دراورهای کیف پول چیستند؟ نگاهی به صنعت فیشینگ تأییدیه
دراورهای کیف پول میلیاردها دلار از کاربران ارزهای دیجیتال سرقت کردهاند و تقریباً هیچکدام از این موارد شامل یک رمز عبور دزدیده شده یا یک بلاکچین هک شده نبوده است. این موارد شامل قربانیانی است که تراکنشهایی را امضا کردهاند که نمیفهمیدند. این راهنما توضیح میدهد که دراورها چگونه کار میکنند، مکانیزم تأیید توکنهایی که از آن سوءاستفاده میکنند، صنعت دراور بهعنوان یک سرویس که سرقت را صنعتی کرده است، امضاهای خاصی که به مهاجمان همه چیز را میدهد و دقیقاً چگونه میتوان از یک کیف پول محافظت کرد و تأییدهایی که ممکن است قبلاً خطرناک باشند را لغو کرد.
موفقترین تکنیک سرقت در ارزهای دیجیتال به هیچ چیزی نفوذ نمیکند. این تکنیک اجازه میخواهد و قربانی آن را میدهد. دراورهای کیف پول، ابزارهای مخرب که در یک تراکنش تأیید شده، کیف پول ارز دیجیتال را از توکنها و NFTهایش خالی میکنند، میلیاردها دلار از صدها هزار قربانی سرقت کردهاند و واقعیت شگفتانگیز در مورد تقریباً هر مورد این است که بلاکچین بهطور کامل کار کرده است، رمزنگاری محفوظ بوده و هیچ رمز عبوری هرگز دزدیده نشده است. قربانی فریب خورده و تراکنشی را امضا کرده است که سرقت را مجاز میدارد و زنجیره، دقیقاً همانطور که طراحی شده است، تأیید را بهطور وفادار اجرا کرده است.
این ویژگی تعریفکننده عصر دراور است: سطح حمله از پروتکل به شخص منتقل شده است. بلاکچینها سرقت سکهها را با شکستن ریاضیات بهطور مؤثری غیرممکن کردهاند، بنابراین دزدان تلاش را متوقف کردند و به جای آن به تنها عنصری که هیچ رمزنگاری نمیتواند آن را ایمن کند، یعنی انسان که تصمیم میگیرد چه چیزی را امضا کند، روی آوردند. دراورها محصول صنعتیشده آن تغییر هستند، ابزارهای بستهبندیشدهای که بهعنوان یک سرویس به جنایتکاران غیرتکنیکی فروخته میشوند، همراه با زیرساخت فیشینگ برای فریب قربانیان و قراردادهای هوشمند برای جمعآوری داراییهایشان به محض تأیید.
این راهنما کل ماشین را توضیح میدهد. این راهنما شامل نحوه کار تأییدهای بلاکچین و اینکه چرا آنها آسیبپذیری هستند، آناتومی یک حمله دراور از فریب تا جمعآوری، امضاهای مخرب خاص، تأییدها، مجوزها و تراکنشهای مشهور امضای کور است که به مهاجمان همه چیز را میدهد، صنعت دراور بهعنوان یک سرویس که سرقت کیف پول را به یک کسبوکار فرانچایز تبدیل کرده است، فریبهایی که قربانیان را تحویل میدهند و دفاعهای مشخص، از جمله نحوه پیدا کردن و لغو تأییدهای خطرناکی که ممکن است در حال حاضر در کیف پول شما نشسته باشند. شاید شما همچنین دوست داشته باشید: اینتسا سانپائولو XRP را از طریق یک تراست خرید. بانکها واقعاً چگونه ارز دیجیتال را نگه میدارند؟
تأییدها: ویژگی که به سلاح تبدیل شد
برای درک دراورها، باید تأییدهای توکن را درک کنید، زیرا کل حمله سوءاستفاده از یک ویژگی مشروع و ضروری است. وقتی شما از یک برنامه غیرمتمرکز، یک DEX، یک پروتکل وامدهی، یک بازار NFT استفاده میکنید، به مجوز نیاز دارد تا توکنهای شما را به نمایندگی از شما جابجا کند. به جای تأیید هر تراکنش بهطور جداگانه، مکانیزم استاندارد به شما اجازه میدهد که یک قرارداد هوشمند را مجاز کنید: اجازه برای خرج کردن تا مقداری مشخص از یک توکن خاص از کیف پول شما، بنابراین برنامه میتواند بهطور روان عمل کند بدون اینکه هر بار سؤال کند.
این کار راحت و در صورت استفاده صادقانه، ایمن است. مشکل این است که مکانیزم چه چیزی را در صورت سوءاستفاده مجاز میکند. تأییدها میتوانند برای مقادیر نامحدود باشند، یک امضا میتواند یک قرارداد را مجاز کند تا تمام توکنهایی را که هرگز خواهید داشت جابجا کند و آنها ادامه دارند، تأییدی که یک بار دادهاید تا زمانی که آن را لغو کنید فعال میماند، گاهی برای سالها، بهطور خاموش مجوز را برای خالی کردن آن توکن حفظ میکند، مدتها پس از اینکه شما تراکنش را فراموش کردهاید. یک قرارداد مخرب که تأیید نامحدود و دائمی برای باارزشترین توکن شما بهدست میآورد، کلید دائمی به آن بخش از کیف پول شما را در اختیار دارد و میتواند هر زمان که بخواهد از آن کلید استفاده کند، از جمله مدتها پس از لحظهای که شما امضا کردید.
