تنبيه أمان الويب 3 - السيناريوهات الشائعة لسرقة الأصول
نظرة عامة
● المواقف الشائعة التي يُمكن أن تؤدي إلى خسارة الأصول
● تدابير حماية Bitget لحماية أموال المستخدمين
يُتيح الويب 3 الحرية المالية والابتكار الرائد، ولكنه ينطوي أيضًا على مخاطر أمنية جديدة. وتوضح هذه المقالة الطرق الأكثر شيوعًا التي يُمكن أن يقع بها المستخدمون ضحية لسرقة الأصول، بدءًا من تسريبات المفاتيح الخاصة وموافقات التوقيعات الخبيثة وحتى عمليات الاحتيال أثناء التحويل وغيرها من الهجمات الأخرى. ففي هذه المقالة نشارك دراسات الحالة الفعلية ونقدم نظرة عامة على تدابير الحماية الخاصة بمنصة Bitget، بهدف تزويد المستخدمين بالمعرفة التي يحتاجون إليها لحماية أصولهم الرقمية بشكل أفضل في نظام البلوكتشين.
تسريبات العبارة التذكيرية الأولية أو المفاتيح الخاصة
سرقة البيانات باستخدام محافظ مزيفة
غالبًا ما يتظاهر المهاجمون بأنهم أعضاء فريق رسميون أو مشرفون على منصات مثل تيليجرام أو Discord. حيث يرسلون رسائل بريد إلكتروني احتيالية أو يشاركون روابط تنزيل محفظة مزيفة، وغالبًا ما تكون متخفية في شكل «تحديثات أمنية» من أسماء موثوقة مثل MetaMask أو Trust Wallet. فحتى أنّ البعض يعرض إعلانات على محركات البحث لتوجيه المستخدمين إلى مواقع التصيد الاحتيالي. بمجرد قيام الضحايا بتثبيت هذه التطبيقات المزيفة وإدخال العبارات التذكيرية الأولية أو المفاتيح الخاصة، تُرسل المعلومات على الفور إلى الخوادم التي يسيطر عليها المهاجمون.
سرقة البيانات من الحافظة بواسطة البرامج الضارة
غالبًا ما تظهر هذه التطبيقات الضارة كأدوات غير ضارة، مثل برامج مسح رموز QR ضوئيًا أو مديري الملفات أو الألعاب المبتكرة أو أجهزة تتبع أسعار العملات المشفرة أو أدوات التحقق من التوزيع المجاني للعملات. وبمجرد التثبيت، تطلب التطبيقات الوصول إلى الحافظة ومراقبة محتوياتها باستمرار. مثلًا إذا نسخ المستخدمون بيانات حساسة مثل العبارات الأولية أو المفاتيح الخاصة (عادةً أثناء النسخ الاحتياطي أو التحويل)، فإنّ هذه التطبيقات تلتقط المعلومات على الفور وترسلها إلى خوادم المهاجمين.
عمليات الاحتيال بالتوقيع أو التفويض
عمليات الاحتيال المتعلقة بطريقة eth_sign
eth_sign هي طريقة توقيع الإيثيريوم الأساسية التي تسمح للمستخدمين بالتوقيع على بيانات عشوائية. وتكمن المشكلة في أنّ المستخدمين لا يرون سوى سلسلة غير قابلة للقراءة من التعليمات البرمجية السداسية العشرية، لذلك غالبًا ما لا يكون لديهم أي فكرة عما يقومون بتوقيعه بالفعل. هنا يستغل المهاجمون ذلك عن طريق خداع المستخدمين للتوقيع على موافقات ضارة - وأحيانًا حتى منح حق الوصول الكامل إلى أصولهم.
