عملية الاحتيال المعروفة باسم "Bait and Switch"

ما هو هجوم التصيد الاحتيالي؟

يشير هجوم التصيد الاحتيالي في Web3 إلى الأساليب الاحتيالية وتقليد واجهات الاستخدام بهدف إقناع المستخدمين طوعاً بـ"الاتصال أو التوقيع أو التفويض" للمعاملات في محافظهم، مما يمنح في النهاية المحتالين إذناً للوصول إلى أصولهم أو إدارتها. وعلى عكس سرقة الحساب بشكل مباشر، تعتمد هجمات التصيد الاحتيالي على الهندسة الاجتماعية لدفع المستخدمين إلى تنفيذ الإجراءات الحاسمة بأنفسهم.

في مجال العملات المشفرة، تتم العديد من التفاعلات عبر العقود الذكية. غالباً ما ينشئ المحتالون مواقع إلكترونية مزيفة تشبه مواقع المشاريع الأصلية ويستخدمون الرسائل المباشرة وضغط المجتمع ليقنعوك بأنها فعالية رسمية. ونتيجة لذلك، قد ينقر المستخدمون دون قصد على تأكيد حاسم داخل محافظهم.

لماذا تنتشر هجمات التصيد الاحتيالي في Web3؟

تنتشر هجمات التصيد الاحتيالي في Web3 بسبب الطبيعة غير القابلة للعكس لمعاملات البلوكشين، وإعدادات الأذونات التفصيلية، وعدم إلمام المستخدمين الكافي بأهمية "التوقيع" و"التفويض". بمجرد بث معاملة على السلسلة، غالباً لا يمكن عكسها—ويستغل المحتالون هذه الخاصية لاستخراج الأصول بسرعة.

خلال الأشهر الستة الماضية، ارتفعت هجمات التصيد الاحتيالي المتعلقة بتوزيعات الإيردروب، وسكّ NFT، وأنشطة Cross-Chain، ورسائل الروبوتات بشكل ملحوظ. وغالباً ما تتسم المراحل الأولية للأنظمة البيئية الجديدة في البلوكشين بوفرة المشاريع وتفاوت كبير في المعلومات، ما يخلق بيئة مناسبة للمحتالين.

أساليب التصيد الاحتيالي الشائعة

تشمل أساليب التصيد الاحتيالي النموذجية ما يلي:

• روابط إيردروب مزيفة
• صفحات سكّ NFT مزيفة
• رسائل دعم عملاء منتحلة في الرسائل المباشرة
• جسور Cross-Chain مزيفة
• تنبيهات مزيفة لتحميل أو تحديث الإضافات
• حوادث "عاجلة" تهدف للضغط لاتخاذ إجراء سريع

على سبيل المثال، قد ينشر المحتالون "إيردروب محدود الوقت" على وسائل التواصل الاجتماعي. يكون النطاق مختلفاً بحرف أو حرفين فقط عن الموقع الرسمي ويطلب منك ربط محفظتك و"التحقق من الأهلية". ثم يعرض الموقع نافذة تفويض تبدو شرعية؛ بعد الموافقة، يمكن للعقد نقل رموزك.

أسلوب آخر هو رسائل دعم العملاء المزيفة التي تدعي "وجود مشكلات في الحساب تتطلب التحقق"، وتوجهك إلى موقع مزيف يطلب منك عبارة الاستذكار أو التوقيع داخل محفظتك. ونظراً لأن عبارة الاستذكار تمثل نسخة قابلة للقراءة البشرية من مفتاحك الخاص، فإن كشفها يؤدي غالباً إلى سرقة الأصول.

كيف تعمل هجمات التصيد الاحتيالي على السلسلة؟

جوهر هجمات التصيد الاحتيالي على السلسلة هو إساءة استخدام "التوقيع والتفويض". إذ يسمح التوقيع لمحفظتك بتأكيد الرسائل أو المعاملات، بينما يمنح التفويض لعقد أو عنوان حق إدارة أصول معينة.

الخطوة 1: يقنعك المحتال بربط محفظتك وتوقيع إجراء، ويجعل العملية تبدو كأنها تسجيل رسمي. الخطوة 2: يعرض الموقع طلب تفويض يُزعم أنه لـ"التحقق من الأهلية"، لكنه فعلياً يمنح العقد إذناً لتحريك رموزك. الخطوة 3: يستغل العقد هذه الأذونات في الخلفية، وينقل أصولك غالباً عبر عدة معاملات صغيرة لإخفاء المسار.

العقود الذكية عبارة عن مجموعات قواعد آلية. وبمجرد منحها الأذونات، تعمل وفقاً للشيفرة دون الحاجة لموافقة إضافية. ولهذا السبب، حتى "التفويضات التي تبدو غير ضارة" قد تؤدي إلى فقدان الأصول.