دزدگیرها برای به دست آوردن دقیقاً همان تأییدیهها از طریق فریب وجود دارند. هدف کلی حملهکننده این است که شما را وادار کند تا یک تراکنش را امضا کنید که به یک قرارداد مخرب اجازه دسترسی به داراییهای شما را میدهد و همه چیزهای دیگر، از وبسایتهای جعلی، پیامهای فوری، برندهای جعل شده، ماشینآلاتی هستند که برای تولید آن یک امضا ساخته شدهاند. به محض اینکه این اجازه داده شد، سرقت یک هک نیست؛ بلکه این قرارداد است که مجوزی را که شما تأیید کردهاید، اجرا میکند، به همین دلیل است که سرقتهای دزدگیر بسیار سخت به حالت قبل برمیگردند و به همین دلیل بلاکچین هیچ راهی برای جبران به قربانی ارائه نمیدهد: از دید پروتکل، هیچ چیزی اشتباه پیش نرفته است.
آناتومی یک حمله دزدگیر
یک حمله دزدگیر یک توالی ثابت را اجرا میکند و دانستن آن خطر را قابل درک میسازد. این حمله با یک طعمه آغاز میشود: قربانی با چیزی مواجه میشود که طراحی شده است تا او را وادار کند یک کیف پول متصل کند و امضا کند، یک نسخه جعلی از وبسایت یک پروژه واقعی، یک ادعای هوای جعلی، یک لینک مخرب در یک حساب رسانه اجتماعی هک شده، یک صفحه ضرب جعلی برای نوعی راهاندازی میمکوین که جمعیت را به سرعت برای ورود به سیستم جذب میکند، یک نتیجه جستجوی آلوده یا تبلیغ. وظیفه طعمه این است که قربانی را در مقابل یک درخواست امضای کیف پول قرار دهد در حالی که او فکر میکند که در حال انجام کاری مشروع است، مانند ادعای یک پاداش، ضرب یک NFT، تأیید یک حساب، یا اتصال به یک برنامه آشنا.
سپس درخواست امضا میآید، قلب حمله. وبسایت مخرب از کیف پول قربانی میخواهد تا یک تراکنش را امضا کند و این تراکنش به گونهای طراحی شده است که به قرارداد حملهکننده اجازه دسترسی به داراییهای قربانی را بدهد، یک تأیید توکن نامحدود، یک امضای مجوز، یا یک مجوز دستهای که چندین دارایی را به طور همزمان پوشش میدهد. برای قربانی، این درخواست اغلب به نظر روتین میآید و دزدگیرهای مدرن سخت کار میکنند تا آن را دقیقاً شبیه به عمل مشروعی که قربانی انتظار دارد، نشان دهند، و تأیید مخرب را به عنوان اتصال یا ادعایی که برای انجام آن آمدهاند، پنهان کنند. کیف پول، به درستی، یک درخواست امضا را نشان میدهد؛ قربانی، با این باور که بیضرر است، تأیید میکند.
سرقت بلافاصله دنبال میشود. به محض اینکه تأیید انجام شد، زیرساخت دزدگیر داراییهای مجاز را از کیف پول خارج میکند، اغلب در همان بلاک، با سرعت از طریق همان زیرساخت اولویتبندی که تمام استخراجهای زنجیرهای را قدرت میدهد، و معمولاً توکنهای با ارزشتر را در اولویت قرار میدهد و از اتوماسیون برای تخلیه همه چیزهایی که امضا مجاز کرده است، قبل از اینکه قربانی متوجه شود چه اتفاقی افتاده، استفاده میکند. داراییهای دزدیده شده سپس از طریق میکسرها و مسیرهای زنجیرهای شسته میشوند، همان مسیر پنهانسازی که هر سرقت بزرگی دنبال میکند، و تجزیه و تحلیلهای زنجیرهای که صنعت تجزیه و تحلیل زنجیرهای دنبال میکند اما به ندرت معکوس میکند، و به محض اینکه قربانی متوجه میشود، داراییها رفتهاند و تأییدیهای که مجوز از دست دادن آنها را صادر کرده است، اغلب هنوز فعال است و آماده است تا هر توکن جدیدی که وارد میشود را جارو کند. کل توالی، از طعمه تا سرقت، میتواند در چند ثانیه کامل شود و سرعت آن دلیل این است که پیشگیری، نه واکنش، تنها دفاع واقعی است. شما ممکن است همچنین دوست داشته باشید: بیتکوین با 62 هزار دلار حداکثر درد مواجه است زیرا گزینههای رمزنگاری 1.75 میلیارد دلاری منقضی میشوند.
امضاهایی که همه چیز را فاش میکنند
همه امضاهای مخرب برابر نیستند و خطرناکترین آنها ارزش شناختن به نام را دارند، زیرا شناسایی آنها تفاوت بین یک تماس نزدیک و یک کیف پول خالی است.
