اختراق بقيمة 440,000 دولار يكشف عن تهديد من عمليات الاحتيال "التصاريح" على إيثيريوم

سرق هاكر أكثر من 440,000 دولار من USDC بعد أن وقع مالك محفظة عن طريق الخطأ توقيع “تصريح” خبيث، وفقا لتحذير نشر يوم الاثنين من منصة مكافحة التصيد Scam Sniffer.

يأتي الحادث في ظل زيادة حادة في الأضرار الناتجة عن هجمات التصيد الاحتيالي. في نوفمبر وحده، تم سحب حوالي 7.77 مليون دولار من أكثر من 6,000 ضحية — بزيادة قدرها 137 بالمئة عن أكتوبر، رغم أن عدد الضحايا انخفض بنسبة 42 بالمئة.

وفقا للتقرير، استمر “صيد الحيتان” في الزيادة حيث بلغت أكبر قضية 1.22 مليون دولار من توقيع تصريح واحد فقط، مما يظهر أنه رغم انخفاض عدد الحالات، إلا أن مستوى الضرر لكل ضحية ارتفع بشكل كبير.

ما هو احتيال التصاريح؟

تستغل عمليات الاحتيال في التصاريح ممارسة خداع المستخدمين لتوقيع معاملة تبدو شرعية لكنها في الواقع تمنح المهاجم الحق في إنفاق أمواله. العديد من التطبيقات الضارة تخفي المحتوى، وتزور أسماء العقود، أو تخلق طلبات توقيع تبدو كعمليات روتينية.

إذا لم يتحقق المستخدم مرة أخرى، فإن ذلك التوقيع يمنح المهاجم الإذن الكامل باستخدام رمز ERC-20 في المحفظة. بمجرد الحصول على الترخيص، عادة ما يستنزفون أموالهم فورا.

تستفيد هذه الطريقة من وظيفة التصريح في إيثيريوم — والتي صممت لتسهيل تفويض الإنفاق للتطبيقات الموثوقة. ومع ذلك، تصبح الراحة عيبا عندما يقع هذا الحق في الأيدي الخطأ.

تم إطلاق مبادرة جديدة بين الوكالات لتفكيك شبكات الاحتيال الدولية في العملات الرقمية، وخاصة نماذج “ذبح الخنازير” التي تسببت في خسائر بمليارات الدولارات في السنوات الأخيرة. العديد من الوكالات مثل وزارة العدل، ومكتب التحقيقات الفيدرالي، وجهاز الخدمة السرية، ووزارة الخزانة الأمريكية ستنسق لمكافحة هذه الجماعات الإجرامية.

لماذا يصعب التعرف على احتيال التصاريح؟

قالت تارا أنيسون، رئيسة المنتجات في توينستيك، إن الخطر يكمن في أن المهاجم قد يسحب أموالا في معاملة واحدة أو ينتظر حتى يضع الضحية المزيد من الرموز في المحفظة — طالما أنه حدد فترة صلاحية توقيع لفترة كافية.

“نجاح هذا النوع من الاحتيال يكمن في أن المستخدمين يوقعون شيئا لا يفهمونه. إنه يستغل الذاتية والاندفاع البشري،” قالت.

وقالت أيضا إن هذا ليس حالة نادرة. غالبا ما تنتحل العديد من هجمات التصيد الاحتيالي عالية القيمة التقمص في عمليات الإسقاط المجاني، أو مواقع المشاريع المزيفة، أو تنبيهات أمنية مزيفة لجذب المستخدمين لربط المحافظ وتوقيع المعاملات.

المحافظ الرقمية تزيد من التنبيهات — لكن ليس بما يكفي

أضافت محافظ مثل MetaMask تنبيهات مواقع إلكترونية مشبوهة ونقلت بيانات المعاملات إلى صيغة أكثر وضوحا. بعض المحافظ الأخرى تبرز أيضا العمليات عالية المخاطر. ومع ذلك، استمر المهاجم في تغيير التكتيكات.

يحذر هاري دونيلي، مؤسس سيركيت، من أن الهجمات القائمة على الأذونات “شائعة جدا” وأن المستخدمين بحاجة إلى التحقق من عناوين إرسالهم، والعقود ذات الصلة، وخاصة حدود التراخيص — ففي كثير من الحالات يطلب الطرفان السيئون تصاريح إنفاق غير محدودة.

كيف تحمي نفسك

يؤكد أنيسون أن التحقق مرتين مما ستوقع عليه هو خط الدفاع الأهم:

• فهم الأفعال التي ستحدث بعد التوقيع
• تحقق مما إذا كانت الدالة المستدعاة صحيحة للعملية التي تريدها
• لا توقع فقط لأن التطبيق المخصص يطلب ذلك أو بسبب وعد بالحصول على مكافآت

قامت العديد من المحافظ بتحسين واجهة المستخدم لتسهيل فهمها على المستخدمين، لكن الأمر لا يزال متروكا للمستخدمين أنفسهم ليكونوا يقظين.

وفقا لمارتن ديركا، المؤسس المشارك لشركة زيركوت فاينانس، فإن إمكانية استرداد الأموال “تكاد تكون معدومة”.

قال إنه في هجمات التصيد الاحتيالي، لا يعرف الضحية من هو الشخص الآخر، ولا يوجد نقطة اتصال، والمهاجم دائما لديه هدف واحد فقط: أخذ المال والاختفاء. “بمجرد أن يختفي المال، يختفي،” قال.

ثاتش سانه