من الترياق إلى السم: لماذا أصبح التصريح مصدر خطر؟

المؤلف: Keystone المصدر: X, @KeystoneCN

1. تعرف على التصريح في دقيقة واحدة

لنبدأ بقصة قصيرة حول اقتراض المال:

سأسأل زوجي الصديق العزيز جاك ما لاقتراض مليون، التقط جاك ما الهاتف واتصل بالبنك دون أن يقول كلمة واحدة، وبعد التأكد من هويته، قال للبنك: أريد السماح بحد سحب قدره مليون لفلان. ورد البنك بأنه حصل على التفويض وقام بتسجيله.

الخطوة التالية هي أن أذهب إلى البنك وأخبر الشباك بأنني مستعد لسحب المليون الذي سمح لي به جاك ما. في هذا الوقت سيقوم البنك بالتحقق مما إذا كان هناك أي سجل تفويض وبعد التأكد من أنني فلان، أعطني مليونًا.

يمكن اعتبار هذه القصة القصيرة تجسيدًا للموافقة على التفويض على ETH. في هذه العملية، لا يمكن تفويض التفويض إلا عن طريق جاك ما (مالك الأصل) الذي يتصل بالبنك للتفويض (على السلسلة)، ويدير البنك (عقد الرمز المميز) هذه التفويضات، وبعد ذلك يمكنني (الطرف المعتمد) التحويل من البنك لا يزيد عن المبلغ المصرح به. إذا لم يعثر البنك على سجل التفويض، فسيتم رفض طلب السحب الخاص بي بلا شك.

حسنًا، إذا قمت بالتبديل إلى طريقة ترخيص أخرى - تصريح واقتراض أموال من جاك ما، ماذا سيحدث للعملية؟

هذه المرة طلبت اقتراض مليون دولار أخرى. كان جاك ما كسولًا جدًا بحيث لم يتمكن من الاتصال به. لقد أخرج دفتر شيكات من جيبه، مملوءًا به المبلغ ووقع عليه وأعطاني إياه. أخذت هذا الشيك إلى البنك لاستبداله، على الرغم من أن البنك لم يكن لديه سجل تفويض في هذا الوقت، ومع توقيع جاك ما على الشيك، أكد البنك صحة الشيك وقام بصرف المبلغ المحدد لي.

أعتقد أن الأصدقاء قد لاحظوا بالفعل الفرق في العمليات بين الاثنين، حيث تم حظر الموافقة كوظيفة مهمة في ERC-20 بعد وقت قصير من ETH لقد تم استخدامه على الإنترنت على نطاق واسع، فلماذا يلزم تقديم طريقة التصريح في ERC-2612 لاحقًا لتحقيق نفس التأثير؟

2. لماذا يلزم الحصول على تصريح؟

تم اقتراح اقتراح ERC-2612 في مارس 2019 حتى اكتمال المراجعة النهائية في أكتوبر 2022. وقد تم إطلاقه وسعر الغاز على شبكة ETH الرئيسية خلال هذه الفترة. شهدت طفرات متعددة لا ينفصلان.

الصورة: لا يزال سعر غاز الشبكة الرئيسية لـ ETH مرتفعًا خلال 2020-2022

يفرض السوق الصاعد العنيف تأثير خلق الثروة للمشاريع الجديدة على السلسلة، و سلسلة المستخدمين: الحماس للمعاملات على blockchain مرتفع، وهم على استعداد لدفع رسوم أعلى للحصول على المعاملات على السلسلة بشكل أسرع، لأن تحميل كتلة مقدمًا في بعض الأحيان يعني عوائد أعلى.

ومع ذلك، فإن نتيجة هذه الظاهرة هي أنه عندما يتداول المستخدمون الرموز المميزة على السلسلة، فإنهم غالبًا ما يحتاجون إلى تحمل رسوم الغاز المرتفعة بموجب عملية الموافقة يستغرق الأمر 2 تكساس لإكمال مبادلة الرمز المميز بالنسبة للمستخدمين ذوي الأموال الصغيرة، فإن رسوم المعاملة هي مجرد كابوس.

يغير التصريح المقدم بواسطة ERC-2612 عملية التفويض إلى التوقيع دون اتصال بالإنترنت، ولا يلزم تحميله إلى السلسلة على الفور، بل يجب تقديمه فقط عندما تحويل الرموز، تمامًا مثلي الذي حصل على شيك جاك هورس في القصة القصيرة حول اقتراض الأموال، أحتاج فقط إلى تقديم الشيك إلى البنك للتحقق منه عند سحب الأموال.

