حتى لو لم يطلب المستلم ذلك بشكل نشط. يستغل المحتالون هذه النقطة، من خلال إرسال كميات صغيرة من الأصول الرقمية إلى عدة عناوين محفظة، لتتبع نشاط المحافظ وربطها بالأفراد أو الشركات التي تمتلك المحافظ.

طريقة العمل: يبدأ المهاجم بإرسال "غبار" - إرسال كميات صغيرة من الأصول الرقمية إلى عناوين مختلفة، ثم يحاول تحليل العناوين التي تنتمي إلى نفس المحفظة. بعد ذلك، يستخدم المهاجم هذه المعلومات لشن هجمات تصيد على الضحايا أو التهديد بهم.

في معظم الحالات، يتم توزيع "الغبار" المستخدم في هجمات الغبار على شكل إيردروب إلى محافظ المستخدمين، وقد تحمل هذه الرموز أسماء جذابة أو بيانات وصفية، مما يحفز المستخدمين على زيارة موقع معين للاستعلام عن التفاصيل. عندما يرغب المستخدمون في تحويل هذه الرموز إلى نقود، يمكن للمهاجمين الوصول إلى محافظ المستخدمين من خلال عنوان العقد المرفق بالرموز. والأكثر خفاءً، أن هجمات الغبار تستخدم الهندسة الاجتماعية، وتحلل المعاملات اللاحقة للمستخدمين، لتحديد عناوين المحافظ النشطة للمستخدمين، مما يمكنهم من تنفيذ عمليات الاحتيال بشكل أكثر دقة.

حالة: ظهرت هجمات "رموز GAS" على شبكة الإيثيريوم، مما أثر على آلاف المحافظ. بعض المستخدمين تكبدوا خسائر في ETH وERC-20 بسبب فضولهم للتفاعل.

ثانياً، لماذا يصعب اكتشاف هذه الاحتيالات؟

نجحت هذه الاحتيالات إلى حد كبير لأنها تخفى داخل آليات البلوكتشين الشرعية، مما يجعل من الصعب على المستخدمين العاديين تمييز طبيعتها الخبيثة. تشمل الأسباب الرئيسية ما يلي:

1. تعقيد التكنولوجيا: كود العقد الذكي وطلبات التوقيع قد تكون معقدة وغير مفهومة للمستخدمين غير التقنيين. على سبيل المثال، قد تظهر طلب "Approve" كبيانات معقدة بالست عشري، مما يجعل من الصعب على المستخدمين فهم معناها.

2. الشرعية على البلوكتشين: جميع المعاملات مسجلة على البلوكتشين، وتبدو شفافة، ولكن الضحايا غالبًا ما يدركون عواقب التفويض أو التوقيع بعد فوات الأوان، وعندها تكون الأصول قد أصبحت غير قابلة للاسترداد.

3. الهندسة الاجتماعية: يستخدم المحتالون نقاط ضعف الإنسانية، مثل الجشع ("احصل على عملات رقمية مجانية كبيرة"), الخوف ("يجب التحقق من حسابك بسبب استثناء"), أو الثقة (يتنكرون كخدمة العملاء الرسمية).

4. التخفي المتقن: قد تستخدم مواقع التصيد URLs تشبه إلى حد كبير النطاقات الرسمية، وحتى تعزز الثقة من خلال شهادات HTTPS.

٣. كيف تحمي محفظة الأصول الرقمية الخاصة بك؟

في مواجهة هذه الاحتيالات التي تتزامن فيها الجوانب التقنية والنفسية، تحتاج حماية الأصول إلى استراتيجيات متعددة الطبقات. فيما يلي تدابير الحماية التفصيلية:

تحقق من وإدارة أذونات التفويض

• استخدم أداة التحقق من التفويض في متصفح البلوكتشين لفحص سجلات تفويض المحفظة.
• قم بإلغاء التفويضات غير الضرورية بانتظام، خاصةً التفويضات غير المحدودة للعناوين غير المعروفة.
• قبل كل تفويض، تأكد من أن DApp来自 مصدر موثوق.
• تحقق من قيمة "Allowance"، إذا كانت "غير محدودة" (مثل 2^256-1)، يجب إلغاءها على الفور.

تحقق من الرابط والمصدر

• أدخل عنوان URL الرسمي يدويًا، وتجنب النقر على الروابط في وسائل التواصل الاجتماعي أو البريد الإلكتروني.
• تأكد من استخدام الموقع لاسم النطاق وشهادة SSL الصحيحة (رمز القفل الأخضر).
• احذر من أخطاء الإملاء أو الأحرف الزائدة في النطاق.

استخدام المحفظة الباردة والتوقيع المتعدد

• قم بتخزين معظم الأصول في محفظة الأجهزة، واحتفظ بالاتصال بالإنترنت فقط عند الضرورة.
• بالنسبة للأصول الكبيرة، استخدم أدوات التوقيع المتعدد، واطلب تأكيد الصفقة من عدة مفاتيح، لتقليل مخاطر الخطأ الفردي.
• حتى إذا تم اختراق المحفظة الساخنة، تظل الأصول المخزنة في البرد آمنة.

تعامل بحذر مع طلبات التوقيع

• عند كل توقيع، اقرأ بعناية تفاصيل المعاملة في نافذة المحفظة.
• استخدم وظيفة "فك تشفير بيانات الإدخال" في متصفح البلوكتشين لتحليل محتوى التوقيع، أو استشر خبيرًا تقنيًا.
• لإنشاء محفظة مستقلة للعمليات عالية المخاطر، قم بتخزين كمية صغيرة من الأصول.

التعامل مع هجمات الغبار

• بعد استلام عملة غير معروفة، لا تتفاعل معها. قم بوضع علامة "بريد عشوائي" أو إخفائها.
• تأكيد مصدر الرمز من خلال متصفح البلوكتشين، إذا كان للإرسال بالجملة، فكن حذرًا للغاية.
• تجنب نشر عنوان المحفظة، أو استخدام عنوان جديد لإجراء عمليات حساسة.

الخاتمة

إن تنفيذ التدابير الأمنية المذكورة أعلاه يمكن أن يقلل بشكل كبير من مخاطر أن تصبح ضحية لخطط الاحتيال المتقدمة، لكن الأمان الحقيقي لا يعتمد فقط على التكنولوجيا. عندما تبني محفظة الأجهزة جدارًا ماديًا، وتوزع التوقيعات المتعددة المخاطر، فإن فهم المستخدم للمنطق التفويضي، والتأني في السلوك على السلسلة، هو ما يشكل آخر حصن ضد الهجمات. كل تحليل للبيانات قبل التوقيع، وكل مراجعة للسلطات بعد التفويض، هو قسم على السيادة الرقمية الخاصة.

في المستقبل، بغض النظر عن كيفية تطور التكنولوجيا، ستظل الخط الدفاعي الأساسية: تحويل الوعي بالأمان إلى عادة، وإقامة توازن بين الثقة والتحقق. في عالم البلوكتشين حيث الكود هو القانون، يتم تسجيل كل نقرة، وكل معاملة بشكل دائم، ولا يمكن تغييرها. لذلك، من الضروري البقاء يقظًا والتصرف بحذر.