كيفية التعرف على هجمات التصيد الاحتيالي

تشمل الخطوات الأساسية للتعرف على هجمات التصيد الاحتيالي التحقق من المصدر والصلاحيات.

• أولاً، تحقق من أسماء النطاقات والقنوات الرسمية للتأكد من التطابق. انتبه لأي تغييرات طفيفة أو أخطاء إملائية تحاكي العناوين الأصلية.
• ثانياً، لاحظ إذا كان الموقع يستخدم أساليب الإلحاح مثل "لفترة محدودة" أو "تصرّف الآن"—فهذه استراتيجيات ضغط شائعة.
• أيضاً، راجع محتوى النوافذ المنبثقة في المحفظة بعناية. إذا طُلب منك "منح عقد التحكم في رموزك" أو إعطاء أذونات واسعة، كن حذراً جداً. بينما يُعد التوقيع شائعاً، يجب أن تثير الرسائل غير المقروءة أو الطويلة جداً الشكوك.

كيفية الحماية من هجمات التصيد الاحتيالي

تبدأ الحماية من هجمات التصيد الاحتيالي بإدارة الحساب والعادات التشغيلية الآمنة.

1. إدارة الأصول بطبقات: استخدم محافظ بأرصدة صغيرة للتعاملات اليومية؛ واحتفظ بالمبالغ الأكبر في بيئات أكثر أماناً مع مصادقة قوية.
2. تجنب النقر على الروابط المجهولة تلقائياً: احصل على معلومات الأنشطة فقط من مواقع المشاريع الرسمية أو الروابط المثبتة على وسائل التواصل الاجتماعي الموثوقة. تجنب الروابط من الإعلانات أو الرسائل المباشرة غير المرغوب فيها.
3. قلل من التفويضات: في محفظتك أو DApp، فوض فقط الرموز والمبالغ الضرورية—وتجنب الموافقات "غير المحدودة". راجع وألغِ بانتظام الأذونات للعقود غير المستخدمة.
4. استخدم ميزات الأمان في المنصات: على منصات مثل Gate، فعّل قوائم العناوين البيضاء للسحب والتأكيدات الثانوية ليتم السحب فقط للعناوين المصرح بها مسبقاً. تحقق دائماً من الإشعارات حول تسجيلات الدخول أو السحوبات غير المعتادة وأوقف العمليات إذا لاحظت شيئاً مريباً.
5. اعتمد عادة "التوقف قبل التصرف": إذا طُلب منك التوقيع أو التحويل فوراً، توقف وتحقق من الطلب في مجموعات المجتمع أو عبر القنوات الرسمية أولاً.

ماذا تفعل إذا وقعت ضحية لهجوم تصيد احتيالي

إذا تعرضت لهجوم تصيد احتيالي، تصرف بسرعة عبر هذه الخطوات لتقليل الخسائر:

1. افصل محفظتك فوراً عن المواقع المشبوهة وتوقف عن أي توقيع أو تفويض إضافي.
2. ألغِ الأذونات باستخدام ميزات إدارة المحفظة أو أدوات خارجية لإزالة وصول العقود المشبوهة.
3. انقل الأصول المتبقية تحت سيطرتك إلى عنوان آمن أو احفظها مؤقتاً في منصة مثل Gate.
4. احتفظ بالأدلة—سجل المحادثات، مُعرّفات المعاملات، لقطات الشاشة—وأبلغ المنصة والسلطات المحلية. واطلب المساعدة من فرق الأمن المتخصصة إذا لزم الأمر.
5. حذّر المجتمع بنشر تنبيهات المخاطر في مجموعات المشاريع أو على وسائل التواصل الاجتماعي لمساعدة الآخرين على تجنب الوقوع ضحية.

كيف تختلف هجمات التصيد الاحتيالي عن الأساليب التقليدية؟

الاختلاف الجوهري هو الأذونات الآلية وعدم القابلية للعكس. إذ تسمح التفويضات على السلسلة للعقود الذكية بتنفيذ الإجراءات تلقائياً دون حاجة لاتصال إضافي من المحتالين—على عكس الأساليب التقليدية التي تعتمد على التواصل المستمر وتعليمات التحويل.

إضافة إلى ذلك، تُعد هجمات التصيد الاحتيالي أكثر عولمة وعبر منصات متعددة، وتنتشر بسرعة مع تصاميم متطورة. وبعد الهجوم، غالباً ما يتم توزيع الأموال المسروقة بسرعة عبر عدة سلاسل وخدمات الخلط، مما يصعّب تتبعها.

