دليل المبتدئين لأمان Web3: خطر أن تكون المحفظة متوقعة بشكل خبيث متعددة التوقيع
الخلفية
في الدفعة السابقة من دليل أمان Web3، تحدثنا عن المخاطر المرتبطة بتنزيل أو شراء المحافظ، وكيفية العثور على المواقع الرسمية، وطرق التحقق من أصالة المحافظ، وأخطار تسرب مفتاح خاص/عبارة بذرة. تؤكد عبارة "ليست مفاتيحك، ليست عملاتك" أهمية السيطرة على مفاتيحك الخاصة. ومع ذلك، هناك حالات حيث حتى وجود المفاتيح الخاصة أو عبارات البذرة لا يضمن السيطرة على أصولك، مثل عندما تتعرض المحفظة للاختراق من خلال إعداد متعدد التوقيع خبيث.
استنادًا إلى البيانات التي تم جمعها من تقرير الأموال المسروقة من MistTrack ، يجد بعض المستخدمين أن محافظهم تحتوي على أموال ، ولكنهم لا يستطيعون تحويلها بسبب تكوينات التوقيع المتعدد الخبيثة. في هذا الدليل ، نستخدم محفظة TRON كمثال لشرح مفهوم احتيال التوقيع المتعدد ، وميكانيكيات أنظمة التوقيع المتعدد ، والتكتيكات الشائعة المستخدمة من قبل القراصنة ، والاستراتيجيات لمنع تكوين محفظتك بشكل خبيث مع إعدادات التوقيع المتعدد.
آلية التوقيع المتعدد
آلية التوقيع المتعددة (التوقيعات المتعددة) مصممة لتعزيز أمان المحفظة عن طريق السماح لعدة مستخدمين بإدارة والتحكم في الوصول إلى محفظة الأصول الرقمية بشكل جماعي. يعني هذا الإعداد أنه حتى لو فقد بعض المديرين مفاتيحهم الخاصة / عبارات البذر، فإن الأصول داخل المحفظة قد تظل آمنة.
يتضمن نظام TRON للتوقيع المتعدد ثلاثة مستويات إذن متميزة: المالك والشاهد والنشط ، وكل منها يؤدي وظائف وأغراض محددة.
أذونات المالك:
تحمل أعلى مستوى من السلطة، قادرة على تنفيذ جميع العقود والعمليات.
يمكن للمالك فقط تعديل الأذونات الأخرى، بما في ذلك إضافة أو إزالة الموقعين.
عند إنشاء حساب جديد، يتم تعيين إذن المالك للحساب تلقائيًا.
أذونات الشاهد:
- مرتبطة في المقام الأول بممثلين فائقي القدرات، تسمح هذه الإذن للحساب بالمشاركة في عملية الانتخاب والتصويت للممثلين الفائقي القدرات، بالإضافة إلى إدارة العمليات المتعلقة بهم.
أذونات نشطة:
- يُستخدم للعمليات اليومية مثل التحويلات وتنفيذ العقود الذكية. يمكن لصاحب المحفظة تعيين وتعديل هذه الأذونات، عادةً ما يتم تخصيصها للحسابات التي تحتاج إلى أداء مهام محددة. تشمل الأذونات النشطة مجموعة من الإجراءات المُصرَّح بها، مثل تحويل TRX ورهن الأصول.
كما ذكرنا سابقا ، يتلقى عنوان الحساب الجديد تلقائيا أذونات المالك (أعلى مستوى) افتراضيا. يمكن لهذا المالك بعد ذلك ضبط بنية أذونات الحساب، وتحديد العناوين التي تتلقى الأذونات، ووزن هذه الأذونات، وتعيين الحدود. يحدد الحد الوزن المطلوب للتوقيعات لتنفيذ إجراءات محددة. على سبيل المثال ، إذا تم تعيين الحد الأدنى على 2 ، وكان لكل عنوان من العناوين الثلاثة المصرح بها وزن 1 ، فيجب أن يوافق موقعان على الأقل على المضي قدما في العملية.
