هذه المقالة هي مراجعة سنوية أصلية لـ Web3 بواسطة Coinlive و SlowMist ؛ يرجى ذكر المصدر إذا كنت تنوي إعادة إنتاج المحتوى.
وفقًا لمستودع أرشيف SlowMist Hacked حول عدد حوادث القرصنة ، هناك ما مجموعه 295 حادثًا أمنيًا في عام 2022 وفقد ما يصل إلى 3.728 مليار دولار أمريكي. مقارنة بـ 9.795 مليار دولار أمريكي في عام 2021 ، هناك انخفاض بنسبة 62٪. ومع ذلك ، هذا لا يشمل الأصول المفقودة بسبب اضطراب السوق.
هناك ما لا يقل عن 245 حادثًا أمنيًا في أنظمة DeFi البيئية المختلفة والجسور عبر السلاسل و NFTs. علاوة على ذلك ، هناك أكثر من 10 و 11 و 5 و 24 حادثًا أمنيًا تتعلق بالبورصات والبلوكشين العامة والمحافظ وغيرها على التوالي.
في الوقت المناسب ، تحدث الهجمات بشكل متكرر في مايو وأكتوبر ، حيث وصلت إلى 38 حادثة. يشهد شهر مارس أكبر خسارة بمبلغ 700 مليون دولار أمريكي.
1) نظرة عامة على أمن النظام البيئي blockchain
سلاسل الكتل العامة
تعد البلوكشين العامة هي البنية الأساسية الأساسية في مجال Web3 ، وهي أيضًا واحدة من أكثر البنى التحتية تنافسية في هذا المجال. الحادث الأكثر إثارة للدهشة في عام 2022 ليس سوى حادثة تيرا. في 8 مايو 2022 ، ظهر سوق العملات الرقمية الأكثر انهيارًا تدميراً في التاريخ. تم تفريغ مبلغ ضخم قدره 285 مليون دولار أمريكي من العملة المستقرة الخوارزمية لشبكة Terra ، UST. أثار هذا سلسلة من ردود الفعل المتسلسلة ، حيث تعرض سعر عملة Terra الأصلية ، LUNA لانهيار نيزكي مفاجئ دون سابق إنذار. في يوم واحد فقط ، انخفضت القيمة السوقية لجهاز LUNA بنحو 40 مليار دولار أمريكي ، وانخفض النظام البيئي TVL إلى لا شيء تقريبًا. قد يكون هذا الحادث هو السبب في شتاء التشفير لعام 2022.
DeFi / الجسور المتقاطعة
وفقًا لإحصائيات DeFi Llama ، حتى نهاية ديسمبر ، بلغت القيمة الإجمالية المحجوبة لـ DeFi 39.8 مليار دولار أمريكي. هذا هو انخفاض بنسبة 75 ٪ على أساس سنوي. تأخذ Ethereum زمام المبادرة ، حيث استحوذت على 58.5 ٪ (23.3 مليار دولار أمريكي) من DeFi TVL. تتبع TRON عن كثب مع TVL بقيمة 4.3 مليار دولار أمريكي ، بينما حصلت BNB Chain (BNB) على 4.2 مليار دولار أمريكي. ومن المثير للاهتمام ، أنه في مايو 2022 ، كانت نسبة TVL الخاصة بشركة Ethereum في DeFi أقل بنسبة 35٪ ، في حين زادت نسبة TVL الخاصة بشركة TRON بنسبة 47٪.
وفقًا لإحصائيات SlowMist Hacked ، هناك ما لا يقل عن 90 حادثًا أمنيًا وقعت على BNBChain في عام 2022. ويبلغ إجمالي الخسائر الإجمالية حوالي 785 مليون دولار أمريكي ، لتحتل المرتبة الأولى في مقدار الخسائر على منصات منفصلة. على العكس من ذلك ، هناك أكثر من 50 حادثة أمنية حدثت على Ethereum ، حيث بلغ إجمالي الخسائر 528 مليون دولار أمريكي. هناك أيضًا سولانا التي تعرضت لحوالي 11 حادثًا أمنيًا ، مما أدى إلى خسارة ما مجموعه 196 مليون دولار أمريكي.
