تحذير من أمان البلوكتشين: العقود الذكية كالسيف ذي الحدين

تقوم العملات المشفرة وتقنية البلوكتشين بإعادة تشكيل تعريف الحرية المالية، ولكن هذه الثورة جلبت أيضًا مخاطر جديدة. لم يعد المحتالون مقيدين باستغلال ثغرات تقنية، بل قاموا بتحويل بروتوكولات العقود الذكية للبلوكتشين نفسها إلى أدوات هجوم. من خلال فخاخ الهندسة الاجتماعية المصممة بعناية، يستخدمون شفافية البلوكتشين وعدم قابليته للتغيير لتحويل ثقة المستخدمين إلى أدوات لسرقة الأصول. من العقود الذكية المزورة إلى التلاعب بالمعاملات عبر السلاسل، هذه الهجمات ليست فقط خفية وصعبة الاكتشاف، ولكنها أيضًا أكثر خداعًا بسبب مظهرها "المشروع". ستقوم هذه المقالة من خلال تحليل حالات فعلية، بكشف كيف يحول المحتالون البروتوكولات إلى وسائل هجوم، وتقديم حلول شاملة من الحماية التقنية إلى الوقاية السلوكية، لمساعدة المستخدمين على السير بأمان في عالم اللامركزية.

1. كيف أصبحت الاتفاقيات القانونية أدوات احتيال؟

البلوكتشين بروتوكول كان في الأصل يهدف إلى ضمان الأمان والثقة، لكن المحتالين استغلوا ميزاته، مع جمعها بإهمال المستخدمين، لإنشاء طرق هجوم خفية متعددة. فيما يلي بعض الأساليب الشائعة وتفاصيلها التقنية:

(1) تفويض العقود الذكية الخبيثة

مبدأ التقنية:

على البلوكتشين مثل الإيثيريوم، يسمح معيار ERC-20 للعملاء بتفويض طرف ثالث (عادةً ما يكون عقدًا ذكيًا) لسحب كمية محددة من الرموز من محفظتهم من خلال وظيفة "Approve". يتم استخدام هذه الوظيفة على نطاق واسع في بروتوكولات DeFi، حيث يحتاج المستخدمون إلى تفويض العقود الذكية لإتمام المعاملات أو الرهن أو تعدين السيولة. ومع ذلك، يستغل المحتالون هذه الآلية لتصميم عقود خبيثة.

كيفية العمل:

يقوم المحتالون بإنشاء تطبيقات لامركزية تتنكر كمشاريع شرعية، وغالبًا ما يتم الترويج لها من خلال مواقع التصيد أو وسائل التواصل الاجتماعي. يقوم المستخدمون بربط محافظهم ويُستدرجون للنقر على "Approve"، والذي يبدو ظاهريًا كإذن لعدد قليل من الرموز، ولكن في الواقع قد يكون بمقدار غير محدود (قيمة uint256.max). بمجرد اكتمال التفويض، يحصل عنوان عقد المحتالين على الإذن، ويمكنه استدعاء وظيفة "TransferFrom" في أي وقت لسحب جميع الرموز المقابلة من محفظة المستخدم.

حالة حقيقية:

في أوائل عام 2023، أدى موقع تصيد متخفي ك"ترقية Uniswap V3" إلى خسارة مئات المستخدمين لملايين الدولارات من USDT وETH. تُظهر بيانات السلسلة أن هذه المعاملات تتوافق تمامًا مع معيار ERC-20، ولا يستطيع الضحايا حتى استرداد أموالهم من خلال الوسائل القانونية، لأن التفويض تم توقيعه طواعية.

(2) توقيع الصيد

مبادئ التكنولوجيا：

تتطلب معاملات البلوكتشين من المستخدمين إنشاء توقيع باستخدام المفتاح الخاص لإثبات شرعية المعاملة. عادة ما تقفز المحفظة لطلب التوقيع، وبعد تأكيد المستخدم، يتم بث المعاملة إلى الشبكة. يستغل المحتالون هذه العملية لتزوير طلبات التوقيع وسرقة الأصول.