عملية التوقيع المتعدد الخبيث
عندما يحصل المتسلل على المفتاح الخاص للمستخدم أو العبارة الأولية ، ولم ينفذ المستخدم آلية متعددة التوقيعات (بمعنى أن المحفظة يتحكم فيها المستخدم فقط) ، يمكن للمتسلل إما منح نفسه أذونات المالك / النشط أو نقل أذونات المالك / النشط للمستخدم إلى عنوانه الخاص. يشار إلى هذه الإجراءات عادة باسم التوقيعات المتعددة الضارة ، ولكن يمكن تعريف هذا المصطلح على نطاق واسع. في الواقع ، يمكن تصنيف الموقف بناء على ما إذا كان المستخدم لا يزال يحتفظ بأي أذونات المالك / النشط:
استغلال آلية التوقيع المتعدد
في السيناريو الموضح أدناه، لم يتم إزالة أذونات المالك/النشط للمستخدم؛ بدلاً من ذلك، قام القراصنة بإضافة عنوانهم الخاص كطرف مالك/نشط مُصرّح به. حالياً، تتم التحكم في الحساب بشكل مشترك من قبل المستخدم والقراصنة، مع وضع العتبة عند 2. لكل من عناوين المستخدم والقراصنة وزن يساوي 1. على الرغم من أن المستخدم يمتلك المفتاح الخاص/عبارة البذرة ولا يزال لديه أذونات المالك/النشط، إلا أنه لا يمكنه نقل أصوله. هذا يرجع إلى أن أي طلب لنقل الأصول يتطلب موافقة كل من المستخدم والقراصنة، حيث أن كل توقيعين ضروريين لاستكمال العملية.
بينما يتطلب عملية تحويل الأصول من محفظة تحتوي على توقيعات متعددة توقيعات متعددة، فإن إيداع الأموال في المحفظة لا يتطلب ذلك. إذا لم يقم المستخدمون بالتحقق بانتظام من أذونات حسابهم أو لم يقموا بأي تحويلات حديثة، فقد لا يلاحظون التغييرات في أذونات محفظتهم، مما قد يؤدي إلى خسائر مستمرة. إذا كانت المحفظة تحتوي فقط على كمية صغيرة من الأصول، فقد ينتظر المخترقون حتى يتراكم المزيد من الأصول في الحساب قبل سرقة كل شيء دفعة واحدة.
استغلال نظام إدارة الأذونات في TRON
في سيناريو آخر ، يستغل المتسللون نظام إدارة أذونات TRON عن طريق نقل أذونات المالك / النشط للمستخدم مباشرة إلى عنوان المتسلل ، مع استمرار تعيين الحد الأدنى عند 1. يجرد هذا الإجراء المستخدم من أذونات المالك / الأذونات النشطة ، مما يزيل بشكل فعال سيطرته على الحساب ، حتى "حقوق التصويت". على الرغم من أن هذه ليست من الناحية الفنية حالة من التوقيعات المتعددة الضارة ، إلا أنه يشار إليها عادة على هذا النحو.
في كلتا الحالتين، سواء كان المستخدم يحتفظ بأي أذونات المالك / النشط أم لا، يفقد السيطرة الفعلية على الحساب. يمكن للقراصنة، الذي يمتلك الآذونات الأعلى الآن، تغيير إعدادات الحساب ونقل الأصول، مما يترك المالك الشرعي غير قادر على إدارة محفظته.
طرق الهجمات الخبيثة متعددة التوقيع
استنادًا إلى البيانات المجمعة من تقرير الأموال المسروقة من MistTrack، قمنا بتحديد عدة أسباب شائعة للهجمات الخبيثة متعددة التوقيع. يجب على المستخدمين أن يكونوا يقظين في المواقف التالية:
تحميل المحافظ المزيفة: قد يقوم المستخدمون بتحميل المحافظ المزيفة عن طريق النقر على الروابط إلى مواقع ويب احتيالية يتم إرسالها عبر تطبيق تليجرام أو تويتر أو مصادر أخرى. وهذا يمكن أن يؤدي إلى تسرب المفاتيح الخاصة أو عبارات البذور، مما يؤدي إلى هجمات توقيعات متعددة خبيثة.
إدخال المفاتيح الخاصة على مواقع الصيد الاحتيالي: يمكن للمستخدمين الذين يدخلون مفاتيحهم الخاصة أو عبارات البذور على مواقع الصيد الاحتيالي التي تقدم خدمات مثل بطاقات الوقود أو بطاقات الهدايا أو شبكات الخصوصية أن يفقدوا السيطرة على محافظهم.
التداول خارج البورصة: أثناء المعاملات خارج البورصة (OTC) ، قد يلتقط شخص ما أو يحصل على المفاتيح أو الأذونات الخاصة بالمستخدم ، مما يؤدي إلى هجوم ضار متعدد التوقيعات.
الغش المتعلق بالمفاتيح الخاصة: قد يقدم المحتالون مفتاحًا خاصًا، مدعين أنهم لا يمكنهم سحب الأصول ويقدمون مكافأة مقابل المساعدة. على الرغم من أن المحفظة المرتبطة تبدو بها أموال، إلا أن أذونات السحب مكونة لعنوان آخر، مما يمنع أي تحويل.
