التصيد الاحتيالي 2.0: التهديدات الخفية التي تستنزف محفظتك المشفرة في Web3 إن الوعد الذي يحمله Web3 هو حدود رقمية يستعيد فيها المستخدمون ملكية بياناتهم وأصولهم. ومع ذلك، فقد أنتج هذا النموذج الجديد موجة متطورة بنفس القدر من المحتالين الرقميين. هذا ليس احتيال جدك عبر البريد الإلكتروني. نحن الآن في عصر التصيّد الاحتيالي 2.0، حيث أصبحت الهجمات مؤتمتة ومصنّعة وتستغل البروتوكولات المصممة لجعل الويب 3 سلسًا. تؤكد الحوادث الأخيرة، مثل خسارة مستخدم أكثر من $600,000 دولار أمريكي من تفويض مستغل، على الحاجة الماسة والعاجلة إلى عقلية أمنية جديدة. ترسانة التصيّد الاحتيالي الجديدة: ما وراء المواقع الإلكترونية المزيفة لقد ولّت أيام التحقق من "https://" ببساطة. التصيّد الاحتيالي عبر الويب 3 هو هجوم متعدد الطبقات على طبقة التفاعل في محفظتك، مع التركيز على سرقة التفويضات والتوقيعات. 1. التوقيع الصامت تصريح وتصريح2 التصيد الاحتيالي يستغل المهاجمون ميزات ملائمة لتجاوز يقظتك. التصيد الاحتيالي بالتصريح: تسمح وظيفة التصريح ERC-20 Permit بالموافقات على التوكنات عبر توقيع خارج السلسلة، مما يوفر الغاز. يقوم المهاجمون بتزوير مواقع التصيد الاحتيالي للحصول على هذا التوقيع. بمجرد حصولهم عليه، يمكنهم استدعاء دالة التصريح ثم نقل من لاستنزاف الرموز الخاصة بك - كل ذلك دون ظهور معاملة من عنوانك. هذه سرقة توقيع خارج السلسلة بدون غاز. تصيد Permit2 الاحتيالي: تم تقديمه بواسطة Uniswap، يسمح Permit2 بالموافقة لمرة واحدة على عقد لإدارة رموزك المميزة. إذا كنت قد استخدمت Uniswap، فمن المحتمل أن تكون لديك هذه الموافقة. يسرق المخادعون توقيع Permit2 الخاص بك بالمثل، مما يمنحهم إمكانية الوصول إلى الرموز التي أذنت بها لعقد Uniswap. غالبًا ما تتلقى خدمات الاستنزاف (مثل PinkDrainer وInfernoDrainer) جزءًا من هذه الأصول المسروقة، مما يوضح اقتصاد "الاستنزاف كخدمة" (DaaS). 2. الشيك على بياض التصيّد الاحتيالي بالتوقيع الأعمى على سلسلة التصيد الاحتيالي بالتوقيع على بياض: هذه الطريقة تعادل التوقيع على شيك على بياض. فهي تطلب من محفظتك التوقيع على بيانات سداسية عشرية غير قابلة للقراءة، مما يمنح الموقّع سلطة غير محدودة. تُظهر محافظ مثل MetaMask تحذيرات شديدة لهذا الأمر، بينما قامت محافظ أخرى مثل imToken بتعطيلها. لا تستخدم أبدًا، تحت أي ظرف من الظروف، eth_sign. التوقيع الشخصي وتوقيع البيانات غير المقروءة: على الرغم من أنها أكثر قابلية للقراءة، إلا أنها ليست آمنة إذا أسيء استخدامها. قم دائمًا بالتدقيق في ما تقوم بتوقيعه بالضبط. الحيلة الشائعة هي انتحال النطاق - طلب من opensea.net بدلاً من opensea.io الشرعي. إذا لم تتمكن من قراءة النص العادي، تعامل معه كتوقيع أعمى وارفضه. 