logo

هشدار امنیتی WEEX — کلاهبرداری با دسترسی مخرب

مبانی رمز ارز
By: WEEX|2025-08-27 04:15:59

کلاهبرداری با دسترسی مخرب چیست؟

کلاهبرداری‌ با دسترسی مخرب از جمله گسترده‌ترین و مخرب‌ترین تهدیدات در فضای وب3 هستند که کاربران بی‌شماری را تحت تأثیر قرار می‌دهند.

در وب3، وقتی با یک قرارداد هوشمند تعامل می‌کنید، اغلب لازم است با امضای تراکنش، مجوزها را اعطا کنید. مثال‌های رایج عبارتند از:

  • تأیید دسترسی یک برنامه غیرمتمرکز (dApp) به توکن‌های شما.
  • اعطای مجوز قرارداد برای انتقال NFT های شما.
  • انجام اقدامات به ظاهر بی‌ضرر مانند ورود یا تأیید مالکیت

کلاهبرداری با دسترسی مخرب با فریب دادن کاربران، آنها را وادار می‌کند تا به قراردادهای مخرب اجازه انتقال دارایی‌های خود را بدهند.

ویژگی‌های کلیدی

  1. فریب کاربران برای اعطای مجوزهای خطرناک، خود را به جای برنامه‌های غیرمتمرکز (dApps)، ایردراپ‌ها یا پروژه‌های NFT قانونی جا می‌زنند. آنها کاربران را فریب می‌دهند تا روی دکمه «تأیید» کلیک کنند، که در واقع اقدامات مخربی مانند دسترسی به توکن یا NFT را مجاز می‌کند.
  2. دارایی‌ها بدون انجام هرگونه انتقال خالی می‌شوند، درحالیکه شما هیچ چیزی ارسال نکرده‌اید و فقط روی «تأیید» کلیک کرده‌اید. اما پس از تأیید، مهاجمان می‌توانند دارایی‌های شما را در هر زمانی و بدون هیچ اقدام دیگری از سوی شما منتقل کنند.
  3. دسترسی‌ها اغلب نامحدود هستند، بیشتر قراردادهای مخرب حداکثر اجازه ممکن را درخواست می‌کنند که در نتیجه به آنها دسترسی دائمی و بدون محدودیت به توکن‌ها یا NFTهای شما را می‌دهند.
  4. قرارداد مخرب از نوع غیرفعال است، این نوع قراردادها به‌صورت مستقیم و فعال دارایی‌ها را سرقت نمی‌کنند. آنها کاملاً متکی به کاربرانی هستند که با میل خود مجوزها را امضا می‌کنند و این امر به مهاجمان کمک می‌کند از هشدارهای امنیتی مرسوم فرار کنند.
  5. پیام‌های گمراه‌کننده برای امضا، پیام‌های درخواست تأیید کیف‌پول، اغلب یا بیش از حد فنی هستند یا خیلی ساده شده‌اند، و باعث می‌شوند درک آنچه امضا می‌کنید دشوار شود. بسیاری از کاربران فرض می‌کنند که این یک مجوز بی‌ضرر است و بدون اینکه متوجه خطر باشند، آن را تأیید می‌کنند.

سناریوهای رایج

  1. صفحات جعلی ایردراپ یا ساخت NFT و وبسایت‌های تبلیغاتی با عنوان «ایردراپ محدود» یا «مینت رایگان» ارائه می‌دهند. کلیک روی دکمه، باعث ایجاد درخواست برای تأیید دسترسی به توکن یا NFT می‌شود. پس از تأیید، کلاهبرداران می‌توانند هر زمان که بخواهند دارایی‌های شما را تخلیه کنند.
  2. صرافی یا پلتفرم سواپ غیرمتمرکز جعلی: شما کیف‌پول خود را به یک DEX جعلی متصل می‌کنید تا توکن‌ها را سواپ کنید. به جای انجام معامله، سایت شما را فریب می‌دهد تا دسترسی به توکن را تأیید کنید. سپس وجوه شما به سرقت می‌رود.
  3. پلتفرم‌های استیکینگ یا بازی جعلی: از شما خواسته می‌شود تا روی یک پلتفرم DeFi یا GameFi فریبنده، توکن‌ها را استیک کرده یا بازی را آغاز کنید. این سایت درخواست تأیید برای توکن‌ها یا NFTهای شما را دارد—اما کل پلتفرم جعلی است.
  4. رابط کاربری هک‌شده پروژه‌های معتبر: حمله‌کنندگان وبسایت‌های مورد اعتماد را مختل کرده یا رکوردهای DNS را ربوده و قراردادهای معتبر را با قراردادهای مخرب جایگزین می‌کنند. کاربران تصور می‌کنند از یک dApp واقعی استفاده می‌کنند، اما در واقع در حال تأیید دسترسی‌های مخرب هستند.
  5. پشتیبانی یا مستندات جعلی: یک عامل پشتیبانی جعلی با ارسال لینکی، ادعا می‌کند که می‌خواهد «یک مشکل را حل کند». این صفحه از شما می‌خواهد قراردادی را تأیید کنید که در واقع برای سرقت دارایی‌های شما طراحی شده است.