- روابط التصيد على TRON: قد يقوم المستخدمون بالنقر على روابط التصيد على TRON وتوقيع بيانات خبيثة، مما يؤدي إلى إعداد متعدد التوقيع الخبيث.
الاستنتاج
في هذا الدليل ، استخدمنا محفظة TRON كمثال لشرح آلية التوقيع المتعدد ، وكيف يقوم المتسللون بهجمات ضارة متعددة التواقيع ، والتكتيكات الشائعة المستخدمة. تهدف هذه المعلومات إلى تعزيز الفهم وتحسين الوقاية من الهجمات الضارة متعددة التوقيعات. بالإضافة إلى ذلك ، قد يقوم بعض المستخدمين ، وخاصة المبتدئين ، بتكوين محافظهم عن طريق الخطأ للتوقيع المتعدد ، مما يتطلب توقيعات متعددة لعمليات النقل. في مثل هذه الحالات، يحتاج المستخدمون إلى تلبية متطلبات التوقيع المتعدد أو العودة إلى توقيع واحد عن طريق تعيين أذونات المالك/الأذونات النشطة إلى عنوان واحد فقط.
تنويه:
- يتم إعادة طبع هذه المقالة من []. جميع حقوق التأليف والنشر تنتمي إلى المؤلف الأصلي [**]. إذا كانت هناك اعتراضات على إعادة الطبع هذه ، فيرجى الاتصال ب بوابة تعلم فريق ، وسوف يتعاملون معها على الفور.
- إخلاء المسؤولية عن المسؤولية: الآراء والآراء المعبر عنها في هذا المقال هي فقط تلك التي تعود إلى الكاتب ولا تشكل أي نصيحة استثمارية.
- تتم ترجمة المقالات إلى لغات أخرى من قبل فريق Gate Learn. ما لم يذكر ، فإن نسخ أو توزيع أو نسب المقالات المترجمة ممنوع.
مقالات ذات صلة
كيف تعمل بحوثك الخاصة (Dyor)؟
ما هو سولانا?
ما هو التحليل الأساسي؟
دليل المبتدئين لأمان Web3: خطر أن تكون المحفظة متوقعة بشكل خبيث متعددة التوقيع
خلفية
آلية التوقيع المتعدد
استغلال آلية التوقيع المتعدد
استغلال نظام إدارة الأذونات في TRON
طرق هجمات التوقيع المتعدد الخبيثة
استنتاج
الخلفية
في الدفعة السابقة من دليل أمان Web3، تحدثنا عن المخاطر المرتبطة بتنزيل أو شراء المحافظ، وكيفية العثور على المواقع الرسمية، وطرق التحقق من أصالة المحافظ، وأخطار تسرب مفتاح خاص/عبارة بذرة. تؤكد عبارة "ليست مفاتيحك، ليست عملاتك" أهمية السيطرة على مفاتيحك الخاصة. ومع ذلك، هناك حالات حيث حتى وجود المفاتيح الخاصة أو عبارات البذرة لا يضمن السيطرة على أصولك، مثل عندما تتعرض المحفظة للاختراق من خلال إعداد متعدد التوقيع خبيث.
استنادًا إلى البيانات التي تم جمعها من تقرير الأموال المسروقة من MistTrack ، يجد بعض المستخدمين أن محافظهم تحتوي على أموال ، ولكنهم لا يستطيعون تحويلها بسبب تكوينات التوقيع المتعدد الخبيثة. في هذا الدليل ، نستخدم محفظة TRON كمثال لشرح مفهوم احتيال التوقيع المتعدد ، وميكانيكيات أنظمة التوقيع المتعدد ، والتكتيكات الشائعة المستخدمة من قبل القراصنة ، والاستراتيجيات لمنع تكوين محفظتك بشكل خبيث مع إعدادات التوقيع المتعدد.
آلية التوقيع المتعدد
آلية التوقيع المتعددة (التوقيعات المتعددة) مصممة لتعزيز أمان المحفظة عن طريق السماح لعدة مستخدمين بإدارة والتحكم في الوصول إلى محفظة الأصول الرقمية بشكل جماعي. يعني هذا الإعداد أنه حتى لو فقد بعض المديرين مفاتيحهم الخاصة / عبارات البذر، فإن الأصول داخل المحفظة قد تظل آمنة.
يتضمن نظام TRON للتوقيع المتعدد ثلاثة مستويات إذن متميزة: المالك والشاهد والنشط ، وكل منها يؤدي وظائف وأغراض محددة.
