في 22 أغسطس 2025، كشف عملية احتيال صادمة في العملات الرقمية عن مخاطر التعامل في مجالالتمويل اللامركزي (DeFi). وفقًا لمنصة الأمن ScamSniffer، فقد المستخدم حوالي مليون دولار في شكل رموز رقمية والرموز غير القابلة للاستبدال (NFTs)بعد توقيع معاملة ضارة تم تقديمها كعمليةتبديل في منصة Uniswap.
تعتبر هذه الحادثة مثالًا بارزًا لعملية احتيالتصيد واحتيال توقيعتستغل راحة التداول اللامركزي وعدم انتباه المستخدم.
كيفية عمل عملية احتيال التصيد: الإغراء بتوقيع زائف
تتميز هذه العملية الاحتيالية بأنها خداعية للغاية بسبب طريقة تنفيذها الذكية، والتي تتم عبر عدد من الخطوات الرئيسية:
-
واجهة مزيفة، خداع حقيقي:يقوم المهاجمون بإنشاء موقع إلكتروني مزيف يشبه بشكل شبه كامل واجهة منصة Uniswap الرسمية. يتم نشر هذا الموقع عادةً عبر روابط تصيد، والتي يمكن العثور عليها في إعلانات مزيفة، منشورات ضارة على وسائل التواصل الاجتماعي، أو حتى رسائل خاصة تبدو شرعية. غالبًا ما يُقاد المستخدمون إلى الموقع المزيف دون أن يدركوا ذلك.
-
إيقاعك في توقيع معاملة ضارة:عندما يبدأ المستخدم معاملة على الموقع المزيف (مثل تبديل الرموز الرقمية)، يقوم الموقع بإنشاء طلب معاملة ضار يدعو المستخدم إلى توقيعه. هذا ليس توقيعًا عاديًا لمعاملة Uniswap؛ بل هو توقيع لعقد ضار يتضمن"موافقة على معاملة مجمعة"أو أذونات خفية أخرى.
-
التحويل الصامت للأصول:بمجرد أن يوقع المستخدم هذا الطلب الضار، فإنه يمنح المهاجم دون قصد الإذن بإدارة أصول محفظتهبشكل جماعي. يمكن للمهاجم بعد ذلك استخدام هذا الإذن لاستنزاف الأصول عالية القيمة، بما في ذلك الرموز الرقمية والرموز غير القابلة للاستبدال (NFTs)، من محفظة الضحية—دون الحاجة إلى مزيد من التفويض من المستخدم.
في هذه الحالة، قام الضحية بتوقيع طلب "تسوية مجمعة" زائف تم تقديمه كعملية تبديل بسيطة، مما أدى إلى استنزاف كامل محتويات محفظته. يعتبر هذا النوع من الهجمات خطيرًا للغاية لأنه يبدو مطابقًا لعملية التمويل اللامركزي العادية، لكن الكود الأساسي مصمم فقط لسرقة الأموال.
كيف تحمي العملات المشفرة الخاصة بك: خطوات رئيسية لتجنب عمليات الاحتيال بالتوقيع
عمليات الاحتيال بالتوقيع شائعة فيعالم العملات المشفرةولكن يمكنك تقليل المخاطر بشكل كبير من خلال اتباع هذه الاحتياطات البسيطة:
-
دائماًتحققمن النطاق:قم بالوصول إلى منصات التداول اللامركزية فقط من خلال القنوات الرسمية أو العلامات المرجعية الخاصة بك. قبل القيام بأي شيء آخر، تحقق من عنوان URL في شريط العنوان بالمتصفح للتأكد من أنه النطاق الرسمي الدقيق.
-
تعامل بحذر مع كل طلب توقيع:لا تتسرع في الضغط على "تأكيد" عندما يظهر طلب توقيع في محفظتك. اقرأ الطلب بعناية. إذا كنت تستخدم محفظة EVM مثل MetaMask، فعادةً ما تعرض تفاصيل المعاملة. إذا بدا أي شيء مشبوهًا أو إذا لم تتعرف على العقد الذكي الذي يطلب الإذن، قم بإلغاء الطلب فوراً.
-
استخدم أدوات محاكاة المعاملات:توفر العديد من المحافظ وأدوات الأمان التابعة للجهات الخارجية (مثل ScamSniffer)ميزات محاكاة المعاملات. قم بمحاكاة نتيجة المعاملة قبل توقيعها. إذا أظهرت المحاكاة أن أصولك ستُنقل إلى عنوان غير معروف، فهذا تحذير واضح من عملية احتيال.
-
راجع أذونات المحفظة بانتظام:تعتمد العديد من عمليات الاحتيال على الأذونات طويلة المدى. اجعل من العادة مراجعة وإلغاء الأذونات غير الضرورية أو المشبوهة بانتظام. يمكنك استخدام أدوات مثل Etherscan أو خدمات أمان المحافظ الأخرى لإدارة الموافقات على العقود.
-
استخدم محافظ منفصلة:لا تحتفظ بجميع أصولك ذات القيمة العالية في محفظة واحدة. استخدم "محفظة ساخنة" مخصصة للاتصال بتطبيقات dApps وتوقيع المعاملات، واحتفظ بمعظم أصولك في محفظة أكثر أماناً وأقل استخداماً، ويفضل أن تكون محفظة باردة.
في عالم Web3، توقيعك هو هويتك، وإذنك هو أمرك. حماية توقيعك هي أفضل طريقة لحماية أصولك. كن يقظًا، ولا تدع نقرة واحدة تصبح بداية لخسارة بملايين الدولارات.