طريقة العمل:

يتلقى المستخدم رسالة بريد إلكتروني أو رسالة مُتظاهرة بأنها إشعار رسمي، مثل "تستعد لاستلام NFT الخاص بك، يرجى التحقق من المحفظة". بعد النقر على الرابط، يتم توجيه المستخدم إلى موقع ضار، يطلب منه ربط المحفظة وتوقيع "معاملة التحقق". هذه المعاملة قد تكون في الواقع استدعاء لدالة "Transfer"، مما يؤدي إلى نقل ETH أو الرموز مباشرة من المحفظة إلى عنوان المحتال؛ أو قد تكون عملية "SetApprovalForAll"، مما يُخول المحتال السيطرة على مجموعة NFT الخاصة بالمستخدم.

حالات حقيقية:

تعرضت إحدى المجتمعات لمشروع NFT معروف لهجوم تصيد توقيع، حيث فقد العديد من المستخدمين NFTs بقيمة عدة ملايين دولار بسبب توقيعهم على معاملات "استلام التوزيع المجاني" المزيفة. استغل المهاجمون معيار توقيع EIP-712، وقاموا بتزوير طلبات تبدو آمنة.

(3) الرموز الوهمية و"هجوم الغبار"

المبادئ التقنية:

تسمح شفافية البلوكتشين لأي شخص بإرسال الرموز إلى أي عنوان، حتى لو لم يطلب المستلم ذلك بنشاط. يستغل المحتالون هذه النقطة عن طريق إرسال كميات صغيرة من العملات المشفرة إلى عدة عناوين محفظة، لتتبع نشاط المحفظة وربطها بالأفراد أو الشركات المالكة للمحفظة.

كيفية العمل:

يُرسل المهاجمون كميات صغيرة من العملات المشفرة إلى عناوين مختلفة، ثم يحاولون معرفة أي من هذه العناوين ينتمي إلى نفس المحفظة. في معظم الحالات، يتم توزيع هذه "الغبار" على شكل إيردروب إلى محافظ المستخدمين، وقد تحمل أسماء مغرية أو بيانات وصفية. قد يحاول المستخدمون استرداد هذه الرموز، مما يسمح للمهاجمين بالوصول إلى محفظة المستخدم من خلال عنوان العقد المرفق بالرموز. الأكثر خفاءً، يقوم المهاجمون من خلال الهندسة الاجتماعية، بتحليل المعاملات اللاحقة للمستخدم، لتحديد عنوان المحفظة النشطة للمستخدم، مما يسمح بتنفيذ عمليات احتيال أكثر دقة.

حالات حقيقية:

ظهرت هجمات "رموز الغاز" للغبار على شبكة الإيثيريوم ، مما أثر على الآلاف من المحافظ. خسر بعض المستخدمين ETH ورموز ERC-20 بسبب فضولهم للتفاعل.

ثانياً، لماذا يصعب اكتشاف هذه الاحتيالات؟

تنجح هذه الاحتيالات إلى حد كبير لأنها مخفية داخل آليات البلوكتشين القانونية، مما يجعل من الصعب على المستخدمين العاديين التمييز بين طبيعتها الخبيثة. فيما يلي بعض الأسباب الرئيسية:

• تعقيد التكنولوجيا: كود العقود الذكية وطلبات التوقيع قد تكون غامضة وصعبة الفهم للمستخدمين غير التقنيين. على سبيل المثال، قد تظهر طلب "Approve" كسلسلة من البيانات الست عشرية، مما يجعل من الصعب على المستخدمين فهم معناها بشكل مباشر.

• الشرعية على البلوكتشين: يتم تسجيل جميع المعاملات على البلوكتشين، ويبدو أنها شفافة، لكن الضحايا غالبًا ما يدركون عواقب التفويض أو التوقيع لاحقًا، وعند هذه النقطة لا يمكن استرداد الأصول.

• الهندسة الاجتماعية: يستغل المحتالون نقاط ضعف الطبيعة البشرية، مثل الجشع، والخوف، أو الثقة. على سبيل المثال، يعدون بـ"استلام رموز ضخمة مجانًا" أو يدّعون أن "الحساب غير طبيعي ويحتاج إلى التحقق".

