دليل أمان معاملات مستخدمي Web3

مع استمرار تطور نظام blockchain، أصبحت المعاملات على السلسلة جزءًا مهمًا من العمليات اليومية لمستخدمي Web3. بدأت أصول المستخدمين في الانتقال من المنصات المركزية إلى الشبكات اللامركزية، مما يعني أن مسؤولية أمان الأصول تتحول تدريجياً من المنصة إلى المستخدم نفسه. في بيئة blockchain، يحتاج المستخدم إلى تحمل المسؤولية عن كل خطوة يقوم بها، سواء كان ذلك يستورد محفظة، أو يصل إلى تطبيقات لامركزية، أو يقوم بالتوقيع على تفويضات أو بدء المعاملات، يمكن أن تصبح أي عملية غير دقيقة مصدر خطر أمني، مما يؤدي إلى تسرب المفاتيح الخاصة، أو إساءة استخدام التفويضات، أو التعرض لعمليات الاحتيال، وما إلى ذلك.

على الرغم من أن المكونات الإضافية والمحافظ الشائعة قد دمجت تدريجياً ميزات مثل اكتشاف التصيد والتحذيرات من المخاطر، إلا أنه في مواجهة الأساليب المتزايدة التعقيد للهجمات، لا يزال من الصعب تجنب المخاطر تمامًا بالاعتماد فقط على الدفاع السلبي للأدوات. لمساعدة المستخدمين على التعرف بشكل أفضل على المخاطر المحتملة في المعاملات على السلسلة، تستند هذه المقالة إلى الخبرة العملية، وقد تم تجميع سيناريوهات المخاطر الشائعة على طول العملية، بالإضافة إلى نصائح الحماية وتقنيات استخدام الأدوات، لوضع مجموعة من إرشادات الأمان للمعاملات على السلسلة، تهدف إلى مساعدة كل مستخدم في Web3 على بناء خط دفاع "قابل للتحكم الذاتي".

المبادئ الأساسية للتداول الآمن:

• رفض التوقيع الأعمى: لا توقع على معاملات أو رسائل لا تفهمها.
• التحقق المتكرر: قبل إجراء أي صفقة، يجب التأكد عدة مرات من دقة المعلومات ذات الصلة.

١. نصائح للتداول الآمن

التداول الآمن هو مفتاح حماية الأصول الرقمية. أظهرت الأبحاث أن استخدام محافظ آمنة والمصادقة الثنائية (2FA) يمكن أن يقلل بشكل كبير من المخاطر. التوصيات المحددة هي كما يلي:

• اختر محفظة آمنة:

استخدم مزودي المحفظة ذوي السمعة الطيبة، مثل المحافظ الصلبة أو المحافظ البرمجية الموثوقة. توفر المحافظ الصلبة تخزينًا غير متصل بالإنترنت، مما يقلل من مخاطر الهجمات عبر الإنترنت، وهي مناسبة لتخزين الأصول الكبيرة.

• تحقق من تفاصيل الصفقة بعناية:

قبل تأكيد المعاملة، تأكد من التحقق من عنوان الاستلام والمبلغ والشبكة، لتجنب الخسائر الناتجة عن الأخطاء في الإدخال.

• تفعيل المصادقة الثنائية:

إذا كانت منصة التداول أو المحفظة تدعم المصادقة الثنائية (2FA) ، يرجى التأكد من تفعيلها لتعزيز أمان الحساب ، خاصة عند استخدام المحفظة الساخنة.

• تجنب استخدام الواي فاي العام:

لا تقم بالتداول على شبكات الواي فاي العامة لتجنب التعرض لهجمات التصيد وهجمات الرجل في المنتصف.

٢. كيفية إجراء معاملات آمنة

تتضمن عملية تداول تطبيق لامركزي كاملة عدة مراحل: تثبيت المحفظة، الوصول إلى التطبيق، ربط المحفظة، توقيع الرسالة، توقيع المعاملة، ومعالجة ما بعد المعاملة. توجد مخاطر أمان معينة في كل مرحلة، وسنقوم أدناه بتقديم ملاحظات حول ما يجب الانتباه إليه أثناء العمليات الفعلية.

1. تثبيت المحفظة:

حاليًا، الطريقة السائدة لاستخدام التطبيقات اللامركزية هي التفاعل من خلال محافظ متصفح الإضافات. تشمل المحافظ السائدة المستخدمة في سلاسل متوافقة مع EVM مجموعة متنوعة من الخيارات.