وفقًا لإحصاءات Dune Analytics ، تبلغ قيمة TVL لجسور سلسلة Ethereum 8.39 مليار دولار أمريكي ، والتي انخفضت بنسبة 31٪ مقارنة بالنصف الأول من العام. حاليًا ، تمتلك Polygon Bridges أعلى TVL (3 مليارات دولار أمريكي). المرتبة الثانية هي Arbitrum Bridges (1.28 مليار دولار أمريكي) ، تليها Optimism Bridges (850 مليون دولار أمريكي). تسمح الجسور عبر السلاسل للمستخدمين بنقل أصولهم المشفرة من سلسلة إلى أخرى ، وذلك بشكل أساسي لحل مشكلة التحجيم متعدد السلاسل. ومع ذلك ، فإن العقود الذكية للجسر المتقاطع تجذب انتباه المتسللين نظرًا لكميتها الكبيرة من الأموال بالإضافة إلى افتقارها إلى عمليات تدقيق الأمان.
في عام 2022 ، شكلت الحوادث الأمنية في الجسور عبر السلاسل 15 حالة وفقًا لإحصاءات SlowMist Hacked. بلغت الخسائر 1.21 مليار دولار أمريكي ، مما يمثل 32.45٪ من إجمالي الخسائر في عام 2022.
في الختام ، بالنسبة للمشاريع ، إذا كانوا يرغبون في القضاء على نقاط الضعف وتقليل المخاطر الأمنية قدر الإمكان ، فعليهم العمل بفعالية على تحقيقها - قبل بدء المشروع ، قم بإجراء عمليات تدقيق أمنية شاملة ومتعمقة. في الوقت نفسه ، يُنصح بأن تعزز المشاريع حماية أصولها من خلال آلية متعددة التوقيعات. عند التفاعل بين البروتوكولات أو رموز النقل ، تحتاج المشاريع إلى فهم إطار عمل العقد المنقولة بشكل كاف بالإضافة إلى تصميم إطار عمل المشروع الخاص بها. إذا كان كلا البروتوكولين متوافقين ، فسيكون ذلك كافيًا لمنع حدوث أي مواقف تؤدي إلى خسائر مالية. بالنسبة للمستخدمين ، نظرًا لتنوع طرق اللعب باستخدام blockchain ، يجب على المستخدمين أن يفهموا بعناية خلفية المشروع قبل الشروع في الاستثمار. قبل المشاركة في أي مشروع ، كن يقظًا ولاحظ مخاطر المشروع ، وتحقق مما إذا كان المشروع مفتوح المصدر وخاضعًا للتدقيق.
NFT
أداء NFTs في عام 2022 لافت للنظر للغاية. وفقًا لإحصاءات NFTScan ، بلغ إجمالي عدد الصفقات هذا العام لـ NFTs لشركة Ethereum 198 مليونًا. من الواضح أن هذا أعلى من بيانات عامي 2020 و 2021. بلغ عدد صفقات NFT على BNBChain 345 مليون في السنة ، بينما بلغ عدد صفقات Polygon's NFT 793 مليار.
من ناحية أخرى ، وفقًا لإحصائيات SlowMist Hacked غير المكتملة ، كان هناك 56 حادثًا أمنيًا على جانب NFT من الأشياء. تجاوز مجموع الخسائر 654.3 مليون دولار أمريكي ، حيث تُعزى الغالبية العظمى إلى هجمات التصيد الاحتيالي التي تشغل 40٪ من الحالات (22 حالة). ثانيًا ، تستحوذ عمليات سحب البساط على 21٪ من الحالات في 12 حادثة.
محافظ / مبادلات
في 8 فبراير ، أعلنت وزارة العدل الأمريكية (DOJ) أنها تمكنت من استرداد ما قيمته 3.6 مليار دولار من عملات البيتكوين. ترتبط عملات البيتكوين هذه بحادثة القرصنة التي حدثت لتبادل العملات المشفرة ، Bitfinex في عام 2016. تم القبض على إيليا ليشتنشتاين البالغ من العمر 34 عامًا وزوجته هيذر مورغان البالغة من العمر 31 عامًا في نيويورك ، وكلاهما متهم بالتآمر للارتكاب غسيل الأموال والاحتيال. كما أنها أكبر مصادرة مالية من قبل وزارة العدل الأمريكية في التاريخ.