سيناريوهات عالية الخطورة لهجمات التصيد الاحتيالي

تشمل السيناريوهات عالية الخطورة الأخيرة ما يلي:

• إيردروبات مزيفة من مشاريع جديدة
• مواقع مزيفة لفعاليات سكّ NFT الشهيرة
• روابط منشأة عبر الروبوتات في مجموعات تيليجرام
• دعم عملاء منتحل على منصات التواصل الاجتماعي
• إعلانات بحث تقود إلى جسور Cross-Chain مزيفة
• تنبيهات مزيفة لتحديث إضافات المتصفح أو المحفظة
• صفحات حوكمة مزيفة تدفع للتوقيع العاجل من أجل "تصويت طارئ"

في هذه الحالات، يستغل المحتالون روايات "الوقت المحدود، المكافآت العالية، السهولة في التنفيذ"، إلى جانب نطاقات متشابهة وتصاميم شبيهة بالرسمية، ما يدفع المستخدمين لتجاهل التحقق من الأذونات والمصادر.

أهم النقاط حول هجمات التصيد الاحتيالي

المبدأ الأساسي: لا تتعامل مع "التوقيع والتفويض" كأنه نقرة آمنة دون مخاطر. أي رابط أو نافذة منبثقة غير مؤكدة قد تمنح العقود حق الوصول إلى أصولك. من خلال التحقق من المصادر، وتقليل التفويضات، وإلغاء الأذونات غير المستخدمة بانتظام، وإدارة الأموال بطبقات، وتفعيل ميزات الأمان مثل قوائم السحب البيضاء والتأكيدات الثانوية (كما في Gate)، يمكنك تقليل المخاطر بشكل كبير. اجعل أمان الأصول أولوية قصوى—ويمكن لاتباع عادة "التوقف قبل التصرف" أن يساعدك على تجنب معظم الخسائر.

الأسئلة الشائعة

كيف يحصل المحتالون عادةً على المفتاح الخاص أو عبارة الاستذكار في هجمات التصيد الاحتيالي؟

غالباً ما ينتحل المحتالون صفة الدعم الرسمي أو الطاقم الفني—أو يخلقون حالة استعجال (مثل مشكلات الحساب التي تتطلب التحقق)—ليخدعوك لمشاركة معلوماتك الحساسة. قد يدّعون أنهم بحاجة إلى مفتاحك الخاص "لاستعادة حسابك" أو "فتح الأموال"، لكن الفرق الرسمية لن تطلب منك هذه المعلومات أبداً. وبمجرد حصولهم عليها، يمكنهم التحكم في محفظتك مباشرة.

هل مشاركة عنوان محفظتي مع محتال تعرض أموالي للخطر؟

مشاركة عنوان محفظتك فقط تحمل مخاطرة منخفضة نسبياً، حيث أن العناوين عامة على السلسلة. ومع ذلك، إذا كشفت أيضاً عن مفتاحك الخاص أو عبارة الاستذكار أو إجابات الأسئلة الأمنية، فإن أموالك في خطر شديد. تحقق فوراً من سجل معاملاتك؛ وإذا لاحظت نشاطاً مشبوهاً، أبلغ وكالات أمن البلوكشين واحتفظ بالأدلة للتحقيق.

ما هو "نقل التفويض" في هجمات التصيد الاحتيالي ولماذا هو خطير؟

يشير نقل التفويض إلى خداعك لتوقيع موافقات عقود ذكية تبدو غير ضارة (مثل السماح بالاستعلامات) لكنها تمنح المحتالين فعلياً حق نقل أصولك. هذه الطريقة أكثر خفاءً من الطلب المباشر على المفتاح الخاص، إذ قد تبدو واجهة المعاملة شرعية تماماً. تحقق دائماً من عنوان العقد في مستكشف البلوكشين قبل التوقيع—ولا توافق على طلبات غير واضحة.

هل يمكن استعادة الأصول بعد إرسالها في هجوم تصيد احتيالي؟

بمجرد تأكيد معاملة على البلوكشين، لا يمكن عكسها—لكن الاسترداد ليس مستحيلاً إذا وصلت الأموال إلى منصة تداول. أبلغ فوراً (مثلاً إلى Gate) واطلب تجميد الحساب. احتفظ بجميع سجلات الدردشة ومعرّفات المعاملات؛ قدّم بلاغاً للشرطة المحلية واطلب المساعدة من شركات أمن البلوكشين لتتبع الأصول. كلما تصرفت أسرع، زادت فرص النجاح.

كيف أتحقق من شرعية فريق مشروع أو عنوان محفظة وأتجنب التصيد الاحتيالي؟

توفر المشاريع الشرعية عادة وسائل تحقق متعددة: مواقع رسمية، حسابات رسمية على وسائل التواصل الاجتماعي، وتسميات العقود في مستكشفي السلاسل. تحقق عكسياً من أي تواصل غير مرغوب فيه عبر المصادر الرسمية—ولا تثق أبداً في الروابط المقدمة مباشرة من الغرباء. استخدم ميزات التصنيف في منصات مثل Gate لتصنيف العناوين المشبوهة كـ"احتيال"؛ أضفها إلى القوائم السوداء وتجنب أي تفاعل معها.