عند تثبيت محفظة ملحق المتصفح، يجب التأكد من تنزيلها وتثبيتها من متجر التطبيقات الرسمي، وتجنب التثبيت من مواقع طرف ثالث لتفادي تثبيت برامج المحفظة التي تحتوي على أبواب خلفية. يُنصح المستخدمون الذين لديهم إمكانية باستخدام محفظة الأجهزة جنبًا إلى جنب لزيادة أمان إدارة المفاتيح الخاصة.

عند نسخ عبارة الاسترداد لمحفظة (عادةً ما تكون عبارة مكونة من 12-24 كلمة) ، يُنصح بتخزينها في مكان آمن غير متصل بالإنترنت ، بعيدًا عن الأجهزة الرقمية (على سبيل المثال ، كتابتها على ورقة وحفظها في صندوق أمانات).

2. زيارة التطبيقات اللامركزية

تعتبر هجمات التصيد الاحتيالي عبر الويب تقنية شائعة في هجمات Web3. مثال نموذجي هو إغراء المستخدمين بزيارة تطبيقات التصيد تحت ذريعة الإطلاق المجاني للعملات، حيث يتم إغراء المستخدمين بتوقيع تفويضات الرموز أو معاملات التحويل أو توقيعات تفويض الرموز بعد ربط محفظتهم، مما يؤدي إلى فقدان الأصول.

لذلك، عند زيارة التطبيقات اللامركزية، يحتاج المستخدمون إلى البقاء يقظين، وتجنب الوقوع في فخ الصيد الاحتيالي على الويب.

يجب التأكد من صحة عنوان الموقع قبل الوصول إلى التطبيق. اقتراح:

• تجنب الوصول مباشرة من خلال محركات البحث: قد يقوم المهاجمون بالتصيد بشراء مساحات إعلانية لرفع تصنيف مواقعهم للتصيد.
• تجنب النقر على الروابط في وسائل التواصل الاجتماعي: قد تكون عناوين المواقع المنشورة في التعليقات أو الرسائل روابط تصيد.
• التأكد من صحة عنوان التطبيق بشكل متكرر: يمكن التحقق من ذلك من خلال منصات بيانات DeFi وغيرها من أسواق التطبيقات وحسابات وسائل التواصل الاجتماعي الرسمية لمشاريع.
• أضف الموقع الآمن إلى مفضلة المتصفح: للوصول إليه مباشرة من المفضلة لاحقًا.

بعد فتح صفحة تطبيق الويب، يجب أيضًا إجراء فحص أمني لشريط العناوين:

• تحقق مما إذا كانت اسم المجال وعنوان الويب تبدوان مزورتين.
• تحقق مما إذا كانت الروابط HTTPS، يجب أن يظهر رمز القفل 🔒 في المتصفح.

تتضمن محافظ الإضافات الرئيسية في السوق حاليًا وظائف معينة لإشعارات المخاطر، حيث يمكنها عرض تنبيهات قوية عند زيارة مواقع الويب ذات المخاطر.

3. ربط المحفظة

عند الدخول إلى التطبيقات اللامركزية، قد يتم تفعيل عملية ربط المحفظة تلقائيًا أو بعد النقر على "Connect" بشكل نشط. ستقوم المحفظة المضافة بإجراء بعض الفحوصات وعرض المعلومات المتعلقة بالتطبيق الحالي.

بعد توصيل المحفظة، عادةً ما لا يقوم التطبيق باستدعاء محفظة الإضافات بشكل نشط عندما لا يقوم المستخدم بأي عمليات أخرى. إذا كان الموقع يستدعي المحفظة بشكل متكرر بعد تسجيل الدخول لطلب توقيع الرسائل أو توقيع المعاملات، حتى بعد رفض التوقيع، فقد يكون ذلك علامة على موقع تصيد، ويجب التعامل معه بحذر.

4. توقيع الرسالة

في حالات متطرفة، مثلما إذا قام المهاجم باختراق الموقع الرسمي للبروتوكول أو من خلال هجمات مثل اختطاف الواجهة الأمامية، واستبدل محتوى الصفحة. من الصعب على المستخدمين العاديين التحقق من أمان الموقع في مثل هذه السيناريوهات.