في 6 نوفمبر ، نشر مؤسس Binance ، CZ على Twitter قراره بتصفية جميع FTT المتبقية في دفاترهم ، مما أدى إلى مواجهة بين البورصتين الرئيسيتين. على الرغم من الرئيس التنفيذي لشركة Alameda والمدير التنفيذي لشركة FTX ، تحاول SBF تثبيت ثقة المستخدمين ودحض الأخبار التي تم الكشف عنها سابقًا بسلسلة من التغريدات. ومع ذلك ، لا يزال يتسبب في جفاف مجمع السيولة الخاص بشركة FTX ، مما أدى إلى إفلاسها. انهارت FTX في النهاية وتم القبض على SBF. أدى الافتقار إلى الشفافية إلى أزمة ثقة بين المستخدمين تجاه التبادلات المركزية ، مما يسلط الضوء على مشكلة الافتقار إلى التنظيم التحوطي. بغض النظر عما إذا كان الأمر أكثر حرصًا على حماية المستهلكين أو قواعد أوضح فيما يتعلق بالمؤسسات ، فإن وتيرة اللوائح ستكون أكثر وضوحًا.
بعد انهيار FTX ، ارتفعت مبيعات محافظ الأجهزة. المحفظة التي تضم معظم المستخدمين ، وصل عدد المستخدمين النشطين شهريًا لـ MetaMask إلى 300 مليون. وفقًا لإحصائيات Finbold ، استنادًا إلى أفضل 21 تطبيقًا لتخزين العملات المشفرة ، كان هناك 102 مليون عملية تنزيل لمحافظ التشفير على كل من Android و iOS بين يناير وأكتوبر 2022. على الرغم من أن هذه البيانات أقل من عدد التنزيلات في السوق الهابطة في 2021 عند 188 مليون ، فهو لا يزال أعلى من أي عام آخر. تكشف الإحصائيات الشهرية أن عدد مرات تنزيل محافظ العملات المشفرة في بداية العام يواجه انخفاضًا. ومع ذلك ، بعد انهيار Terra / LUNA وكذلك انهيار FTX ، شهدوا زيادة كبيرة.
آحرون
إن عدم رجوع تكنولوجيا blockchain وعدم الكشف عن هويته لا يحمي الخصوصية بشكل فعال فحسب ، بل يوفر أيضًا "مظلة واقية" للجرائم الإلكترونية. مع انتشار مفاهيم مثل metaverse و NFT ، تحدث سرقة العملات المشفرة والاحتيال أحيانًا. يرسل العديد من المجرمين "أصول تشفير" متخفية في هيئة blockchain لارتكاب الاحتيال. إن التقدم والاحتراف في مثل هذه الإنتاجات يتجاوزان خيالنا.
وفقًا لبيانات من إدارة الدفع والتسوية في بنك الشعب الصيني ، من بين طرق الدفع للمدفوعات الاحتيالية في عام 2021 ، يأتي استخدام العملة المشفرة في المرتبة الثانية بعد التحويلات المصرفية ، حيث تبلغ 750 مليون دولار أمريكي. بينما في عامي 2020 و 2019 ، كان 180 دولارًا أمريكيًا و 30 مليون دولار أمريكي فقط على التوالي. الاتجاه في النمو السنوي واضح. الجدير بالذكر أن تحويلات العملات المشفرة في عمليات الاحتيال الرومانسية آخذة في الارتفاع بسرعة. في إجمالي المبلغ الذي تم احتياله من عمليات الاحتيال الرومانسية في عام 2021 ، يتم دفع 139 مليون دولار أمريكي عبر العملات المشفرة ، وهو ما يعادل 5 و 25 ضعفًا في عامي 2020 و 2019 على التوالي.
وفقًا لتقرير صادر عن لجنة التجارة الفيدرالية الأمريكية (FTC) ، كان هناك بالفعل أكثر من 46000 شخص أبلغوا عن تعرضهم لعملية احتيال على العملات المشفرة ، أي منذ أكثر من عام بقليل منذ بداية عام 2021. تجاوز إجمالي الخسائر مليار دولار أمريكي. وفقًا للتقرير ، يرتبط النوع الأكثر شيوعًا من عمليات الاحتيال المتعلقة بالعملات المشفرة بالاستثمارات ، حيث تستحوذ على 575 مليار دولار أمريكي من إجمالي 1 مليار دولار أمريكي. أكثر طرق الدفع شيوعًا للمحتالين تشمل BTC (70٪) و USDT (10٪) و ETH (9٪).