تأیید نامحدود کلاسیک است: امضایی که اجازه میدهد یک قرارداد به مقدار نامحدودی از یک توکن خاص هزینه کند. برنامههای قانونی گاهی اوقات به خاطر راحتی این درخواستها را میکنند، که دقیقاً همین موضوع آنها را خطرناک میسازد، قربانیان به تأیید آنها عادت میکنند و یک قرارداد مخرب با تأیید نامحدود میتواند آن توکن را به طور کامل تخلیه کند، هم اکنون و هم بعداً. امضای مجوز حتی زیرکانهتر و خطرناکتر است: استانداردهای جدید توکن اجازه میدهند تأییدات از طریق یک پیام امضا شده خارج از زنجیره به جای یک تراکنش درون زنجیرهای اعطا شوند، که به این معنی است که یک قربانی میتواند با امضای چیزی که به نظر میرسد پیام بیضرری است، یک تخلیه را مجاز کند، بدون هزینه گاز و بدون تراکنش واضح، که حملات مبتنی بر مجوز را به ویژه فریبنده میکند زیرا آنها زنگ خطر ذهنی که ممکن است یک تراکنش تأیید صریح ایجاد کند را دور میزنند. امضاهای دستهای یا واگذاری شده، که اقداماتی را در چندین دارایی مجاز میکنند یا کنترل گستردهای را در یک تأیید میدهند، به یک امضا اجازه میدهند که تمام داراییهای یک کیف پول را به یکباره واگذار کند.
مسئله عمیقتری که در پس همه آنها وجود دارد: امضای کور. یک کیف پول سختافزاری یا نرمافزاری کلیدهای شما را محافظت میکند، اما اغلب نمیتواند به شما بگوید، به زبان ساده، یک تراکنش پیچیده واقعاً چه کاری انجام میدهد، بلکه به جای آن یک هش مبهم یا یک داده غیرقابل درک را نشان میدهد. وقتی یک قربانی نمیتواند بخواند که چه چیزی را مجاز میکند، به توصیف وبسایت از تراکنش اعتماد میکند به جای خود تراکنش، و دزدان دقیقاً از همین شکاف سوءاستفاده میکنند، داستانی بیضرر را ارائه میدهند در حالی که امضای زیرین سرقت را مجاز میکند. امضای کور بزرگترین آسیبپذیری در نگهداری خود است، همان حالت شکست که پشت بزرگترین سرقتهای نهادی در صنعت قرار دارد، و به همین دلیل است که دفاعهایی که بیشترین اهمیت را دارند، آنهایی هستند که تراکنشها را قبل از امضا خوانا میکنند.
دزدی به عنوان یک خدمت: سرقت به عنوان یک حق امتیاز
آنچه که تخلیه کیف پول را از یک مزاحمت پراکنده به یک صنعت میلیارد دلاری تبدیل کرد، نوآوری در مدل کسبوکار بود: دزدی به عنوان یک خدمت. به جای اینکه هر دزد ابزارهای خود را بسازد، توسعهدهندگان باهوش کیتهای دزدی ساختند، بستههای کامل شامل قراردادهای هوشمند مخرب، الگوهای سایتهای فیشینگ، اتوماسیون جمعآوری دارایی و حتی پشتیبانی مشتری، و آنها را به جنایتکاران غیر فنی اجاره یا مجوز میدهند به ازای سهمی از وجوه دزدیده شده، معمولاً درصدی از هر تخلیه.
این حق امتیازدهی است که باعث شد دزدان به طرز فاجعهباری مقیاس پیدا کنند. این مانع مهارت را حذف کرد: یک جنایتکار بدون توانایی کدنویسی اکنون میتواند با اشتراک در یک خدمت، یک عملیات تخلیه با کیفیت حرفهای را راهاندازی کند، آن را به یک طعمه نشانهگذاری کند و عواید را با توسعهدهندگان تقسیم کند. کیتها در زمینه اثربخشی رقابت میکنند و به سرعت برای شکست هشدارهای کیف پول، فرار از شناسایی و بهبود فریبندگی خود تکامل مییابند، یک مسابقه تسلیحاتی که توسط خود سرقت تأمین مالی میشود. خدمات دزد معروف مقادیر شگفتانگیزی را در میان دهها یا صدها هزار قربانی پردازش کردهاند، خساراتی به مقیاس سوءاستفادههایی که کل پروتکلها را تخلیه میکنند قبل از اینکه متوقف شوند، نام خود را تغییر دهند یا توسط تقلیدکنندگان جانشین شوند، و تابآوری مدل ساختاری است: یکی را بگیرید و تقاضا، ابزارها و توسعهدهندگان به سادگی تحت یک نام جدید دوباره تشکیل میشوند. این صنعت به روشی حرفهای شده است که نرمافزار قانونی انجام داده است، با سطوح، بهروزرسانیها و پشتیبانی، که به طور کامل به تولید امضاهای مخرب اختصاص یافته است.
مقیاس، و چرا همچنان در حال رشد بود
