ما هي أكبر نقاط ضعف الأصول المشفرة؟ شرح التوقيع بدون اطلاع
الأفكار الرئيسية: |
– بعد الصعود المذهل في التطبيقات اللامركزية للتمويل اللامركزي والرموز غير القابلة للاستبدال، يتفاعل المستخدمون مع العقود الذكية بطرق أكثر تعقيداً. ويبحث المحتالون دائماً عن ثغرات أمنية جديدة. التوقيع بدون اطلاع هو إحدى الحيل الأقل شهرة التي يستخدمها المحتالون لسرقة أصولك. – شكلت العقود الذكية المستخدمة في التطبيقات اللامركزية (DApps) والرموز غير القابلة للاستبدال (NFTs) في الوقت الحالي تحدياً للجيل الحالي من محافظ الأصول المشفرة لأن الكود الخاص بها – والذي يحتوي على تفاصيل العَقد الرئيسية – ولا يمكن استخراجها وعرضها بالكامل، وبناءً عليه، يقوم المستخدمون بالتوقيع دون معرفة ما يوقعون عليه. – مع انتشار الأصول المشفرة في الاتجاه السائد، أصبح المزيد والمزيد من الأشخاص على علم بكيفية الحفاظ على أمان أصولهم، وتضاءلت فرص المحتالين في الوصول إلى أصولك. لذا بدلاً من محاولة كَسر الباب – فهم يعتمدون عليك لفتحه لهم عن طريق خداعك للتوقيع الأعمى. – في Ledger، مهمتنا هي تحقيق الشفافية والأمان المطلقين لكل معاملة من معاملاتك – وهذا يعني القدرة على قراءة بيانات عقدك في كل مرة تقوم فيها بالتوقيع. أحدث ترقية لدينا تُحقق ذلك عبر توفير التوقيع الواضح لكل من التطبيقات اللامركزية المتكاملة. مع أن التوقيع بدون اطلاع ما يزال مطلوباً بالنسبة للتطبيقات اللامركزية (dApps) التي ليست جزءاً من Ledger Live حتى الآن، يمكن تنفيذ ذلك بأمان باتباع هذه الخطوات. |
إذا كنت قد سمعت عن التوقيع بدون اطلاع، لكنك غير متأكد من معناه، إذاً لا تبحث أكثر من ذلك. هنا، سنشرح هذا المفهوم.
إذا كنت تقرأ هذا، فأنت تعلم بالفعل أن الأصول المشفرة يرغب الجميع في اقتنائها. إذا كنت تُحب العملات أو الرموز أو الرموز غير القابلة للاستبدال (NFTs)، فجميعنا لدينا مصلحة راسخة في الحفاظ على أمان أصولنا. تقول “أعلم ذلك!”. لا أعطى مفاتيحي الخاصة لأحد ولا أشارك عبارة الاسترداد الخاصة بي مع أي شخص أبداً. حسناً، ذلك صحيح، لكنها ليس نهاية القصة.
بعد الصعود المذهل للتمويل اللامركزي (DeFi) والتطبيقات اللامركزية (dApps) في نظام كريبتوسفير (cryptosphere)، يتفاعل المستخدمون مع العقود الذكية بطرق أكثر تعقيداً من أي وقت مضى. و المحتالون يستمرون في البحث عن ثغرات أمنية جديدة في معالجة المعاملات، وقد أدى ذلك بطبيعة الحال إلى جيل جديد من عمليات الاحتيال تم تصميمها لعزلك عن أصولك المشفرة التي اكتسبتها بجُهد. و يصعب أيضاً اكتشافها، حتى بالنسبة لمحترفي الأصول المشفرة.
التوقيع بدون اطلاع هو إحدى الحيل الأقل شهرة التي يستخدمها المحتالون لسرقة أصولك. هنا، سنشرح ما هو التوقيع بدون اطلاع، وكيف احتيال التوقيع بدون اطلاع ينجح – وسنخبرك كيف يمكنك تجنبها.
ما هو التوقيع بدون اطلاع؟
قبل مناقشة كيف يعمل هذا المفهوم رقمياً، دعنا نبدأ من أساسيات ورقة وقلم العالم الحقيقي. لقد وُجدت العقود لتحُكم علاقاتنا؛ سواء أكان ذلك عقد عمل يتطلب منك العمل لمدة 40 ساعة أسبوعياً أو اشتراك في Netflix يلزم دفعه شهرياً، عند توقيعك على عقد ما، فأنت توافق على الالتزام بما ينص عليه هذا العقد. بالتوقيع، أنت تُقر أنك قد رأيت وفهمت الشروط ووافقت على الالتزام بها.