2) طريقة الهجوم
في 295 حادثًا أمنيًا ، يمكن تصنيف طريقة الهجوم إلى 3 أنواع رئيسية: 1) الهجمات بسبب عيوب التصميم الخاصة بالمشروع بالإضافة إلى نقاط الضعف المختلفة في العقد ، 2) أنواع الاحتيال مثل عمليات سحب البساط والتصيد الاحتيالي والأساليب ، 3) خسائر الأصول بسبب تسرب المفتاح الخاص.
الطريقة الأكثر شيوعًا للهجوم في عام 2022 ناتجة عن عيوب تصميم المشروع بالإضافة إلى نقاط الضعف المختلفة في العقد. هناك ما يقرب من 92 حالة من هذه الحالات ، مما أدى إلى خسارة إجمالية قدرها 1.06 مليار دولار أمريكي وشكلت 40.5 ٪ من جميع الهجمات. ويعود السبب الرئيسي لمثل هذه الهجمات إلى القروض العاجلة ، حيث شملت حوالي 19 حالة خسر فيها إجمالي 613.3 مليون دولار أمريكي. تشمل الأسباب الأخرى عمليات إعادة الدخول والتلاعب بالأسعار ومشكلات التحقق وما إلى ذلك.
تبلغ احتمالية خسائر الأصول بسبب تسريبات المفتاح الخاص حوالي 6٪ ، لكن إجمالي الخسائر يصل إلى 746 مليار دولار أمريكي. في المرتبة الثانية بعد عمليات الاستغلال بسبب نقاط ضعف العقد ، جاءت أكبر الخسائر بسبب سرقة المفاتيح الخاصة من حادثة رونين ، ثم تلتها شركة هارموني. كانوا جميعًا من جسور متقاطعة.
في عالم Web3 ، غالبًا ما يختلف الوعي الأمني لدى المستخدمين ، مما يؤدي إلى عدد كبير من هجمات التصيد الاحتيالي المتنوعة والمتكررة ضد المستخدمين. على سبيل المثال ، يستخدم المهاجمون وسائل ضارة للاستيلاء على منصات التواصل الاجتماعي الرسمية للمشروعات (مثل Discord و Twitter) ، أو التنكر كحساباتهم الرسمية على وسائل التواصل الاجتماعي. سيقومون بعد ذلك بنشر روابط تصيد احتيالي من أجل النعناع والإسقاط الجوي ، وفي بعض الأحيان يعيدون نشر الحسابات الرسمية الحقيقية لإرباك المستخدمين. على سبيل المثال ، استخدام الإعلانات على محركات البحث للترويج لمواقع ويب مزيفة أو اسم مجال ومحتوى مشابه إلى حد كبير للموقع الرسمي لجعله قابلاً للتصديق. يتضمن ذلك إنشاء محاكاة لرسائل البريد الإلكتروني الخاصة بهم ، وتقديم هدايا جذابة لجعل المستخدمين يقعون في فخهم. تشمل الأمثلة الأخرى استخدام افتقار المستخدمين الجدد إلى المعلومات لتقديم روابط تنزيل تطبيقات مزيفة. مهما كان الأمر ، فإن الأهم هو زيادة شعورك بالوعي. في الوقت نفسه ، إذا اكتشفت أنك وقعت في فخهم ، فقم بنقل أصولك على الفور لمنع أي خسائر في الوقت المناسب ، وكذلك للاحتفاظ بالأدلة. اطلب المساعدة من المؤسسات الأمنية في الصناعة إذا لزم الأمر.