اعداد پشت دوران دزدی توضیح میدهند که چرا این موضوع اینقدر توجه را جلب میکند. در سالهای اوج این پدیده، عملیاتهای دزدی به طور جمعی میلیاردها دلار از صدها هزار کیف پول دزدیدند، با خدمات فردی که صدها میلیون دلار را پردازش کردند قبل از اینکه بازنشسته یا نام خود را تغییر دهند، و خسارات نه تنها بین تازهکارهای بیاحتیاط بلکه در میان تمام طیف کاربران، از جمله دارندگان با تجربه که در یک لحظه روتین یک تراکنش بد امضا کردند، متمرکز بود. منحنی رشد مدل خدماتی را دنبال کرد: با آسانتر شدن اجاره کیتها و مؤثرتر شدن آنها در دور زدن هشدارهای کیف پول، تعداد اپراتورها افزایش یافت و آسیب کل نیز با آنها افزایش یافت.
دو دینامیک مشکل را سرسخت کرده است. اولی رقابت تسلیحاتی است: هر بهبودی در امنیت کیف پول، هشدارهای تراکنش، لیست سیاه سایتهای فیشینگ، و هشدارهای تأیید، با تطبیق کیتهای دزدی برای فرار از آنها مواجه شد، که از طریق خود دزدی تأمین مالی میشد، بنابراین دفاعها و حملات به طور همزمان تکامل یافتند بدون اینکه هیچیک از طرفین به طور دائمی پیروز شوند. دومی مشکل بازسازی است: زیرا مدل یک خدمت است، نه یک عملیات ثابت، از بین بردن هر دزد منفرد، از طریق اجرای قانون، همکاری با صرافیها، یا توسعهدهندگان که به سادگی پول را برداشت میکنند، یک برند را حذف میکند اما تقاضا، تخصص یا ابزارها را از بین نمیبرد، که تحت نامهای جدید دوباره ظاهر میشوند. این صنعت به اندازه هر بازار نرمافزاری مشروع مقاوم بوده است، به دلایل مشابه: موانع ورود پایین، تقاضای قوی و تکرار مداوم، همه به سمت تولید امضاهای مخرب. شاید شما هم دوست داشته باشید: بیتکوین ۳٪ افزایش مییابد در حالی که قیمت نفت کاهش مییابد، اما ۶۵,۰۰۰ دلار مانع از بهبود میشود
یک دزد در حرکت آهسته
پیادهروی یک حمله ترکیبی با سرعت انسانی، توالی انتزاعی را عینی میکند. یک کاربر پستی از آنچه به نظر میرسد یک پروژهای است که دنبال میکند، از یک حساب کاربری به نظر رسمی، میبیند که یک ایردراپ غیرمنتظره با مهلت ادعا در ساعتها اعلام شده است. این فوریت عمدی است. آنها روی لینک کلیک میکنند، که به سایتی میرسد که یک کپی دقیق از پروژه واقعی است، که از طریق دامنهای که یک حرف از دامنه اصلی فاصله دارد، به آن دسترسی پیدا میکنند. سایت آنها را دعوت میکند تا کیف پول خود را متصل کنند تا واجد شرایط بودن را بررسی کنند، یک عمل روتین و بیخطر به نظر میرسد، و آنها این کار را انجام میدهند. سایت گزارش میدهد که آنها برای تخصیص قابل توجهی واجد شرایط هستند و از آنها میخواهد تا یک تراکنش را برای ادعای آن امضا کنند.
این درخواست تله است. آنچه سایت به عنوان ادعا توصیف میکند، در زیر، درخواستی برای اعطای تأیید نامحدود به قرارداد مهاجم بر روی با ارزشترین توکن کاربر است، یا یک امضای مجوز که همان را از طریق یک پیام بدون گاز که حتی بیخطرتر به نظر میرسد، مجاز میکند. کاربر، که از ایردراپ هیجانزده است و توسط سایت آشنا آرامش یافته، توصیف بیضرر سایت را به جای محتوای واقعی تراکنش میخواند، که کیف پول آنها ممکن است فقط به عنوان یک توده مبهم نشان دهد، و تأیید میکند.
در همان بلاک، دزد توکن مجاز را از کیف پول میدزدد، و اگر امضا گسترده بود، به دارایی بعدی میرود. چند دقیقه بعد، کاربر کانالهای پروژه واقعی را بررسی میکند و متوجه میشود که هیچ ایردراپی وجود نداشته است. تأیید که دزدی را مجاز کرده هنوز فعال است، و مگر اینکه لغو شود، هر توکن جایگزینی که وارد شود را خواهد دزدید. هر مرحله طبیعی به نظر میرسید؛ کل خسارت از یک امضای واحد ناشی میشود که در یک عجله ساختگی امضا شده است، که کل طراحی دزد در مقیاس کوچک است.
فریبها: چگونه قربانیان تحویل داده میشوند