3. الذئب في ثياب الحملان: التصيّد الاحتيالي للتخويل (setApprovalForAll / الموافقة) هذه واحدة من أكثر الهجمات تدميراً. قد تزور موقعًا يبدو شرعيًا (مثل واجهة PREMINT المخترقة) ويُطلب منك "ربط المحفظة". وبدلاً من ذلك، تقوم بالتوقيع على معاملة SetApprovalForAll، مما يمنح الفاعل الخبيث الإذن بنقل جميع NFTs أو الرموز المميزة الخاصة بك من مجموعة. وبالمثل، تمنح الموافقة على التصيد الاحتيالي حق الوصول إلى أرصدة رمزية محددة، والخطر مطلق: بمجرد الحصول على الإذن، يمكن للمهاجمين نقل أصولك في أي وقت، في وقت فراغهم. القاعدة بسيطة: يجب ألا يتطلب توصيل المحفظة تفويضًا أبدًا. إذا رأيت SetApprovalForAll أو الموافقة على مطالبة "اتصال"، فأنت في موقع خبيث. 4. مسمم دفتر العناوين التصيّد الاحتيالي لتلوث العناوين يستغل هذا الهجوم عادة المستخدم، وليس العيوب التقنية. يستخدم المخترقون نصوصًا برمجية لإنشاء عناوين يتطابق فيها أول وآخر 4-6 أحرف مع عنوان تعاملت معه سابقًا. ثم يرسلون بعد ذلك معاملة صغيرة لا قيمة لها إلى محفظتك، "ملوثين" سجل معاملاتك. لاحقًا، عندما تذهب لإرسال الأموال وتنسخ العنوان "الأخير" من سجلك بلا مبالاة، قد تلصق العنوان "الأخير" من سجلك، وقد تلصق العنوان المشابه الاحتيالي. النتائج كارثية، كما رأينا في حادثة مايو 2024 التي أدت إلى خسارة 1155 بيتكوين (أكثر من $70 مليون). العنوان الصحيح 0x**d9A1**b0B1e1aE382DbDc898Ea68012FfcB2**853a91** Malicious address: 0x**d9A1**C3788D81257612E2581A6ea0aDa244**853a91** Defense: لا تنسخ العناوين مباشرة من سجل المعاملات. استخدم دفتر عناوين محفظة تم التحقق منه. تحقق دائمًا من أكثر من الأحرف الأولى والأخيرة القليلة. 5. الشبح في الماكينة استخدام CREATE2 لتجاوز الأمان تستخدم أدوات الأمان والمحافظ قوائم سوداء للعناوين الخبيثة المعروفة. يسمح رمز التشغيل CREATE2 للمهاجمين بتجاوز ذلك. يمكنهم حساب عنوان العقد الذكي مسبقًا قبل نشره. فهم يعطون هذا العنوان "النظيف" للضحايا، وفقط بعد أن تتفاعل الضحية معه يقومون بنشر العقد الخبيث على هذا العنوان المحدد مسبقًا. وهذا يجعل النشاط الخبيث غير مرئي لفحوصات القائمة السوداء الثابتة حتى فوات الأوان. تصنيع السرقة التصيّد الاحتيالي كخدمة (DaaS) لم يعد التصيّد الاحتيالي عملاً فردياً، بل أصبح صناعة مزدهرة في السوق السوداء. تقدم منصات مثل Inferno Drainer وAngel Drainer و Pink Drainer مجموعات التصيد الاحتيالي كخدمة. يدفع المهاجمون مقابل استخدام بنيتها التحتية، والتي تتضمن توليد عناوين آلية للتهرب من القوائم السوداء. تكامل البرامج النصية الخبيثة (متخفية في شكل Seaport أو WalletConnect أو Coinbase SDKs) على آلاف المواقع الإلكترونية المخترقة. لوحة تحكم إدارية كاملة تعرض إحصائيات