أذونات المالك:
تحمل أعلى مستوى من السلطة، قادرة على تنفيذ جميع العقود والعمليات.
يمكن للمالك فقط تعديل الأذونات الأخرى، بما في ذلك إضافة أو إزالة الموقعين.
عند إنشاء حساب جديد، يتم تعيين إذن المالك للحساب تلقائيًا.
أذونات الشاهد:
- مرتبطة في المقام الأول بممثلين فائقي القدرات، تسمح هذه الإذن للحساب بالمشاركة في عملية الانتخاب والتصويت للممثلين الفائقي القدرات، بالإضافة إلى إدارة العمليات المتعلقة بهم.
أذونات نشطة:
- يُستخدم للعمليات اليومية مثل التحويلات وتنفيذ العقود الذكية. يمكن لصاحب المحفظة تعيين وتعديل هذه الأذونات، عادةً ما يتم تخصيصها للحسابات التي تحتاج إلى أداء مهام محددة. تشمل الأذونات النشطة مجموعة من الإجراءات المُصرَّح بها، مثل تحويل TRX ورهن الأصول.
كما ذكرنا سابقا ، يتلقى عنوان الحساب الجديد تلقائيا أذونات المالك (أعلى مستوى) افتراضيا. يمكن لهذا المالك بعد ذلك ضبط بنية أذونات الحساب، وتحديد العناوين التي تتلقى الأذونات، ووزن هذه الأذونات، وتعيين الحدود. يحدد الحد الوزن المطلوب للتوقيعات لتنفيذ إجراءات محددة. على سبيل المثال ، إذا تم تعيين الحد الأدنى على 2 ، وكان لكل عنوان من العناوين الثلاثة المصرح بها وزن 1 ، فيجب أن يوافق موقعان على الأقل على المضي قدما في العملية.
عملية التوقيع المتعدد الخبيث
عندما يحصل المتسلل على المفتاح الخاص للمستخدم أو العبارة الأولية ، ولم ينفذ المستخدم آلية متعددة التوقيعات (بمعنى أن المحفظة يتحكم فيها المستخدم فقط) ، يمكن للمتسلل إما منح نفسه أذونات المالك / النشط أو نقل أذونات المالك / النشط للمستخدم إلى عنوانه الخاص. يشار إلى هذه الإجراءات عادة باسم التوقيعات المتعددة الضارة ، ولكن يمكن تعريف هذا المصطلح على نطاق واسع. في الواقع ، يمكن تصنيف الموقف بناء على ما إذا كان المستخدم لا يزال يحتفظ بأي أذونات المالك / النشط:
استغلال آلية التوقيع المتعدد
في السيناريو الموضح أدناه، لم يتم إزالة أذونات المالك/النشط للمستخدم؛ بدلاً من ذلك، قام القراصنة بإضافة عنوانهم الخاص كطرف مالك/نشط مُصرّح به. حالياً، تتم التحكم في الحساب بشكل مشترك من قبل المستخدم والقراصنة، مع وضع العتبة عند 2. لكل من عناوين المستخدم والقراصنة وزن يساوي 1. على الرغم من أن المستخدم يمتلك المفتاح الخاص/عبارة البذرة ولا يزال لديه أذونات المالك/النشط، إلا أنه لا يمكنه نقل أصوله. هذا يرجع إلى أن أي طلب لنقل الأصول يتطلب موافقة كل من المستخدم والقراصنة، حيث أن كل توقيعين ضروريين لاستكمال العملية.
بينما يتطلب عملية تحويل الأصول من محفظة تحتوي على توقيعات متعددة توقيعات متعددة، فإن إيداع الأموال في المحفظة لا يتطلب ذلك. إذا لم يقم المستخدمون بالتحقق بانتظام من أذونات حسابهم أو لم يقموا بأي تحويلات حديثة، فقد لا يلاحظون التغييرات في أذونات محفظتهم، مما قد يؤدي إلى خسائر مستمرة. إذا كانت المحفظة تحتوي فقط على كمية صغيرة من الأصول، فقد ينتظر المخترقون حتى يتراكم المزيد من الأصول في الحساب قبل سرقة كل شيء دفعة واحدة.
استغلال نظام إدارة الأذونات في TRON
في سيناريو آخر ، يستغل المتسللون نظام إدارة أذونات TRON عن طريق نقل أذونات المالك / النشط للمستخدم مباشرة إلى عنوان المتسلل ، مع استمرار تعيين الحد الأدنى عند 1. يجرد هذا الإجراء المستخدم من أذونات المالك / الأذونات النشطة ، مما يزيل بشكل فعال سيطرته على الحساب ، حتى "حقوق التصويت". على الرغم من أن هذه ليست من الناحية الفنية حالة من التوقيعات المتعددة الضارة ، إلا أنه يشار إليها عادة على هذا النحو.