قراردادهای تخلیه تنها نیمی از ماشین هستند؛ نیمه دیگر زیرساخت فریب است که قربانیان را به نشانهگذاری میرساند و تنوع آن ارزش ثبت دارد زیرا شناسایی، دفاع است. ایردراپهای جعلی و ادعاهای توکن از طمع و فوریت سوءاستفاده میکنند و توکنهای رایگانی را وعده میدهند که نیاز به اتصال کیف پول و امضا برای ادعا دارند. سایتهای جعل هویت، پروژههای واقعی را پیکسل به پیکسل کپی میکنند و از طریق تبلیغات جستجوی آلوده، دامنههای اشتباهنویسی شده یا لینکهای منتشر شده از حسابهای رسمی هک شده به دست میآیند، به طوری که قربانیان باور میکنند که در سایت واقعی هستند. ضربات جعلی و عرضههای محدود، کمبود و فشار زمانی را تولید میکنند و قربانیان را به سرعت از احتیاط دور میکنند. حسابهای رسانههای اجتماعی هک شده، از جمله حسابهای تأیید شده و رسمی، لینکهای مخرب را به دنبالکنندگان قابل اعتماد ارسال میکنند. پیامهای مستقیم که حمایت، فرصتها یا هشدارها را ارائه میدهند، قربانیان را به سایتهای مخرب جذب میکنند. و تبلیغات مخرب که در موتورهای جستجو و پلتفرمهای اجتماعی قرار میگیرند، سایتهای جعلی را بالاتر از واقعیها قرار میدهند.
رشته مشترک روانشناختی است: هر فریب یک حالت، هیجان، فوریت، اعتماد، ترس از دست دادن را مهندسی میکند، که در آن قربانی آماده است بدون بررسی امضا کند. پیچیدگی فنی تخلیه تقریباً ثانویه به مهندسی اجتماعی فریب است، زیرا کل حمله به این بستگی دارد که قربانی را در لحظهای بگیرد که ابتدا تأیید میکند و بعد فکر میکند. به همین دلیل است که مؤثرترین دفاع نه فنی بلکه رفتاری است، یک امتناع دائمی از امضای هر چیزی از حالت فوریت، و همچنین به همین دلیل است که مهاجمان به شدت در تولید آن فوریت سرمایهگذاری میکنند.
دفاع و لغو آنچه ممکن است خطرناک باشد
محافظت از کیف پول در برابر تخلیهکنندگان به مجموعهای از عادات و یک کار نگهداری بستگی دارد که اکثر کاربران هرگز آن را انجام ندادهاند. عادات: هر درخواست امضا را به عنوان یک تصمیم در نظر بگیرید، نه یک تشریفات، و هرگز از حالت فوریت امضا نکنید، زیرا فوریت خود حمله است. سایتها را به طور مستقل تأیید کنید، با تایپ کردن URLهای شناخته شده یا استفاده از بوکمارکها به جای کلیک بر روی لینکها، تبلیغات یا نتایج جستجو. به شدت به هر چیزی که رایگان، غیرمنتظره یا تحت فشار زمانی است مشکوک باشید، امضای احساسی یک فریب. از کیف پولی استفاده کنید که تراکنشها را رمزگشایی و شبیهسازی میکند و به زبان ساده نشان میدهد که یک امضا واقعاً چه کاری انجام خواهد داد قبل از اینکه آن را تأیید کنید، که به طور مستقیم به آسیبپذیری امضای کور حمله میکند و از امضای هر چیزی که نمیتوانید بخوانید خودداری کنید. داراییهای جدی را در یک کیف پول سختافزاری نگه دارید و بهتر است یک کیف پول سرد اختصاصی که هرگز به برنامهها متصل نمیشود، داشته باشید، بنابراین کیف پولی که برای تعامل با dapps استفاده میکنید تنها آنچه را که میتوانید از دست بدهید، نگه میدارد. و به تأییدات نامحدود با احتیاط خاصی برخورد کنید و تنها مجوزی را که یک تعامل واقعاً نیاز دارد، در صورت امکان، اعطا کنید.
کار نگهداری لغو تأییدات است و این تنها کاری است که اکثر کاربران از آن صرف نظر میکنند. هر تأییدیهای که تا به حال اعطا کردهاید هنوز فعال است تا زمانی که لغو شود، به این معنی که مجوزهای قدیمی و فراموش شده، از جمله هر مجوز مخربی که ممکن است بدون عواقب امضا کرده باشید، به عنوان ریسک دائمی در کیف پول شما باقی میمانند. ابزارهای بررسی تأیید، از جمله آنهایی که در کیف پولهای اصلی و کاوشگرهای بلاک ساخته شدهاند، به شما اجازه میدهند هر تأیید فعال در کیف پول خود را مشاهده کنید، که کدام قراردادها میتوانند کدام توکنها را خرج کنند و تأییدهایی را که نمیشناسید یا دیگر نیازی به آن ندارید لغو کنید. مرور و لغو تأییدات به طور دورهای درهای دائمی را که تخلیهکنندگان به آن وابستهاند، میبندد و انجام آن اکنون، به ویژه لغو هر تأیید نامحدود به قراردادهای ناشناخته، بالاترین اقدام امنیتی با ارزش است که اکثر کاربران ارزهای دیجیتال میتوانند انجام دهند و هنوز انجام ندادهاند.