التوقيع على عقد رقمي
العقود الذكية – البنية التحتية التي تُشغل التطبيقات اللامركزية (DApps) والرموز غير القابلة للاستبدال (NFTs) والعديد من عناصر التمويل اللامركزي (DeFi) – هي نسخة رقمية من هذا. لنفرض أنك قمت باقتراض بعض الأصول المشفرة من أحد المُقرضين، على أساس أنك ستسدد مبلغاً معيناً كل شهر، مع الفائدة. عندما تقوم بتأكيد الاتفاقية باستخدام مفتاحك الخاص، فإنك تقوم بالتوقيع رقمياً على العقد الذكي.
ولكن ماذا لو لم تتمكن فعلياً من رؤية العقد؟ وهذا يعيدنا إلى سؤالنا الأصلي.
شكلت العقود الذكية المستخدمة في التطبيقات اللامركزية (DApps) والرموز غير القابلة للاستبدال (NFTs) الحالية تحدياً للجيل الحالي من محافظ الأصول المشفرة لأن كودها – والذي يحتوي على تفاصيل العَقد الرئيسية – لا يمكن استخراجه بالكامل وعرضه بلغة يفهمها المستخدم. بمعنى آخر، ما تزال المحافظ تسعى للحاق بأحدث الخيارات المتاحة للمستهلكين.
إذن، ماذا يعني هذا بالنسبة لي؟
لنلق نظرة على مثال حقيقي لتوضيح كيف يؤثر ذلك على معاملاتك. أولاً وقبل أي شيء، يجب أن نبدأ بالتوضيح – عندما تقوم بالتوقيع على أي معاملة باستخدام شاشة الكمبيوتر الخاص بك، فأنت من الناحية الفنية تقوم بالتوقيع بدون اطلاع.
لنفترض أنك تتعامل من خلال محفظة برمجيات فقط: لأن شاشة العرض لديك (كمبيوتر أو جوّال) متصلة بالإنترنت، فهي معرضة للاختراق. هذا يعني أنه لا يمكن الوثوق تماماً بالشاشة التي تعرض تفاصيل ما تقوم بالتوقيع عليه – هناك دائماً احتمال أن الشاشة قد تم اختراقها لإظهار شاشة مزيفة، مما يجعلك تقوم بالتوقيع على شيء آخر. وبتأكيد المعاملة، فأنت بذلك قمت “بالتوقيع بدون اطلاع” – موافقاً على المعاملة على أساس الثقة.
والهدف من استخدام محفظة أجهزة مثل Ledger Nano هو القضاء على هذا الخطر. نظراً لأن محفظتك تعمل كمكان آمن غير متصل بالإنترنت ويستعصي على القراصنة اختراقه، فإن شاشتها ستعرض دائماً التفاصيل الحقيقية لمعاملة معينة. وهذا هو السبب أن “العرض الموثوق به” لدينا لا يقدر بثمن كونه يمكنك من معرفة ما توافق عليه بالضبط.
مع ذلك، مع أن Nano الخاصة بك ستعرض دائماً تفاصيل معاملة دقيقة، إلا أن هذا يكون ممكناً فقط عندما تكون هذه التفاصيل متاحة. وهذا ليس الحال دائماً.
لنفترض أن قمت بعمل تدابير الأمان الصحيحة وأنك تجري مبادلة مستخدماً مجموعة من جهازك Ledger إلى جانب المحفظة البرمجية التي تصلك بالتطبيق اللامركزي – عمل رائع!
ولكن، كما ذكرنا سابقاً، فإن معظم محافظ البرمجيات، أي البرمجيات الوسيطة بين جهازك والتطبيق اللامركزي غير قادرة على قراءة واستخراج عناصر العقد الذكي للمعاملة بالكامل. هذا يعني أنه حتى إذا كنت تستخدم جهازك Ledger للتحقق من المعاملة وإكمالها، فلن يتمكن الجهاز من عرض التفاصيل الكاملة أمامك – لأن البرمجيات الوسيطة نفسها ليس لديها ما تبُثه إليه.