في هذه المرحلة، تعتبر توقيع محفظة المكونات الإضافية الحاجز النهائي لحماية المستخدم لأصوله. طالما يتم رفض التوقيعات الخبيثة، يمكن ضمان عدم فقدان الأصول. يجب على المستخدمين مراجعة محتوى التوقيع بعناية عند توقيع أي رسائل أو معاملات، ورفض التوقيع الأعمى، لتجنب فقدان الأصول.

تشمل أنواع التوقيعات الشائعة:

• توقيع بيانات التجزئة
• توقيع المعلومات النصية العادية هو الأكثر شيوعًا عند التحقق من تسجيل دخول المستخدم أو تأكيد اتفاقية الترخيص
• توقيع البيانات الهيكلية، وغالبًا ما يستخدم في إذن الرموز، أو أوامر العرض لـ NFT، إلخ.

5. توقيع المعاملات

تُستخدم توقيعات المعاملات لتمكين معاملات البلوكشين، مثل التحويلات أو استدعاء العقود الذكية. يقوم المستخدم بتوقيع باستخدام المفتاح الخاص، وتتحقق الشبكة من صحة المعاملة. في الوقت الحالي، تقوم العديد من محفظات الإضافات بفك تشفير الرسائل التي تحتاج إلى توقيع وعرض المحتوى ذي الصلة، يجب الالتزام بمبدأ عدم التوقيع الأعمى، اقتراحات الأمان:

• تحقق بعناية من عنوان المستلم والمبلغ والشبكة لتجنب الأخطاء.
• يُنصح بتوقيع المعاملات الكبيرة بشكل غير متصل لتقليل مخاطر الهجمات عبر الإنترنت.
• انتبه لرسوم الغاز، تأكد من أنها معقولة، وتجنب الاحتيال.

بالنسبة للمستخدمين الذين لديهم بعض الاحتياطات الفنية، يمكنهم أيضًا استخدام بعض طرق الفحص اليدوي الشائعة: من خلال نسخ عنوان العقد المستهدف إلى متصفح blockchain لإجراء مراجعة، تشمل محتويات المراجعة بشكل أساسي ما إذا كان العقد مفتوح المصدر، وما إذا كانت هناك معاملات كبيرة مؤخرًا، وما إذا كان المتصفح قد وضع علامة رسمية أو علامة ضارة على هذا العنوان.

6. معالجة ما بعد التداول

تجنب صفحات التصيد والتوقيعات الضارة لا يعني أن كل شيء على ما يرام، ويجب أيضًا القيام بإدارة المخاطر بعد الصفقة.

بعد الصفقة، يجب التحقق على الفور من حالة السلسلة للصفقة، والتأكد مما إذا كانت تتوافق مع الحالة المتوقعة عند التوقيع. إذا تم اكتشاف أي استثناءات، يجب إجراء عمليات تقليل الخسائر مثل نقل الأصول أو إلغاء التفويض في الوقت المناسب.

إدارة تفويض الرموز مهمة جدًا أيضًا. في بعض الحالات، قام المستخدمون بتفويض الرموز لعقود معينة وبعد سنوات تعرضت هذه العقود للهجوم، واستغل المهاجمون حد التفويض الخاص بالرموز للعقد المهاجم لسرقة أموال المستخدمين. لتجنب هذه الحالات، يُنصح المستخدمون باتباع المعايير التالية للحد من المخاطر:

• الحد الأدنى من التفويض. عند إجراء تفويض للرموز، يجب تحديد كمية الرموز المصرح بها بناءً على احتياجات المعاملة. إذا كانت المعاملة تتطلب تفويض 100 رمز، فإن كمية التفويض هذه يجب أن تقتصر على 100، ويجب عدم استخدام التفويض الافتراضي غير المحدود.
• قم بإلغاء تفويض الرموز غير الضرورية في الوقت المناسب. يمكن للمستخدمين تسجيل الدخول إلى أداة إدارة التفويض للتحقق من حالة التفويض للعنوان المعني، وإلغاء تفويض البروتوكولات التي لم تتفاعل لفترة طويلة، لمنع وجود ثغرات في البروتوكول تؤدي إلى استغلال حدود تفويض المستخدمين مما يسبب خسارة في الأصول.