خلاصه صادقانه این است که دزدها شکل بالغ سرقت ارزهای دیجیتال در دورانی هستند که رمزنگاری قابل شکستن نیست: صنعت کد را به قدری به طور کامل تأمین کرده است که جنایتکاران آن را رها کرده و یک صنعت حرفهای در اطراف تولید تنها چیزی که خودنگهداری نمیتواند از آن جلوگیری کند، یعنی امضای خود قربانی در یک تراکنش مخرب، ساختهاند. هیچ ارتقاء بلاکچین این مشکل را حل نمیکند، زیرا هیچ چیزی در بلاکچین اشتباه نیست و دفاع به طور متناسب انسانی است: شک و تردید آگاهانه، تراکنشهای قابل خواندن، حداقل در معرض خطر بودن و لغو تأییدها.
این فناوری به همه قدرت میدهد که بانک خود باشند و دزدها یادآور ایستادهای هستند که بودن بانک خود به معنای داشتن بخش امنیتی خود است و مهمترین دیوار آتش در ارزهای دیجیتال، فاصله بین خواندن یک درخواست امضا و تأیید آن است.
یک چارچوب آخر که ارزش یادآوری دارد: دزدها قیمت بزرگترین قدرت خودنگهداری هستند. همان ویژگی که به شما اجازه میدهد داراییهایی را نگه دارید که هیچ بانکی نمیتواند آنها را مسدود کند، اختیار نهایی بر امضای خودتان است، ویژگیای که مهاجمان علیه شما استفاده میکنند، زیرا امضایی که شما را فریب دادهاند تا انجام دهید، به اندازه هر امضای دیگری نهایی است. هیچ خط پشتیبانی برای معکوس کردن آن وجود ندارد و هیچ مؤسسهای برای جذب ضرر وجود ندارد، که دقیقاً معاملهای است که خودنگهداری ارائه میدهد: کنترل کامل در ازای مسئولیت کامل. خبر خوب این است که مسئولیت با چند عادت قابل یادگیری و یک بعدازظهر معوقه صرف لغو تأییدهای قدیمی برطرف میشود و کاربرانی که آنها را درونی میکنند، در عمل، بسیار سخت برای دزدیدن هستند. دیوار آتش شما هستید؛ این راهنما دفترچه راهنمای آن است.
سلب مسئولیت: این مقاله صرفاً برای اهداف آموزشی است و مشاوره سرمایهگذاری یا امنیتی محسوب نمیشود. خودنگهداری داراییهای دیجیتال خطرات قابل توجهی دارد و هیچ عملی آن را حذف نمیکند. جزئیات بهروز تا 9 ژوئیه 2026 است. همیشه تحقیقات خود را انجام دهید.
سوالات متداول
دزد کیف پول به زبان ساده چیست؟
دزد کیف پول ابزاری مخرب است که کیف پول ارز دیجیتال را از توکنها و NFTهای آن خالی میکند پس از اینکه مالک را فریب میدهد تا تراکنشی را امضا کند که سرقت را مجاز میسازد. این ابزار پسوردها را نمیدزدد و بلاکچین را نمیشکند؛ بلکه از مکانیزم تأیید قانونی که به برنامهها اجازه میدهد توکنهای شما را جابجا کنند، سوءاستفاده میکند و آن مجوز را از طریق فریب به دست میآورد و سپس داراییها را میدزدد. بلاکچین سرقت را به عنوان یک اقدام مجاز اجرا میکند.
چگونه دزدها ارز دیجیتال را بدون هک کردن چیزی میدزدند؟
آنها از انسان سوءاستفاده میکنند، نه از فناوری. بلاکچینها به شما اجازه میدهند که به قراردادهای هوشمند اجازه دهید توکنهای شما را جابجا کنند و دزدها شما را فریب میدهند تا آن اجازه را به یک قرارداد مخرب بدهید، معمولاً از طریق یک وبسایت جعلی یا ایردراپی که یک درخواست امضای بیخطر به نظر میرسد. پس از تأیید شما، قرارداد داراییهای شما را به طور قانونی جابجا میکند، از دیدگاه پروتکل، که به همین دلیل هیچ چیزی به طور فنی هک نشده و سرقت به سختی قابل معکوس است.
تأیید توکن چیست و چرا خطرناک است؟
تأیید توکن مجوزی است که شما به یک قرارداد هوشمند میدهید تا توکنهای شما را خرج کند، بنابراین برنامهها میتوانند بدون درخواست برای هر تراکنش عمل کنند. این زمانی خطرناک میشود که تأیید نامحدود و دائمی باشد: یک امضا میتواند یک قرارداد را مجاز کند تا تمام توکن را جابجا کند و این مجوز تا زمانی که لغو نشود فعال باقی میماند. یک قرارداد مخرب با چنین تأییدیهای کلید دائمی به آن بخش از کیف پول شما دارد.
امضای کور چیست؟
امضای کور به معنای تأیید یک تراکنش است که اثر واقعی آن را نمیتوانید بخوانید، که معمولاً به صورت یک هش یا دادههای غیرشفاف نمایش داده میشود، نه به صورت توصیف به زبان ساده. زیرا نمیتوانید ببینید که چه چیزی را تأیید میکنید، به داستان وبسایت در مورد تراکنش اعتماد میکنید به جای اینکه به خود تراکنش اعتماد کنید، که دقیقاً همان چیزی است که دزدان از آن سوءاستفاده میکنند. این بزرگترین آسیبپذیری در نگهداری خودکار است و تراکنشهای قابل خواندن و شبیهسازی شده، دفاع مستقیم در برابر آن هستند.
