من العلاج إلى السم: لماذا أصبح التصريح مصدراً للمخاطر؟
1. ما هو التصريح؟
لنبدأ بقصة صغيرة عن اقتراض المال:
تخيل أنني أريد اقتراض مليون دولار من صديقي جاك ما. وبدون تردد، يلتقط جاك الهاتف ويتصل بالبنك دون تردد، ويؤكد هويته ويأمرهم بتفويض بسحب مبلغ مليون دولار لي. يقوم البنك بتسجيل هذا التفويض، وكل ما عليّ فعله هو زيارة البنك والتعريف بهويتي وسحب المبلغ المصرح به. إذا لم يتمكن البنك من العثور على التفويض، يتم رفض طلبي.
والآن، دعنا نستكشف كيف تتغير هذه العملية باستخدام طريقة مختلفة – التصريح. في هذا السيناريو، عندما أطلب من جاك مليون دولار، يسحب شيكًا بشكل عرضي ويملأ المبلغ ويوقعه ويسلمني إياه. آخذ الشيك إلى البنك، وحتى بدون سجل تفويض، يقوم البنك بصرفه بناءً على توقيع جاك.
وهذا يوضح الفرق بين الموافقة والتصريح. تم استخدام الموافقة، وهي ميزة أساسية في ERC-20، على نطاق واسع منذ إطلاق الإيثيريوم. ولكن لماذا تم تقديم التصريح في وقت لاحق من خلال ERC-2612 لتحقيق نفس التأثير؟
2. لماذا كانت هناك حاجة إلى تصريح؟
تم تقديم اقتراح ERC-2612 في مارس 2019 وتم الانتهاء منه في أكتوبر 2022. وقد تزامن تطويره مع عدة ارتفاعات في أسعار الإيثيريوم. وقد أدى جنون السوق خلال فترات الصعود إلى دفع المستخدمين إلى إنفاق المزيد على رسوم الغاز من أجل معاملات أسرع، حيث يمكن أن تعني ميزة الكتلة الواحدة ربحًا كبيرًا.
غير أن هذه الظاهرة خلقت عبئًا على المستخدمين، حيث أصبحت عملية المعاملتين المطلوبة للموافقة مكلفة، خاصةً بالنسبة لمن لديهم أموال صغيرة. سمح إدخال التصريح بالتوقيع في وضع عدم الاتصال بالإنترنت، مما ألغى الحاجة إلى التفويض الفوري على السلسلة. كان هذا التغيير يعني أنه يمكن تقديم التفويض جنبًا إلى جنب مع التحويل الرمزي، على غرار صرف شيك دون الحاجة إلى موافقة مصرفية مسبقة.
وبينما بدا هذا الأمر مفيدًا – توفير مكالمة هاتفية لجاك وتقليل رسوم معاملات المستخدم – إلا أنه فتح صندوق باندورا دون قصد.
3. الارتفاع السريع للمخاطر
قبل بيرميت، كان القراصنة يعتمدون في كثير من الأحيان على أساليب التصيّد الاحتيالي التي تتطلب من المستخدمين التوقيع على معاملات الموافقة، وهو ما كان يترتب عليه رسوم غاز ويثير الشكوك. وحتى إذا قام المستخدمون بالنقر عن طريق الخطأ، فإن التأخير الزمني للمعاملات على السلسلة كان يسمح لهم بعكس الإجراء بمعاملة جديدة.
إلا أن التصريح غيّر اللعبة. فهو يلغي رسوم الغاز، ولا يتطلب سوى التوقيع، مما يقلل من يقظة المستخدم. نظرًا لأن التوقيع غير متصل بالإنترنت، يمكن للقراصنة السيطرة على الوضع واستغلاله متى شاءوا، مما يزيد من مكاسبهم.
ويتضح تأثير هذا التحول في ارتفاع عدد ضحايا التصيد الاحتيالي والمبالغ المسروقة. وفقًا لموقعScamSniffer:
- في عام 2023، بلغت خسائر التصيد الاحتيالي 295 مليون دولار.