عن اتصالات الضحية، وعمليات الاستنزاف الناجحة، وقيم الأصول المسروقة. العملية مبسطة: يروج المهاجم لموقع تصيد عبر وسائل التواصل الاجتماعي (X، Discord). يقوم الضحية بتوصيل المحفظة. يفحص المستنزف الأصول الأكثر قيمة وسيولة. يطالب بمعاملة خبيثة. عند تأكيد الضحية، تتدفق الأصول إلى الخارج: 20% إلى مشغل DaaS، و80% إلى المهاجم. لقد أدى هذا النموذج إلى توسيع نطاق التهديد بشكل كبير، حيث يرتبط Inferno Drainer وحده بأكثر من 16,000 نطاق خبيث يؤثر على أكثر من 100 علامة تجارية مشفرة. بروتوكول الدفاع الخاص بك: قائمة تدقيق إلزامية استنادًا إلى تحليلات خبراء الأمن مثل SharkTeam، يجب أن يتضمن دليل النجاة في Web3 تعامل مع كل رابط على أنه معادٍ: إن الإنزال الطائر، والمكافآت، والرسائل "العاجلة" ذات المظهر الرسمي هي النواقل الأساسية. التحقق من خلال قنوات رسمية متعددة. افترض أن القنوات الرسمية يمكن اختراقها: حسابات تويتر/ديسكورد المخترقة للمشاريع الشرعية شائعة. لا تثق بأي إعلان بشكل أعمى. تحقق، ثم تحقق مرة أخرى: تأكد دائمًا من عناوين URL للتطبيقات، وامتدادات المتصفح، والبرامج التي تم تنزيلها. ضع إشارة مرجعية على المواقع الرسمية. اقرأ كل توقيع ومعاملة: هذا أمر غير قابل للتفاوض. افهم الفرق بين النقل والتحويل من. رفض أي توقيع أعمى (eth_sign). شكك في كل موافقة وقم بتعيينApprovalForAll. اعتمد عقلية "انعدام الثقة": في العالم اللامركزي، أنت الوصي على نفسك. شك في كل شيء افتراضيًا. راحة التفاعلات "بنقرة واحدة" هي عدو الأمان. استخدم أدوات الأمان: استخدم أدوات معاينة معاملات المحفظة وأدوات إدارة التفويض (مثل revoke.cash) للتدقيق وإلغاء الأذونات غير الضرورية بانتظام. حماية سجلك: لا تنسخ أبدًا العناوين من سجل معاملاتك. استخدم دفتر عناوين محفظتك لجهات الاتصال المتكررة. إذا حدث الأسوأ إذا كنت تشك في أنك قد تعرضت للتصيد الاحتيالي: تحقق فوراً: استخدم مستكشف البلوكتشين للتحقق من وجود موافقة غير مصرح بها أو أحداث SetApprovalForAll على عنوانك. أبطل الأذونات: استخدم أداة الإبطال لقطع جميع الموافقات غير الضرورية على الرمز المميز/موافقات NFT. اطلب المساعدة الاحترافية: اتصل بشركة أمن بلوك تشين على الفور. الوقت أمر بالغ الأهمية في محاولة تتبع أو تجميد الأصول المسروقة. إن الطبيعة اللامركزية للويب 3 تعني أن الأمن لم يعد يُعهد به إلى قسم تكنولوجيا المعلومات في المنصة. فهو يقع بشكل مباشر على عاتق الفرد. من خلال فهم تقنيات التصيد الاحتيالي 2.0 هذه - من التوقيعات الخادعة والعناوين المسمومة إلى منصات DaaS الصناعية - فإنك تتحول من ضحية محتملة إلى حارس يقظ لحدودك الرقمية الخاصة بك. تأتي قوة الملكية في Web3 مع المسؤولية القصوى للدفاع. كن متيقظاً، وابقَ متشككاً، وتحقق دائماً.