• **التنكر المتقن: ** قد تستخدم مواقع التصيد URLs تشبه إلى حد كبير الاسم الرسمي للنطاق، وحتى تستخدم شهادات HTTPS لزيادة المصداقية.

٣. كيف تحمي محفظة عملاتك المشفرة؟

في مواجهة هذه الاحتيالات التي تتواجد فيها الحروب النفسية والتقنية، يتطلب حماية الأصول استراتيجيات متعددة المستويات. فيما يلي تدابير الوقاية المفصلة:

تحقق من وإدارة أذونات التفويض

• استخدم أداة فحص التفويض في متصفح البلوكتشين لمراجعة سجلات تفويض المحفظة بشكل دوري.
• إلغاء التفويضات غير الضرورية، خاصةً التفويضات غير المحدودة للعناوين غير المعروفة.
• تأكد من أن DApp يأتي من مصدر موثوق قبل كل تفويض.
• تحقق من قيمة "Allowance"، إذا كانت "غير محدودة" (مثل 2^256-1)، يجب إلغاؤها على الفور.

تحقق من الرابط والمصدر

• أدخل عنوان URL الرسمي يدويًا، وتجنب النقر على الروابط في وسائل التواصل الاجتماعي أو البريد الإلكتروني.
• تأكد من أن الموقع يستخدم اسم النطاق وشهادة SSL الصحيحة.
• احذر من الأخطاء الإملائية أو الأحرف الزائدة في أسماء النطاقات.

استخدام محفظة باردة وتوقيع متعدد

• قم بتخزين معظم الأصول في محفظة الأجهزة، وتوصيل الشبكة فقط عند الضرورة.
• بالنسبة للأصول الكبيرة، استخدم أدوات التوقيع المتعدد، ويتطلب تأكيد الصفقة من عدة مفاتيح.
• حتى لو تم اختراق المحفظة الساخنة، ستظل الأصول المخزنة في التخزين البارد آمنة.

تعامل بحذر مع طلبات التوقيع

• اقرأ تفاصيل المعاملة في نافذة المحفظة بعناية في كل مرة تقوم فيها بالتوقيع.
• استخدم وظيفة فك التشفير في متصفح البلوكتشين لتحليل محتوى التوقيع، أو استشر خبراء التقنية.
• لإنشاء محفظة مستقلة للعمليات عالية المخاطر، قم بتخزين كمية صغيرة من الأصول فقط.

مواجهة هجوم الغبار

• عند استلام رموز غير معروفة، لا تتفاعل معها. قم بتمييزها ك"نفايات" أو إخفائها.
• تأكيد مصدر الرمز المميز من خلال متصفح البلوكتشين، وإذا كان الإرسال بكميات كبيرة، يجب أن تكون حذرًا للغاية.
• تجنب الكشف عن عنوان المحفظة، أو استخدم عنوانًا جديدًا لإجراء العمليات الحساسة.

خاتمة

يمكن أن يقلل تنفيذ تدابير الأمان المذكورة أعلاه بشكل كبير من خطر أن تصبح ضحية لخطط الاحتيال المتقدمة، لكن الأمن الحقيقي لا يعتمد فقط على التكنولوجيا. عندما تشكل محافظ الأجهزة خط دفاع مادي، وتوزع التوقيعات المتعددة مخاطر التعرض، فإن فهم المستخدم لآلية التفويض، وحرصه على سلوكيات السلسلة، هو آخر حصن ضد الهجمات. كل تحليل للبيانات قبل التوقيع، وكل مراجعة للصلاحيات بعد التفويض، هو قسم بالسيادة الرقمية الخاصة بهم.

في المستقبل، بغض النظر عن كيفية تطور التكنولوجيا، فإن الخط الدفاعي الأكثر أهمية دائمًا هو: تحويل الوعي بالأمان إلى ذاكرة عضلية، وإقامة توازن دائم بين الثقة والتحقق. في عالم البلوكتشين حيث الكود هو القانون، يتم تسجيل كل نقرة، وكل معاملة بشكل دائم، ولا يمكن تغييرها. لذلك، فإن الحفاظ على اليقظة والتصرف بحذر أمر بالغ الأهمية.