أسوأ حالة تأتي من شد البساط. عادةً ما يشير Rug pulls إلى عندما يتخلى المؤسس عن مشاريعه ، ويهرب بالأموال. في كثير من الأحيان يكون للمشروع نوايا سيئة. يمكن أن يحدث شد البساط بعدة طرق. على سبيل المثال ، عندما يبدأ المطور سيولة أولية ، يرفع الأسعار. بعد ذلك ، سيقومون بسحب السيولة وإنشاء مشروع تشفير. من خلال وسائل التسويق المختلفة ، سوف يجتذبون مستخدمي العملات المشفرة للاستثمار ، وأيضًا اختيار الوقت المناسب لسحب الأموال الاستثمارية من المستخدمين دون سابق إنذار. سيشرعون في بيع أصول التشفير هذه ويختفون في النهاية ، وسيعاني المستخدمون الذين استثمروا في المشروع بعد ذلك من خسائر فادحة. مثال آخر هو أنهم أطلقوا موقعًا على شبكة الإنترنت ، لكنهم أغلقوا بعد تلقي أكثر من عشرات الآلاف من الإيداعات. في عام 2022 وحده ، كان هناك 50 حالة لسحب البساط ، مما أدى إلى خسارة 188 مليار دولار أمريكي. هم الأكثر شيوعًا في النظام البيئي BSC وبين NFTs.
تتضمن الأساليب الجديدة في عام 2022 الهجمات الخبيثة الأمامية وهجمات DNS واختطاف BGP. الحالة الأكثر غرابة هي خسائر الأصول بسبب التكوين البشري والأخطاء التشغيلية.
3) تقنيات التصيد / الاحتيال
يكشف هذا المقطع فقط عن تقنيات تصيد / احتيال محددة كشفت عنها SlowMist.
الإشارات المرجعية لمستعرض الويب الخبيثة تسرق الرموز المميزة لـ Discord
تمتلك جميع المتصفحات في الوقت الحاضر مدير إشارات مرجعية خاص بها ، ولكن مع توفير الراحة ، فهي أيضًا هدف سهل للمهاجمين. من خلال صفحة تصيد تم إنشاؤها بشكل ضار ، يمكنه إدراج رمز JavaScript في الإشارات المرجعية المحفوظة. مع ذلك ، يمكنه فعل أي شيء بشكل أساسي ، بما في ذلك الحصول على المعلومات من خلال حزمة الواجهة الأمامية webpackChunkdiscord_app بواسطة Discord. عندما ينقر مستخدمو Discord عليه ، سيبدأ تنفيذ شفرة JavaScript الضارة داخل نطاق Discord الخاص بالمستخدم. سوف يسرق رمز Discord الخاص بك ، وبعد ذلك ، يمكن للمهاجم مباشرة وبشكل تلقائي تولي الأذونات ذات الصلة المتعلقة بحساب Discord لإدارة المشاريع. يشبه تلقي رمز Discord المميز تسجيل الدخول إلى حساب Discord. يمكن أن يفعل كل ما يمكن أن يفعله الحساب الذي تم تسجيل الدخول إليه ، مثل إنشاء برنامج ويب للخطاف على الويب على Discord ، وإجراء التصيد الاحتيالي لنشر إعلانات مزيفة في قناة. يوضح ما يلي قيام الضحية بالنقر فوق إشارة التصيد الاحتيالي:
يوضح ما يلي رمز جافا سكريبت الذي كتبه المهاجم الذي يتلقى الرمز المميز والمعلومات الشخصية للضحية. يتم استلامه من خلال خطاف الويب الخاص بخادم Discord.
كما هو موضح ، نظرًا لأن المستخدم قد قام بتسجيل الدخول إلى الويب Discord وبافتراض أن الضحية قد حفظ بالفعل الإشارة المرجعية الضارة من صفحة التصيد الاحتيالي ، فسيؤدي ذلك إلى تشغيل الشفرة الضارة عند تسجيل الدخول إلى Discord web والنقر فوق الإشارة المرجعية. وبالتالي ، سيتم إرسال رمز الضحية والمعلومات الشخصية الأخرى إلى قناة المهاجم عبر خطاف الويب Discord الذي تم إعداده بواسطة المهاجم.
أمر وهمي NFT التصيد الاحتيالي
مثالاً على موقع التصيد الاحتيالي التالي ، يتكون محتوى التوقيع من:
Maker: عنوان المستخدم
آخذ: 0xde6135b63decc47d5a5d47834a7dd241fe61945a
التبادل: 0x7f268357A8c2552623316e2562D90e642bB538E5 (عنوان عقد OpenSea V2)
هذا أسلوب تصيد شائع باستخدام NFT ، حيث يمكن للمحتالين شراء جميع NFTs التي تمتلكها مقابل 0ETH (أو أي عملة أخرى). هذا يعني أن هذا الأمر يخدع المستخدم ليوقع على بيع NFT الخاص به. بمجرد أن يوقع المستخدم على هذا الأمر ، يمكن للمخادع شراء NFT مباشرة من خلال OpenSea. ولكن يتم تحديد السعر الذي يشترون به من قبل المحتال ، مما يعني أن المحتال يمكنه "شراء" NFTs للمستخدم دون إنفاق سنت واحد.