- بحلول منتصف عام 2024، كان هذا الرقم قد تجاوز بالفعل 314 مليون دولار.
- في الربع الثالث من عام 2024، وقع حادث كبير تمثل في وقوع محفظة ضحية لهجوم تصيد احتيالي من قبل شركة Permit، مما أدى إلى خسارة 12,000 دولار من دولارات الولايات المتحدة بقيمة 30 مليون دولار تقريبًا.
مثل هذه النتائج لم تكن على الأرجح متوقعة من قبل المطورين الذين اقترحوا التصريح، الذي كان يهدف في البداية إلى خفض تكاليف الغاز وتعزيز تجربة المستخدم. ما كان يُراد له أن يكون سيفًا ذا حدين اتضح أنه سكين حاد، يقطع الحواجز الواقية حول أصول المستخدمين.
وقد ظهرت طرق توقيع مماثلة غير متصلة بالإنترنت، مثل Permit2 من Uniswap، مما يزيد من الاعتماد على التوقيع دون اتصال بالإنترنت ويضخم مخاطر التصيد الاحتيالي.
4. كيف تحمي نفسك
في مواجهة هذا التهديد الذي يلوح في الأفق، يمكن للمستخدمين اتخاذ العديد من الاحتياطات للتخفيف من الخسائر:
1. زيادة الوعي
- توخَّ الحذر من إغراءات الإنزال الطائر: يمكن أن تكون عمليات الإنزال الجوي مغرية، ولكن العديد منها عبارة عن محاولات تصيد احتيالي. تحقق دائمًا من شرعية الإنزال الجوي من خلال مصادر متعددة قبل المشاركة.
- تجنب التوقيع الأعمى: إذا دخلت عن غير قصد إلى موقع تصيد احتيالي وظهرت لك نافذة معاملة، فقم بالتدقيق في تفاصيل المعاملة. تشير مصطلحات مثل Permit أو Permit2 أو Approve أو IncreaseAllowance إلى مشكلات محتملة في التفويض، مما يستدعي الحذر. يمكن لمحافظ الأجهزة مثل Keystone المساعدة من خلال تحليل وعرض تفاصيل المعاملة، مما يمنع الإجراءات المتهورة.
2. استخدام الأدوات
- الاحتيال عبر الإنترنت: تعمل إضافة المتصفح هذه على تنبيه المستخدمين قبل الدخول إلى عناوين URL المشبوهة، مما يسمح لهم بإيقاف التفاعلات على الفور.
- الإلغاء: Revoke.cash يعرض سجلات تفويض الرمز المميز في محفظتك، وينصح المستخدمين بإلغاء أي تفويضات مشبوهة أو غير محدودة. تنظيف التفويضات بانتظام يقلل من المخاطر.
3. عزل الأصول والمحافظ متعددة التوقيعات
ينطبق القول المأثور “لا تضع كل بيضك في سلة واحدة” على الأصول المشفرة أيضًا. قم بتخزين الأصول الكبيرة في محافظ باردة مثل Keystone، باستخدام محافظ ساخنة صغيرة للمعاملات اليومية. بهذه الطريقة، حتى لو تم اختراق محفظة واحدة، فلن تكون جميع الأصول في خطر.
لمزيد من الأمان، يمكن للمحافظ متعددة التوقيعات توفير المزيد من الحماية. لا يمكن الوصول إلى الأصول إلا من خلال عدد محدد مسبقًا من الموافقات على المحفظة، مما يضمن أن محفظة واحدة مخترقة لن تؤدي إلى خسارة كاملة.
5. الخاتمة
وفي حين أننا لا نستطيع إنكار القيمة التي تجلبها بيرميت، إلا أن تزايد عدد السرقات يشير إلى أن مخاطرها قد تفوق فوائدها. على غرار طريقة ethsign التي كانت منتشرة في السابق، والتي تم التخلي عنها في نهاية المطاف بسبب مخاوف أمنية، تواجه بيرميت الآن لحظة حرجة. يجب على المطورين النظر بعناية في ما إذا كان يجب تعزيز هذه الطريقة أو التخلي عنها للمضي قدمًا.