3. استراتيجية عزل الأموال

في ظل الوعي بالمخاطر واتخاذ الاحتياطات الكافية، يُوصى أيضًا بإجراء فصل فعال للأموال، وذلك لتقليل درجة الضرر في حالة الظروف القصوى. الاستراتيجية الموصى بها كما يلي:

• استخدم محفظة متعددة التوقيعات أو محفظة باردة لتخزين الأصول الكبيرة؛
• استخدم محفظة الإضافات أو المحفظة العادية كمحفظة ساخنة للتفاعل اليومي؛
• تغيير عنوان المحفظة الساخنة بشكل دوري، لمنع استمرار تعرض العنوان لبيئات المخاطر.

إذا حدثت حالة صيد عن غير قصد، يُنصح بتنفيذ التدابير التالية على الفور لتقليل الخسائر:

• استخدم أداة إدارة الأذونات لإلغاء الأذونات عالية المخاطر؛
• إذا تم توقيع توقيع الترخيص ولكن الأصول لم تنتقل بعد، يمكن بدء توقيع جديد على الفور لجعل التوقيع القديم غير صالح؛
• عند الضرورة، قم بنقل الأصول المتبقية بسرعة إلى عنوان جديد أو محفظة باردة.

أربعة، كيف تشارك بأمان في أنشطة الإطلاق المجاني

الإيردروب هو وسيلة شائعة للترويج لمشاريع blockchain، لكنه يحمل أيضًا مخاطر. فيما يلي بعض النصائح:

• بحث خلفية المشروع: التأكد من أن المشروع يحتوي على وثيقة بيضاء واضحة، ومعلومات فريق علنية وسمعة في المجتمع؛
• استخدم عنوان مخصص: قم بتسجيل محفظة وبريد إلكتروني مخصصين، لعزل مخاطر الحساب الرئيسي؛
• احرص على النقر على الروابط بحذر: احصل على معلومات الإطلاق فقط من القنوات الرسمية، وتجنب النقر على الروابط المشبوهة في منصات التواصل الاجتماعي؛

٥. اختيار واستخدام أدوات الإضافات

تحتوي قواعد أمان blockchain على الكثير من المحتوى، ومن المحتمل أنه ليس من الممكن إجراء فحص دقيق في كل تفاعل، لذا فإن اختيار المكونات الإضافية الآمنة أمر بالغ الأهمية، ويمكن أن يساعدنا في إجراء تقييمات المخاطر، وفيما يلي بعض الاقتراحات المحددة:

• الملحقات الموثوقة: استخدم ملحقات المتصفح التي تحظى بشعبية كبيرة. توفر هذه الإضافات وظائف المحفظة، وتدعم التفاعل مع التطبيقات اللامركزية.
• تحقق من التقييم: قبل تثبيت ملحق جديد، تحقق من تقييمات المستخدمين وعدد التثبيتات. التقييمات العالية وعدد التثبيتات الكبير عادةً ما يدل على أن الملحق أكثر موثوقية، مما يقلل من خطر وجود كود ضار.
• حافظ على التحديث: قم بتحديث المكونات الإضافية الخاصة بك بانتظام للحصول على أحدث ميزات الأمان وإصلاحات الأخطاء. قد تحتوي المكونات الإضافية المنتهية الصلاحية على ثغرات معروفة يمكن استغلالها من قبل المهاجمين.

الختام

من خلال اتباع إرشادات التداول الآمن المذكورة أعلاه، يمكن للمستخدمين التفاعل بشكل أكثر راحة في النظام البيئي المعقد المتزايد للبلوك تشين، مما يعزز فعلياً القدرة على حماية الأصول. على الرغم من أن تقنية البلوك تشين تتميز باللامركزية والشفافية كمزايا رئيسية، إلا أن ذلك يعني أيضاً أن المستخدمين يجب أن يتعاملوا بشكل مستقل مع مخاطر متعددة تشمل تصيد التوقيع، تسرب المفاتيح الخاصة، والتطبيقات الضارة.

لتحقيق أمان فعلي عند استخدام تقنية البلوكشين، الاعتماد فقط على أدوات التنبيه غير كافٍ، بل إن بناء وعي أمني منهجي وعادات تشغيلية هو المفتاح. من خلال استخدام محافظ الأجهزة، وتنفيذ استراتيجيات عزل الأموال، والتحقق الدوري من الأذونات وتحديث المكونات الإضافية كإجراءات وقائية، وتنفيذ مفهوم "التحقق المتعدد، ورفض التوقيع الأعمى، وعزل الأموال" أثناء عمليات التداول، يمكن تحقيق "الربط الحر والآمن".