بالإضافة إلى ذلك ، يتم تخزين التوقيع بشكل أساسي بواسطة المهاجم. لا يمكن إبطال صلاحيتها عبر مواقع الويب مثل Revoke.Cash أو Etherscan ، من أجل إلغاء ترخيص التوقيع. ومع ذلك ، يمكنه إلغاء سلطتك في قائمة الطلبات ، مما قد يمنع مخاطر التصيد الاحتيالي هذه من المشكلة الجذرية.
Redline Stealer حصان طروادة
تمر مثل هذه الهجمات عبر Discord لدعوة المستخدمين للمشاركة في اختبار تجريبي لمشروع لعبة جديد. متنكرا في شكل "تقديم خصومات" ، محادثات خاصة من مجموعة أو مثل هذه الأساليب لإرسال برنامج لك لتنزيله. عادةً ما يرسلون ملفًا مضغوطًا يستخرج ما يقرب من 800 ميجا بايت من ملفات exe. بمجرد تشغيله على جهازك ، سيقوم بمسح جميع الملفات وتصفية الملفات التي تتكون من كلمة "wallet" وغيرها من الكلمات الرئيسية ذات الصلة. سيتم بعد ذلك تحميله على خادم المهاجم وسيحققون غرضهم في سرقة العملة المشفرة.
Redline Stealer هو حصان طروادة ضار يُباع بشكل منفصل في المنتديات السرية ، تم اكتشافه في مارس 2020. يجمع هذا البرنامج الضار معلومات مثل بيانات الاعتماد المحفوظة والبيانات المكتملة تلقائيًا وكذلك بطاقات الائتمان من المتصفح. أضاف الإصدار الجديد من Redline القدرة على سرقة العملة المشفرة ، والتي يمكنها مسح معلومات محفظة العملة المشفرة المثبتة بالفعل تلقائيًا. بعد ذلك ، سيتم تحميله على جهاز يتم التحكم فيه عن بُعد. هذه البرامج الضارة لديها القدرة على تحميل الملفات وتنزيلها ، وتنفيذ الأوامر ، بالإضافة إلى إعادة إرسال المعلومات بشكل دوري حول الجهاز المصاب. غالبًا ما يهاجم الدلائل المتعلقة بمحفظة العملات المشفرة ، ويقوم بإجراء عمليات مسح في ملفات المحفظة:
تحقق فارغًا من تصيد eth_sign
بعد توصيل محفظتك والنقر على "مطالبة" ، ستظهر نافذة منبثقة تطلب توقيعك. في نفس الوقت ، سيعرض MetaMask تذكير تحذير أحمر. ومع ذلك ، من المستحيل معرفة ما يطلبه طلب التوقيع هذا بالضبط من هذه النافذة المنبثقة. هذا في الواقع نوع خطير من التوقيع ، حيث يكون في الأساس "شيكًا فارغًا" من Ethereum. من خلال هذا التصيد الاحتيالي ، يمكن للمحتالين استخدام مفتاحك الخاص لإجراء أي معاملة.
يمكن لطريقة eth_sign هذه توقيع أي تجزئة. وبطبيعة الحال ، يمكن أن توقع بايت 32 بعد. لذلك ، يحتاج المهاجمون فقط إلى dApp الذي نتصل به من أجل الحصول على عنواننا وتحليل حسابنا والاستعلام عنه. يمكن أن يؤدي ذلك إلى إنشاء أي بيانات (على سبيل المثال ، عمليات نقل الرموز الأصلية ، استدعاء عقد) ببساطة عن طريق التوقيع على eth_sign.
نوع آخر من التصيد الاحتيالي هو أنك إذا رفضت التوقيع المذكور أعلاه ، فسوف يعرض تلقائيًا نافذة منبثقة أخرى للتوقيع في MetaMask الخاص بك ، مما يخدعك للتوقيع بينما تخذل حذرك. بعد تلقي معلومات التوقيع الخاصة بك ، باستخدام طريقة SetApprovalForAll ، ستتغير إلى "All of your NFT" ضمن "الأصل المعتمد". هذا يعني أنه بمجرد التوقيع ، سيتمكن المحتالون من سرقة جميع NFTs دون قيود.