بدلاً من ذلك، ببساطة سيعرض الجهاز “البيانات الموجودة”، وهو ما يجعلك غير قادر على رؤية التفاصيل الأساسية مثل الإجراء والسعر وعنوان التلقي وما إلى ذلك، قبل التأكيد. إليك كيف يبدو ذلك:
مع عدم وجود تفاصيل عما يستوجبه هذا العقد، فإن الخيار الوحيد المتاح هنا هو التحقق مجدداً من معاملتك بناءً على الثقة. وهذا هو سبب تسميته التوقيع بدون اطلاع.
وصفه بهذه الطريقة، يبدو التوقيع بدون اطلاع مليء بالمخاطر، لكن معظمنا مذنب بالقيام به؛ فمتى كانت آخر مرة قرأت فيها اتفاقية المستخدم لتلك الخدمة الجديدة التي اشتركت بها؟ الحقيقة هي أننا نبني العديد من قراراتنا على سمعة من نتعامل معه.
التوقيع بدون اطلاع يؤدي إلى ظهور أنواع جديدة من الاحتيال
مع انتشار الأصول المشفرة في الاتجاه السائد، أصبح المزيد والمزيد من الأشخاص على علم بكيفية الحفاظ على أمان أصولهم، وتضاءلت فرص المحتالين في الوصول إلى أصولك. لذا بدلاً من محاولة كَسر الباب – فهم يعتمدون عليك لفتحه لهم.
ومثال قوي على هذا هو التوزيعات المجانية من الرموز غير القابلة للاستبدال على مواقع الويب الأقل شهرة – فقد تسبب الهوس بالرموز غير القابلة للاستبدال في طلب كبير على هذه الأصول الرقمية، وتم تصميم التوزيعات المجانية لاستغلال هذه الاستثارة. ولكن قبل القيام بالتوقيع بدون اطلاع للحصول على توزيعة مجانية من الرموز غير القابلة للاستبدال، فكر جيداً – إذا لم تكن علامة تجارية معروفة جيداً، هل يُمكن أن تكون متأكد من أن المعاملة التي تتحقق منها هي ما تظنه فعلاً؟
الرسائل الخاصة تمثل مَرتَع أخر لهذا النوع من التهديد. حادث وقع مؤخراً شهد ادعاء المحتالون بأنهم مسؤولي تكنولوجيا OpenSea على Discord. واحد من مقتني الأصول المشفرة المتمرسين كان يبحث عن مساعدة تقنية، فبدأ محادثة بخصوص حسابه، معتقداً أنه كان يتحدث إلى مستشار الخدمة. في سياق المحادثة، طلب منه المستشار الموافقة على طلب إجراء معاملة – دون إظهار تفاصيل العقد – باستخدام جهازه Ledger Nano. في الواقع، المعاملة التي كان يؤكدها أتاحت الوصول إلى خزنته، وكان هذا المستشار في الحقيقة محتالاً – كان السيناريو بأكمله بمثابة تدبير لعملية احتيال.
هذا مثال ممتاز على كيف يمكن حتى لمستخدم أصول مشفرة متمرس أن يرتكب خطأ، عندما تكون الظروف مقنعة بدرجة كافية.
لا تثق – ولكن تحقق
مخططات الاحتيال من هذا النوع تدور كلها حول الهندسة الاجتماعية. يتخصص المحتالون في خلق بيئة تجعلك تثق فيهم بما يكفي لتخفف الحذر منهم – في هذا المثال، وثق الضحية في معاملة بدون اطلاع لأنه اعتقد أنه كان يتعامل مع مكتب دعم لديه سمعة جيدة.
وهذا النوع من الاحتيال يزداد شيوعاً لأن وتيرة التطور الحادة جعلت التوقيع بدون اطلاع أمراً طبيعياً على الصناعة. وقد حان الوقت للأدوات كي تلحق بالركب.
كيف يمكنني استخدام التطبيقات اللامركزية (dApps) وأنا مطمئن البال؟
في Ledger، مهمتنا هي تحقيق الشفافية والأمان المطلقين لكل معاملة من معاملاتك – وهذا يعني القدرة على قراءة بيانات عقدك في كل مرة تقوم فيها بالتوقيع. أحدث ترقية لدينا تُحقق ذلك عبر توفير التوقيع الواضح لكل من التطبيقات اللامركزية المتكاملة. وهذا يقضي على الثغرات الأمنية التي يواجهها المستخدمون لتوفير التجربة الأكثر أماناً وسلاسة قدر الإمكان.