في كلتا الحالتين، سواء كان المستخدم يحتفظ بأي أذونات المالك / النشط أم لا، يفقد السيطرة الفعلية على الحساب. يمكن للقراصنة، الذي يمتلك الآذونات الأعلى الآن، تغيير إعدادات الحساب ونقل الأصول، مما يترك المالك الشرعي غير قادر على إدارة محفظته.
طرق الهجمات الخبيثة متعددة التوقيع
استنادًا إلى البيانات المجمعة من تقرير الأموال المسروقة من MistTrack، قمنا بتحديد عدة أسباب شائعة للهجمات الخبيثة متعددة التوقيع. يجب على المستخدمين أن يكونوا يقظين في المواقف التالية:
تحميل المحافظ المزيفة: قد يقوم المستخدمون بتحميل المحافظ المزيفة عن طريق النقر على الروابط إلى مواقع ويب احتيالية يتم إرسالها عبر تطبيق تليجرام أو تويتر أو مصادر أخرى. وهذا يمكن أن يؤدي إلى تسرب المفاتيح الخاصة أو عبارات البذور، مما يؤدي إلى هجمات توقيعات متعددة خبيثة.
إدخال المفاتيح الخاصة على مواقع الصيد الاحتيالي: يمكن للمستخدمين الذين يدخلون مفاتيحهم الخاصة أو عبارات البذور على مواقع الصيد الاحتيالي التي تقدم خدمات مثل بطاقات الوقود أو بطاقات الهدايا أو شبكات الخصوصية أن يفقدوا السيطرة على محافظهم.
التداول خارج البورصة: أثناء المعاملات خارج البورصة (OTC) ، قد يلتقط شخص ما أو يحصل على المفاتيح أو الأذونات الخاصة بالمستخدم ، مما يؤدي إلى هجوم ضار متعدد التوقيعات.
الغش المتعلق بالمفاتيح الخاصة: قد يقدم المحتالون مفتاحًا خاصًا، مدعين أنهم لا يمكنهم سحب الأصول ويقدمون مكافأة مقابل المساعدة. على الرغم من أن المحفظة المرتبطة تبدو بها أموال، إلا أن أذونات السحب مكونة لعنوان آخر، مما يمنع أي تحويل.
- روابط التصيد على TRON: قد يقوم المستخدمون بالنقر على روابط التصيد على TRON وتوقيع بيانات خبيثة، مما يؤدي إلى إعداد متعدد التوقيع الخبيث.
الاستنتاج
في هذا الدليل ، استخدمنا محفظة TRON كمثال لشرح آلية التوقيع المتعدد ، وكيف يقوم المتسللون بهجمات ضارة متعددة التواقيع ، والتكتيكات الشائعة المستخدمة. تهدف هذه المعلومات إلى تعزيز الفهم وتحسين الوقاية من الهجمات الضارة متعددة التوقيعات. بالإضافة إلى ذلك ، قد يقوم بعض المستخدمين ، وخاصة المبتدئين ، بتكوين محافظهم عن طريق الخطأ للتوقيع المتعدد ، مما يتطلب توقيعات متعددة لعمليات النقل. في مثل هذه الحالات، يحتاج المستخدمون إلى تلبية متطلبات التوقيع المتعدد أو العودة إلى توقيع واحد عن طريق تعيين أذونات المالك/الأذونات النشطة إلى عنوان واحد فقط.
تنويه:
- يتم إعادة طبع هذه المقالة من []. جميع حقوق التأليف والنشر تنتمي إلى المؤلف الأصلي [**]. إذا كانت هناك اعتراضات على إعادة الطبع هذه ، فيرجى الاتصال ب بوابة تعلم فريق ، وسوف يتعاملون معها على الفور.
- إخلاء المسؤولية عن المسؤولية: الآراء والآراء المعبر عنها في هذا المقال هي فقط تلك التي تعود إلى الكاتب ولا تشكل أي نصيحة استثمارية.
- تتم ترجمة المقالات إلى لغات أخرى من قبل فريق Gate Learn. ما لم يذكر ، فإن نسخ أو توزيع أو نسب المقالات المترجمة ممنوع.
مقالات ذات صلة
كيف تعمل بحوثك الخاصة (Dyor)؟
ما هو سولانا?