هذا النوع من أساليب التصيد محير للغاية للمستخدمين. في السابق ، عند مواجهة التصيد الاحتيالي للحصول على إذن ، ستعرض MetaMask لنا بشكل موضوعي البيانات لإعلامنا بأن المهاجم يريد منا التوقيع. ومع ذلك ، عندما يستخدم المهاجمون طريقة eth_sign لحث المستخدمين على التوقيع ، يظهر لنا MetaMask سلسلة من تجزئة بايت 32 فقط.
نفس كود النهاية + عملية احتيال التحويل من الصفر
تحت سجل معاملات المستخدم ، ستظهر باستمرار عناوين غير معروفة تنقل 0USDT. يتم إكمال هذه المعاملة أيضًا عبر وظيفة TransferFrom. ويرجع ذلك أساسًا إلى أنه في عقد الرمز المميز ، لا تفرض وظيفة TransferForm أن مبلغ التحويل المصرح به يجب أن يكون أكثر من 0. ومن ثم ، يمكن إجراء تحويل 0USDT بنجاح دون تفويض من حساب المستخدم. يستغل المهاجمون الضارون هذا الشرط لاستهداف المستخدمين النشطين في السلسلة باستمرار لبدء TransferFrom. وبالتالي ، سيؤدي ذلك إلى بدء حدث التحويل.
بخلاف المضايقات من خلال عمليات التحويل 0USDT ، تكون مصحوبة بمهاجمين يستهدفون المستخدمين الذين يتداولون بشكل متكرر وعلى نطاق واسع. سوف يقومون بإسقاط كميات صغيرة من العملات الرمزية باستمرار ، مثل 0.01USDT أو 0.001USDT. ستكون نهاية عنوان المهاجم مطابقة تقريبًا لعنوان المستخدم. في كثير من الأحيان ، عندما يقوم المستخدمون بنسخ العناوين من سجل معاملاتهم ، فإنهم يقومون بالنسخ بشكل خاطئ ، مما يؤدي إلى فقدان أموالهم.
ما ورد أعلاه هو مجرد مثال لبعض أساليب الهجوم والمواقف الشائعة. في الواقع ، يجد المتسللون والمهاجمون باستمرار طرقًا جديدة للتغلب على أي موقف. لذلك ، سيبتكرون دائمًا طرقًا جديدة ، ومن ناحيتنا ، ما يتعين علينا فعله هو دائمًا اكتساب المعرفة باستمرار.
بالنسبة للمستخدمين الأفراد ، يمكنهم تجنب معظم المخاطر من خلال الالتزام بقواعد وأنظمة السلامة التالية:
قاعدتا السلامة الرئيسيتان:
- ثقة معدومة. ببساطة ، كن حذرًا دائمًا وحافظ على الحذر طوال الوقت.
- التحقق المستمر. إذا كنت تريد أن تصدق ، يجب أن تكون قادرًا على التحقق من شكوكك وجعل هذه القدرة عادة.
لوائح السلامة:
- يجب دائمًا الرجوع إلى المعرفة على الإنترنت مع مرجعين آخرين. ثبِّت عليهم وابقوا دائمًا متشككين.
- اعزل جيدًا ، بمعنى لا تضع كل بيضك في سلة واحدة.
- بالنسبة للمحافظ ذات الأصول المهمة ، لا تقم بتحديثها بشكل عرضي ، فهذا يكفي إذا كانت كافية.
- ما تراه هو ما توقعه. حتى لو كان ما تراه هو ما يُتوقع منك التوقيع عليه ، فبمجرد التوقيع عليه ، يجب أن يكون ما سيحدث بعد ذلك شيئًا متوقعًا.
- انتبه لتحديثات أمان النظام. بمجرد وجود تحديثات أمنية جديدة ، تصرف عليها على الفور.
- لا تتسرع في تنزيل أي برنامج.
مع ذلك ، أوصي بشدة بقراءة وإتقان دليل Blockchain Dark Forest Selfguard من SlowMist.