تشهد ترقيتنا تحسينين كبيرين يجعلان ذلك ممكناً. جهازك Nano ليس بإمكانه فقط الآن قراءة وعرض معلومات العقود الذكية لمجموعة من التطبيقات اللامركزية (dApps)؛ بل الإطلاق الأخير لكتالوج التطبيقات داخل Ledger Live يتيح لك أيضاً الوصول إلى عدد من منصات التمويل اللامركزي (DeFi) والتطبيقات اللامركزية (dApps) من داخل أمان جهازك Ledger، ومن ثمّ تتمكن من استخدام نظام Ledger البيئي كبوابة آمنة إلى التطبيقات اللامركزية (dApps) والخدمات التي تحبها.
هيا نترك التوقيع بدون اطلاع في الماضي!
ألق نظرة على معاملة ParaSwap لرؤية ما يعنيه هذا بالنسبة لك:
كما هو موضح في المثال أعلاه، بدلاً من عرض “البيانات الموجودة” ببساطة، Nano يمكنها إظهار التفاصيل الكاملة للمعاملة من داخل الأمان المطلق لشاشتها الموثوقة – لذا بدلاً من الوثوق، يمكنك الآن التحقق.
مع عمليات الدمج الجديدة التي تحدث باستمرار، يقود كتالوج تطبيقات Ledger الصناعة لأمان التطبيقات اللامركزية (dApps).
ماذا لو لم يكن التطبيق اللامركزي الذي أحتاجه مدمجاً؟
نظراً لأن Ledger Live مفتوح المصدر ومنصة مفتوحة – بغض النظر عن المشروع، يمكنك كتابة مكونك الإضافي لجعله متوافقاً مع Ledger Live والسماح للمستخدمين لديك بالتوقيع الواضح. فلماذا تنتظر؟
في الوقت الحالي، بينما تتوسع عمليات الدمج التي نقوم بها، نفهم أن بعض المعاملات ما زالت بحاجة إلى محفظة وسيطة. إذا كنت تتحقق من المعاملات من خلال البرمجيات الوسيطة، فقد يُطلب منك التوقيع بدون اطلاع. وفي هذه الحالة، ما زال يوجد أمامك عدد من الخطوات التي يمكنك اتخاذها للحدّ من خطورة تعرضك للاحتيال.
- لا تستخدم التطبيقات اللامركزية (dApps) التي لم تسمع بها من قبل، وتأكد دائماً جيداً من أصالتها.
- كن متشككاً في الرسائل المباشرة التي تصلك على وسائل التواصل الاجتماعي: فإذا وجدت شخص لا تعرفه يتواصل معك بإصرار، ففكر في أسباب ذلك. تذكر أن يمكنه أن يكون أي شخص (فلا ترتبط بالروابط).
- بصرف النظر عن نوع المعاملة التي تقوم بها، ما تزال Ledger Nano أداة قيمة للحفاظ على مفاتيحك الخاصة غير متصلة بالإنترنت في جميع الأوقات. استخدامها يضيف طبقة من الأمان لجميع تفاعلاتك.
- أيضاً…لا تفصح أبداً أبداً عن عبارة الاسترداد الخاصة بك لأي شخص، ولا تحفظها على جهاز متصل بالإنترنت، ولا تدخلها في محفظة برمجيات، فعبارة استرداد Ledger الخاصة بك مخصصة فقط لإدخالها في جهازك Ledger – مرة أخرى للأشخاص المتواجدون في الخلف!
حارس البوابة هو أنت
يتضمن التوقيع بدون اطلاع عنصرين: هو ثغرة تكنولوجية تدعو إلى الخطأ البشري. لهذا السبب إن تقييمك الشخصي لم يكن أكثر أهمية من ذلك أبداً.
أياً كان مدى تقدم محفظتك، فأنت تمثل آخر نقطة دفاع عن أصولك المشفرة. ولكن من خلال التأكد من إمكانية قيامك بفحص كل جزء من أجزاء المعاملة بنفسك، كتالوج تطبيقات Ledger الآخذ في الاتساع يمكّنك من الاستمتاع بالخيارات الجديدة المذهلة التي تتيحها الأصول المشفرة دون ترك نفسك للصدفة.
إذا كنت تريد فهم احتيالات الأصول المشفرة – وكيفية تجنبها – شاهد حلقة School of Block التي تدخل في رأس محتال.