برنامج التصيد الاحتيالي Permit2 للتوقيع
Permit2، هو بروتوكول الموافقة على العملات الذي طورته Uniswap Labs، ويتميز بتصميم آمنٍ ولكن تمّ استغلاله في هجمات التصيد الاحتيالي. حيث يخدع المهاجمون المستخدمين للتوقيع على تراخيص Permit2 تحت ستار التحقق من المحفظة أو مطالبات التوزيع المجاني. بمجرد التوقيع، يُمكن للمهاجم نقل العملات للمستخدم دون الحاجة إلى أي أذونات أخرى.
عمليات الاحتيال المتعلقة بأذونات العملات
تقنع بعض المواقع الإلكترونية الضارة المستخدمين بمنح إذن غير محدود للعملات القيمة لعقد ذكي، مما يسمح للموقع بالتلاعب بمقتنياتهم. وغالبًا ما تمثل هذه المواقع منصات التمويل اللامركزي أو الرموز غير القابلة للاستبدال القانونية (NFTs)، وتتطلب إذن المستخدم للمشاركة. يخلق المهاجمون شعورًا بالإلحاح من خلال العروض أو العروض الترويجية المزيفة لفترة محدودة لتقليل دفاعات المستخدم. وبمجرد الحصول على إذن، يُمكنهم سحب عملات الضحية دون مزيد من التأكيد.
عمليات الاحتيال المتعلقة بأذونات الرموز غير القابلة للاستبدال (NFTs)
تطالب بعض المواقع الضارة المستخدمين بمنح أذونات SetAssocportForAll على الرموز غير القابلة للاستبدال (NFTs) الخاصة بهم. ففي حالة الموافقة، يكتسب المهاجم السيطرة الكاملة على مجموعة الرموز غير القابلة للاستبدال (NFTs) الخاصة بالمستخدم ويُمكنه نقل الأصول في أي وقتٍ دون اتخاذ أي إجراء آخر.
الاحتيال أثناء التحويل
سرقة عنوان المحفظة من تطبيقات المراسلة
يوّزع بعض المهاجمين إصدارات تمّ العبث بها من تطبيقات المراسلة مثل تيليجرام من خلال مصادر غير رسمية. حيث تتضمن هذه التطبيقات المعدّلة تعليمات برمجية ضارة تراقب الرسائل وتستبدل أي عناوين محفظة مشفرة تمت مشاركته. فعندما ينسخ المستخدمون عنوان محفظة من دردشة لإرسال الأموال، فقد يرسلون الأموال دون علمهم إلى محفظة المهاجم بدلًا من ذلك. في عام 2023، فقد أكثر من 500 مستخدم حوالي 8 ملايين دولار من العملات المشفرة عن طريق تحويل الأموال دون علم عبر نسخة تيليجرام تم العبث بها.
التصيد الاحتيالي في عمليات التحويل الفارغة
يستغل المهاجمون سلوكًا في وظيفة USDT TransferFrom التي تسمح بالتحويلات التي قيمتها صفر دون الحاجة إلى موافقة المرسل. وهذا يتيح لهم بدء عمليات TransferFrom على حسابات المستخدمين النشطين وإغراق سجل معاملاتهم. نظرًا لأنّ بعض المستخدمين غالبًا ما ينسخون عناوين المحفظة من سجل المعاملات الخاص بهم، فقد يعيدون استخدام عنوان المهاجم عن طريق الخطأ ويرسلون الأموال إلى المستلم الخطأ. ووفقًا لـ SlowMist، تمت سرقة أكثر من 20 مليون دولار من خلال هذه الطريقة نفسها في النصف الأول من عام 2022 وحده.
الإجراءات الأمنية الخاصة بمنصة Bitget
تخزين معظم الأصول في محافظ غير متصلة بالإنترنت
تُخزّن معظم الأصول الرقمية على Bitget في محافظ غير متصلة بالإنترنت ومتعددة التوقيعات. فهذا النهج الحذر المتمثل في إبقاء المحافظ بعيدًا عن الإنترنت يقلل بشكل كبير من مخاطر الهجمات الإلكترونية.