نحوه عملکرد

ایده اصلی پشت مجوزهای مخرب بسیار ساده است:

این سوءاستفاده از عدم آگاهی کاربران نسبت به دسترسی‌های درون زنجیره‌ای صورت می‌گیرد. با فریب دادن شما برای اعطای مجوز، کلاهبرداران کنترل دارایی‌های شما را به دست می‌گیرند و بدون اطلاع شما آنها را سرقت میکنند.

فرآیند فنی

یک کلاهبرداری معمولی با دسترسی مخرب معمولاً مراحل زیر را دنبال می‌کند:

  1. کلاهبردار یک قرارداد مخرب راه‌اندازی می‌کند (که خود به‌تنهایی انتقالی را آغاز نمی‌کند).
  2. کاربر فریب داده می‌شود تا دسترسی (برای توکن‌ها) را تأیید کند.
  3. دسترسی اعطا می‌شود — دارایی‌ها به‌ طور موقت در کیف‌پول باقی می‌مانند.
  4. کلاهبرداران از توابع برای انتقال وجوه به کیف‌پول خود استفاده می‌کنند.
  5. از آنجایی که تراکنش توسط کاربر تأیید شده است، معتبر تلقی شده و مسدود نمی‌شود.

بهترین روش‌ها برای محافظت از خود

برای جلوگیری از دسترسی‌های مخرب، به این نشانه‌های هشداردهنده دقت کنید:

  • dApp هیچ عملکرد واقعی ندارد — تنها درخواست تأیید دسترسی می‌کند.
  • درخواست دسترسی به دارایی‌های باارزش مانند ETH، استیبل‌کوین‌ها یا NFTها را می‌دهد.
  • در این مجوز، سقف هزینه مشخص نشده است.
  • در پاپ‌آپی که با امضا همراه است، اقدامات پرریسک نمایش داده می‌شود.
  • وبسایت ظاهری غیرحرفه‌ای‌ ای دارد یا از یک پروژه‌ی شناخته‌شده تقلید می‌کند.
  • از کلیک روی لینک‌های ناشناس یا تأیید درخواست‌ها از منابع تأیید نشده مانند پیام‌های خصوصی تلگرام یا پاسخ‌های توییتر خودداری کنید.

گفتار پایانی

اگر مفهوم آن را نمی‌دانید، آن را امضا نکنید. درصورتیکه با معامله مرتبط نیست، قبل از تأیید دوباره فکر کنید.

برای کاربران روزمره، تأیید مجوزهای قرارداد هوشمند باید با احتیاط بالا انجام شود. نگرش امنیت‌محور داشته باشید: هر تأیید را به‌عنوان انتقال بالقوه‌ی دارایی‌ها در نظر بگیرید. قبل از امضا، همیشه هر مجوز را به دقت و چندباره بررسی کنید.

مطالعه بیشتر

هشدار امنیتی WEEX - کلاهبرداری‌های رایج در حوزه رمز ارزکوین گوت کوین (GOATCOIN) چیست؟ راهنمای جامع

ممکن است شما نیز علاقه‌مند باشید

اشتراک‌گذاری
copy

سودده‌ها

جامعه
iconiconiconiconiconiconicon

پشتیبانی مشتری@weikecs

همکاری تجاری@weikecs

معاملات کمّی و بازارسازی[email protected]

خدمات VIP[email protected]