يحفظ الرجل المشغول Jack Ma مكالمة هاتفية، ويبدو أن المستخدم يحفظ أيضًا TX عندما يكون سعر الغاز مرتفعًا، يكون التوفير في التكلفة كبيرًا ويبدو أن نهاية سعيدة. ولكن كما يعلم الجميع، فإن صندوق باندورا أيضًا ينفتح بهدوء...

3. نمو وحشي مثل الانفجار البركاني

قبل ظهور التصريح، كان المتسللون يصطادون بالنسبة للعملات المعدنية، تتمثل إحدى طرق جذب المستخدمين في حث المستخدمين على التوقيع على المعاملات والموافقة عليها، حيث تتطلب مثل هذه المعاملات من المستخدمين إنفاق الغاز، مما قد يسبب القلق والفشل بسهولة. حتى لو نقر المستخدم بسرعة، نظرًا لأن تحميل المعاملة إلى السلسلة يستغرق وقتًا معينًا، يمكن للمستخدم الذي يعود إلى رشده إرسال معاملة على الفور بنفس الرقم لحفظها نسبيًا ليس من السهل على المتسللين أن ينجحوا.

إن ظهور التصريح هو بلا شك بمثابة وسادة نائمة للمتسللين. ومقارنة بالموافقة، فإن التصريح لا يستهلك الغاز ولا يتطلب سوى التوقيع، مما يزيد من يقظة المستخدمين . يقلل. في الوقت نفسه، نظرًا لخصائص التوقيعات دون اتصال بالإنترنت، فإن المبادرة في أيدي المتسللين ليس فقط أن المستخدمين لا يشعرون بالندم، ولكن يمكن للمتسللين أيضًا استخدام التفويض لاختيار الوقت المناسب للقيام بأشياء سيئة وتعظيم أرباحهم. .

الأثر السلبي لذلك هو أنه يمكننا رؤية زيادة في عدد ضحايا التصيد الاحتيالي ومبالغ الأموال المسروقة. وفقًا لإحصائيات @ScamSniffer:

خسر ضحايا التصيد الاحتيالي 295 مليون دولار في عام 2023.

وفي النصف الأول من عام 2024، تجاوز هذا المبلغ 314 مليون دولار أمريكي.

في نهاية الربع الثالث من عام 2024، حدث شيء كبير: عنوان المحفظة المشتبه في أنه Shenyu تعرض لهجوم تصيد احتيالي، مما أدى إلى خسارة 12000 دولار spWETH بقيمة 200 مليون يوان.

الصورة: التقرير الإحصائي للنصف الأول من هجوم التصيد الاحتيالي في ScamSniffer 2024

يُعتقد أن مثل هذا المشهد يفوق توقعات مطور الاقتراح الأصلي. النية الأصلية لـ الهدف من تقديم التصريح هو تقليل استهلاك الغاز للمستخدم وتحسين تجربة المستخدم وكفاءته، واعتقدت أنه سيف ذو حدين له مكاسب وخسائر، وبشكل غير متوقع، اتضح أنه سكين مطبخ كبير بحافة واحدة حادة للغاية، مما يؤدي إلى قطع أ ثقب في درع أمان أصول المستخدم.

هناك العديد من طرق ترخيص التوقيع المشابهة لـ Permit، على سبيل المثال، يسمح Permit2 الذي تم إطلاقه بعد Uniswap لجميع رموز ERC-20 بدعم التوقيعات دون اتصال بالإنترنت. باعتبارها منصة DEX رقم 1، أدت خطوة UniSwap أيضًا إلى زيادة اعتماد المستخدمين على التوقيعات غير المتصلة بالإنترنت وزيادة خطر التعرض للتصيد الاحتيالي.