دزدی به عنوان یک خدمت چیست؟ {#faq-question-1783680762052}
دزدی به عنوان یک خدمت، مدل کسبوکاری است که سرقت کیف پول را صنعتی کرده است: توسعهدهندگان ماهر کیتهای کامل دزدی، قراردادهای مخرب، الگوهای فیشینگ، اتوماسیونهای جمعآوری و حتی پشتیبانی را میسازند و آنها را به جنایتکاران غیرتکنیکی اجاره میدهند تا از وجوه دزدیده شده سهم ببرند. این مدل مانع مهارت را حذف کرده و به هر کسی اجازه میدهد که یک عملیات دزدی حرفهای را راهاندازی کند، به همین دلیل است که دزدان به میلیاردها دلار خسارت دست یافتهاند و به همین دلیل است که از بین بردن یک خدمت به ندرت مشکل را متوقف میکند.
چگونه میتوانم بفهمم که آیا درخواست امضا مخرب است؟ {#faq-question-1783680782213}
شما اغلب نمیتوانید تنها از روی درخواست بفهمید، که این خطرناک است، بنابراین دفاع باید فرآیند باشد نه تشخیص. هرگز از حالت اضطراری امضا نکنید، سایتها را بهطور مستقل تأیید کنید به جای اینکه روی لینکها کلیک کنید، به هر چیزی که رایگان یا تحت فشار زمانی است مشکوک باشید و از کیف پولی استفاده کنید که تراکنشها را رمزگشایی و شبیهسازی میکند تا به زبان ساده نشان دهد که یک امضا چه کاری انجام خواهد داد. اگر نمیتوانید بخوانید که چه چیزی را تأیید میکنید، آن را امضا نکنید.
اگر فکر میکنم که یک تأیید مخرب را امضا کردهام، چه باید بکنم؟ {#faq-question-1783680789763}
فوراً اقدام کنید: از ابزاری برای بررسی تأیید استفاده کنید، مانند آنهایی که در کیف پولهای اصلی یا کاوشگرهای بلاک وجود دارد، تا تأیید مخرب را پیدا کرده و قبل از اینکه داراییهای جدید را تخلیه کند، لغو کنید، زیرا مجوز تا زمانی که لغو نشود فعال باقی میماند. هر دارایی باقیمانده را به یک کیف پول جدید و امن منتقل کنید. اگر دزدی قبلاً انجام شده باشد، معمولاً وجوه دزدیده شده قابل بازیابی نیستند، اما لغو کردن دزدیهای بیشتر از طریق همان تأیید را متوقف میکند.
چگونه میتوانم کیف پول خود را از دزدان محافظت کنم؟ {#faq-question-1783680795940}
عادتها و بهداشت را ترکیب کنید: هر امضا را به عنوان یک تصمیم در نظر بگیرید و هرگز تحت فشار امضا نکنید، سایتها را بهطور مستقل تأیید کنید، از کیف پولی که تراکنشها را رمزگشایی میکند استفاده کنید و امضای آنچه را که نمیتوانید بخوانید، رد کنید، داراییهای جدی را در یک کیف پول سرد نگه دارید که هرگز با اپلیکیشنها تماس نمیگیرد، تأییدات حداقلی به جای تأییدات نامحدود بدهید و بهطور دورهای تأییدات فعال را مرور و لغو کنید. لغو تأییدات قدیمی و نامحدود، باارزشترین اقدام است که اکثر کاربران هرگز انجام ندادهاند.
افشاگری: این مقاله نمایانگر مشاوره سرمایهگذاری نیست. محتوا و مواد موجود در این صفحه صرفاً برای اهداف آموزشی است.
بیشتر بخوانید: DOJ یک زندانی را به خاطر سرقت ارز دیجیتال به ارزش ۲۹۰ هزار دلار متهم کرد.
سلب مسئولیت: این محتوا صرفاً برای اطلاعرسانی عمومی و برندینگ ارائه شده و به منزله مشاوره مالی، سرمایهگذاری، حقوقی یا مالیاتی تلقی نمیگردد. هیچیک از رویدادها، جوایز، رویدادهای آنلاین یا اطلاعات مرتبط ذکرشده در اینجا نباید بهعنوان توصیه، درخواست یا دعوت برای خرید، فروش، معامله یا هرگونه اقدام دیگر در رابطه با داراییهای رمزارزی یا استفاده از خدمات تلقی شوند. داراییهای رمزارزی با نوسانات بالایی همراه بوده و ممکن است منجر به زیان شوند. خدمات WEEX و رویدادهای آنلاین ممکن است در تمام مناطق در دسترس نبوده و مشمول قوانین، مقررات و شرایط احراز صلاحیت مربوطه هستند. شما مسئول رعایت قوانین محلی در استفاده از خدمات WEEX هستید و باید پیش از انجام هرگونه فعالیت مرتبط با ارزهای دیجیتال، ریسکهای آن را بهدقت بررسی کنید.
ممکن است شما نیز علاقهمند باشید