صندوق الحماية
تحتفظ Bitget بصندوق حماية قيمته 700 مليون دولار. ففي حال اختراق حسابك على Bitget أو سرقة أصولك أو فقدها (باستثناء الخسائر الناجمة عن الإجراءات الشخصية أو المعاملات)، يُمكنك التقدم بطلب للحصول على مطالبة من خلال Bitget Protection Fund.
قناة التحقق الرسمية
لمساعدة المستخدمين على تجنب التصيد الاحتيالي والاحتيال، منصة Bitget توفر قناة تحقق رسمية. حيث يُمكنك استخدامها لتأكيد ما إذا كان البريد الإلكتروني أو صفحة الويب أو حساب وسائل التواصل الاجتماعي حقيقيًا من Bitget.
التعليم والتثقيف الأمني
تشارك Bitget بانتظام المحتوى التعليمي لتعزيز الوعي ومساعدة المستخدمين على تطوير وتقوية معرفتهم وممارساتهم الأمنية.
أفضل الممارسات للمستخدمين
حماية العبارات التذكيرية الأولية والمفاتيح الخاصة
● تجنب دائمًا تحميل العبارة الأولية أو المفتاح الخاص إلى التخزين السحابي بدون تشفير.
● تجنب نسخ العبارة التذكيرية الأولية أو المفتاح الخاص بالكامل إلى الحافظة، حيث قد تلتقطها البرامج الضارة.
● قم بتنزيل تطبيقات المحفظة فقط من المصادر الرسمية، وتحقق دائمًا من الناشر وتوقيع البرنامج.
إدارة التوقيع والأذونات
● لا توقع أبدًا على أي شيء لا تفهمه تمامًا وراجع المحتويات دائمًا بعناية قبل التوقيع.
● حدد الحد الأدنى للأذونات اللازمة للمشاريع غير المألوفة بدلاً من منح وصول غير محدود.
● استخدم أدوات إدارة التفويض والإذن (على سبيل المثال، Revoke.cash) للتحقق بانتظام من التراخيص غير الضرورية وإلغائها.
ممارسات التحويل الآمن
● قبل إجراء أي تحويلات كبيرة أو مهمة، جرّب أولًا دائمًا بكمية صغيرة.
● احفظ عناوين المحفظة المُستخدمة بشكل متكرر في دفتر العناوين.
معلومات ختامية
تتطلب حماية الأصول الرقمية جهودًا كبيرة مشتركة. فبينما تقوم منصات التداول مثل Bitget ببناء أطر أمان شاملة، يجب على المستخدمين أيضًا أن يظلوا يقظين ومستنيرين. ولقد استغرق التمويل التقليدي قرونًا لتطوير ممارسات آمنة. وبالمثل، لا يزال الويب 3 يواصل التطور. ويُعطي كل حادث أمني دروسًا قيمة. فلا تزال Bitget ملتزمة بالاستثمار في أمان المنصة وتوسيع المحتوى التعليمي لمساعدة المستخدمين على تعزيز دفاعاتهم. كما نعتقد أنه يجب على المنصة والمستخدمين العمل معًا لإنشاء نظام ويب 3 آمن وجدير بالثقة حقًا، حيث يُمكن أن يزدهر ابتكار البلوكتشين مع تقليل المخاطر.
مقالات ذات صلة:
تنبيه أمان الويب 3 - الانتحال عبر الرسائل القصيرة
تنبيه أمان الويب 3 - العملات عالية المخاطر
تنبيه أمان الويب 3 - التطبيقات الوهمية
تنبيه أمان الويب 3 - الموافقات الضارة
Ripple USD (RLUSD): عملة ثابتة جديدة مصممة للثقة والامتثال2025-06-03 | 5m
Web3 Security Alert — Malicious Approvals2025-06-03 | 5m
Web3 Security Alert – Fake Apps2025-06-03 | 5m