4. كيف يمكن الوقاية منه؟

لذا، كمستخدمين عاديين، في مواجهة ديموقليس... سكين مطبخ كبير معلق فوق رؤوسنا، ماذا يمكننا أن نفعل لمنع الخسائر؟ ماذا عن التدابير؟

1. رفع مستوى الوعي

تعامل بهدوء إغراء عمليات الإسقاط الجوي

تحظى عمليات الإسقاط الجوي من أطراف مشروع العملة بشعبية كبيرة بالفعل، ولكنها في معظم الأحيان عبارة عن هجمات تصيدية باسم عمليات إسقاط جوي مزيفة عند مواجهة ذلك عند تلقي مثل هذه المعلومات، تأكد من عدم الانجراف و"استلامها" مباشرة والتأكد من صحة الموقع الرسمي والإير دروب من خلال مصادر متعددة لتجنب الدخول إلى مواقع التصيد عن طريق الخطأ.

تجنب التوقيع الأعمى

إذا قمت للأسف بالدخول إلى موقع تصيد احتيالي إذا كنت لا تعرف ذلك بعد، فعندما تظهر نافذة المعاملة في المحفظة، يجب عليك التحقق بعناية من محتوى المعاملة. عندما تظهر كلمات مثل Permit وPermit2 وApprove وIncreasAllowance وما إلى ذلك، فهذا يعني أن المعاملة قد تمت. لإزالة ترخيص الرمز المميز، ويجب أن تكون يقظًا، لأن عملية الإسقاط الجوي العادية لا تتطلب ذلك. تقوم Keystone أيضًا بتنفيذ تحليل المعاملات وعرضها على جانب الأجهزة، ويمكن للمستخدمين استخدام تحليل المعاملات لتجنب التوقيع الأعمى وتجنب العواقب الوخيمة الناجمة عن الاندفاع.

الصورة: تقوم محفظة أجهزة Keystone وRabby Wallet بتحليل وعرض معاملات توقيع Permit2

2. الاستفادة من الأدوات

ScamSniffer

باعتبارك مستخدمًا عاديًا، من الصعب جدًا تحديد عناوين URL الخاصة بالتصيد بدقة، فمن المحتم أن تتسلل بعض الأسماك عبر الشبكة. بمساعدة المكون الإضافي للمتصفح ScamSniffer، سيتلقى المستخدمون تذكيرًا من المكون الإضافي قبل إدخال عنوان URL للتصيد الاحتيالي المشتبه به. بعد تلقي التذكير، يمكن للمستخدم إيقاف التفاعل في الوقت المناسب.

إبطال

يمكن لإلغاء.cash عرض الأموال في سجلات تفويض الرمز المميز لمحفظة المستخدم، نوصي بإلغاء تفويضات المبالغ المشبوهة وغير المحدودة. قم بتطوير عادة تنظيف التراخيص بانتظام وحاول القيام بأقل قدر ممكن مما تحتاج إليه.

3. عزل الأصول والتوقيع المتعدد

كما يقول المثل، لا تفعل ذلك ضع كل بيضك في مكان واحد في السلة، تنطبق هذه الجملة أيضًا على أصول العملة. على سبيل المثال، يمكننا تخزين كميات كبيرة من الأصول في محافظ باردة مثل Keystone، واستخدام محافظ صغيرة ساخنة للتفاعلات اليومية، حتى لو تم خداعنا عن طريق الخطأ، فلن تتم سرقة الأصول.

إذا كانت لديك متطلبات أعلى للأمان، فيمكنك استخدام التوقيع المتعدد لتحسين الأمان بشكل أكبر. بالنسبة للأصول التي تمت إضافتها إلى التوقيع المتعدد، لا يمكن نقل الأصول إلا عندما يصل عدد موافقات المحفظة إلى الحد الأدنى. إذا سُرقت محفظة واحدة لم تصل إلى الحد الأدنى، فلن يتمكن المتسلل من الاستيلاء على الأصول.

5. الخلاصة

لا يمكننا إنكار القيمة التي جلبها التصريح، ولكن في السنوات الأخيرة كلما كثرت حوادث السرقة كلما زاد الضرر الذي تسببه. تمامًا مثل طريقة ethsign في الماضي، كانت أيضًا مفضلة من قبل المتسللين في ذلك الوقت نظرًا لضعف قراءتها وضررها الكبير. في الوقت الحاضر، تم حظرها والتخلي عنها من قبل معظم برامج المحفظة، كما تم استبدال الوظائف التي تنفذها ببعض الطرق الأكثر أمانًا.

بالتركيز على التصريح، هل وصل إلى نفس مفترق الطرق الذي واجهته ethsign من قبل؟ يتطلب تحسينها أو ترقيتها أو التخلي عنها من مطوري ETH قضاء بعض الوقت في التفكير والمناقشة.