IPCA کمتر از حد انتظار در ژوئن: چه تغییری برای دلار و نرخ بهره ایجاد میکند

مصاحبه جدید SemiAnalysis: فضای دو برابر برای ذخیرهسازی وجود دارد، در کوتاهمدت و میانمدت با CPO احتیاط کنید، CPU تنها نقش مکمل دارد

FDV در مقابل ارزش بازار: دو عددی که تعیین میکند آیا یک توکن ارزان است

آیا اتریوم واقعاً یک «کامپیوتر جهانی» است؟

17 قضاوت سرمایهگذار درباره تجسم، مدلها و قدرت محاسباتی

تله آربیتراژ هوش مصنوعی Bittensor: سرمایه فقط توکنها را معامله میکند، هیچکس به AI باکیفیت توجهی نمیکند

آدرسهای کیف پول در لایت کوین در تنها ۶ ماه بیش از ۲۲ میلیون افزایش یافته است

شیبا اینو: پس از یک وقفه، پروژههای اترنیتی و متاورس آماده بازگشت هستند

عصر معاملات هوش مصنوعی آغاز شده است: LTP اولین مسابقه معاملات کمی واقعی با عامل هوش مصنوعی را راهاندازی میکند

آیا تغییر زنجیره و شروع دوباره واقعاً میتواند سرنوشت را تغییر دهد؟

رولوت ادغام صرافی رمزارز خود را با دستیاران هوش مصنوعی به عنوان تجارت عاملی گسترش میدهد

اتهام وزارت دادگستری به یک زندانی به دلیل سرقت ارز دیجیتال به ارزش ۲۹۰ هزار دلار

حجم معاملات در ژوئن دو برابر شد: اکوسیستم x402 به طور مداوم در حال گسترش است و روایت درآمدزایی محتوا به آزمایش کلیدی میرسد

آیا واش به دنبال کاهش نرخ بهره با «جبهه متحد» است؟

مقایسه وایتپیپر اتریوم و سولانا (۲۰۲۶)

فناوری فرانسه: افزایش هوش مصنوعی و کوانتوم، غیبت ارزهای دیجیتال

ربات انساننما NEO با "دستهای چابک": چگونه دستها به API ورود به دنیای فیزیکی تبدیل میشوند؟

SCEX چیست؟ بازار داراییهای رمزنگاری برای بازار ویتنام از Sacombank

بهروزرسانی بزرگ ChatGPT: قابلیت کار در چند پلتفرم، ساخت وبسایت با یک کلیک و کاهش هزینهها

BTC پس از عبور از 63,000 به چالش 64,000 میپردازد، بازار در حال معامله «ریسک قابل کنترل» است

با ترکیدن حباب، چه کسی در عصر هوش مصنوعی توجه را به خود جلب میکند؟ راهنمای 2026 برای KOLهای تأثیرگذار هوش مصنوعی در چین و بریتانیا

پولهای قدیمی رمزنگاری تغییر مسیر میدهند: Paradigm 1.2 میلیارد دلار جمعآوری کرد، نیمی از آن را به هوش مصنوعی و رباتیک اختصاص داد

Bitdeer کارخانه 36 میلیون دلاری در نوادا را برای تغییر در استخراج بیت کوین رونمایی کرد

پرپلکسی یک مدل هوش مصنوعی چینی را به گونهای تنظیم کرد که با هزینه یک سوم کلود اوپس ۴.۸ مطابقت دارد

بانک کره جنوبی از طرح استیبل کوین مبتنی بر بانک دفاع میکند در میان بن بست لایحه

جیپیمورگان میگوید ریسک اصلی بیتکوین استراتژی نیست، بلکه پذیرش بلاکچین است که به زنجیرههای عمومی و توکنها سود نمیرساند

نمایندگان کارگری فشار میآورند تا ممنوعیت کمکهای مالی رمزارزی در بریتانیا دائمی شود

حکم دیوان عالی کشور که اختیارات ترامپ را بر آژانسهای فدرال گسترش میدهد، سوالاتی را برای SEC و CFTC در حالی که قوانین مربوط به ارزهای دیجیتال پیشرفت میکند، ایجاد میکند

'پایین آوردن در حال انجام است': تحلیلگران میگویند تسلیم دارندگان بیتکوین نشانهای از بازار خرسی در مراحل پایانی است






