كيفية عدم الوقوع في العملات الرقمية مرة أخرى
تنصل
هذا الدليل لا يمكن أن يضمن أي شيء ولم يتم كتابته من منظور "خبير في مجال العملات الرقمية أو الأمان السيبراني".
إنها نتيجة تعلم مستمر من مصادر متعددة وتجربة شخصية.
على سبيل المثال، تم النصب علي بنفسي من خلال FOMO والطمع في وقت مبكر جدًا (عملية احتيال على البث المباشر وعملية احتيال على الروبوت MEV الوهمي) عندما دخلت هذه المجال، لذلك قضيت الوقت في التعلم والإعداد وفهم الأمان بشكل جاد.
لا تكن الشخص الذي يضطر إلى التعلم عن الأمان لأنك فقدت كل شيء أو كمية كبيرة بشكل مؤلم.
هاك أم خطأ المستخدم؟
جميع أنواع "اختراقات" محافظ/رموز/ NFT أو تعرضها للخطر تندرج عمومًا تحت إحدى فئتين:
سوء استخدام الموافقات الممنوحة مسبقًا للرموز.
تعرض مفتاح خاص/عبارة بذرية (عادةً على محفظة ساخنة).
الموافقات على الرموز
تفويضات الرموز هي في الأساس إذن لعقد ذكي للوصول إلى ونقل نوع معين أو كمية معينة من الرمز من محفظتك.
مثال:
- منح إذن OpenSea لنقل NFT الخاص بك حتى تتمكن من بيعه.
- منح إيونيسواب إذنًا لرموزك حتى تتمكن من إجراء تبديل.
\
إذا كنت ترغب في قراءة خلفية إضافية حول الموافقات على الرموز، يمكنك قراءة هذا الموضوع هنا.
بالنسبة لبعض السياق المسبق، تقريبا كل شيء على شبكة Ethereum، باستثناء ETH هو رمز ERC-20.
أحد خصائص رموز ERC-20 هو القدرة على منح أذونات الموافقة لعقود ذكية أخرى.
هذه الموافقات مطلوبة في وقت ما إذا كنت ترغب في القيام بتفاعلات DeFi الأساسية مثل تبديل أو ربط الرموز.
الرموز غير القابلة للاستبدال هي على التوالي رموز ERC-721 و 1155؛ آليات الموافقة الخاصة بهم تعمل بشكل مماثل لرموز ERC-20 ولكن لسوق الرموز غير القابلة للاستبدال.
الرسالة الأولية للموافقة على الرمز من ميتاماسك (MM) تعطيك العديد من القطع المعلوماتية ولكن الأكثر صلة هي:
الرمز الذي تعطي الموافقة عليه
الموقع الذي تتفاعل معه
العقد الذكي الذي تتفاعل معه
القدرة على تحرير كمية إذن الرمز
تحت القائمة المنسدلة للتفاصيل الكاملة نرى قطعة إضافية من المعلومات: وظيفة الموافقة.
يجب أن تتمتع جميع رموز ERC-20 بخصائص وخصائص معينة حسب معيار ERC-20 المحدد.
واحدة من هذه القدرة على عقود ذكية لنقل الرموز استنادا إلى المبلغ المعتمد.
الخطر في هذه الموافقات هو إذا قمت بمنح أذونات الرموز لعقد ذكي خبيث يمكن أن يتم سرقة / تصريف أصولك.
الموافقات غير المحدودة مقابل الموافقات المخصصة (ERC-20 TOKENS)
سيطلب العديد من تطبيقات DeFi الموافقة غير المحدودة على الرمز ERC20 بشكل افتراضي.
هذا لتحسين تجربة المستخدم حيث أنه أكثر راحة حيث لا يتطلب الموافقات المستقبلية المحتملة وبالتالي يوفر الوقت ورسوم الغاز.
لماذا هذا مهم؟
السماح بالموافقة على عدد غير محدود من الرموز يضع أموالك في خطر بالتأكيد.
تعديل موافقة الرمز يدويًا لمبلغ محدد يضبط الحد الأقصى للرموز التي يمكن لتطبيق الويب المعتمد نقلها حتى يتم توقيع موافقة أخرى لمبلغ أكبر.
هذا يحد من مخاطرك السلبية إذا تم استغلال ذلك العقد الذكي. إذا كان هناك استغلال في تطبيق dApp الذي منحت فيه الموافقات غير المحدودة، فأنت عرضة لخسارة جميع تلك الرموز الموافق عليها من المحفظة التي تحتفظ بها تلك الأصول ومنحت تلك الموافقة.
انظر إلىاستغلال Multichain WETH (WETH هو تغليف ERC-20 لـ ETH)كمثال.
تم استغلال هذا الجسر الذي يستخدم عادةً عن طريق إساءة استخدام أذونات الرموز غير المحدودة السابقة لأخذ الأموال من المستخدمين.
مثال (باستخدام محفظة Zerion) على تغيير من الموافقات غير المحدودة الافتراضية إلى الموافقات اليدوية.
موافقات NFT
"setApprovalForAll" للعملات الرقمية غير القابلة للانتقال
هذا هو تصريح يتم استخدامه بشكل شائع ، ولكنه قد يكون خطيرًا عمومًا يتم منحه لسوق NFT الموثوق بها عندما ترغب في بيع NFT الخاص بك.
يتيح ذلك نقل NFT عن طريق عقد ذكي لسوق. بالتالي ، عندما تبيع NFT للمشتري ، يمكن لعقد ذكي لهذا السوق نقل NFT تلقائيًا إلى المشتري.
تمنح هذه الموافقة الوصول لجميع رموز NFT من عنوان مجموعة / عقد محدد.
يمكن أيضًا استخدام هذا من قبل المواقع/العقود الخبيثة لسرقة NFTs الخاصة بك.
مثال على فاعل خبيث يسوء استخدام "SETAPPROVALFORALL"
النمط الكلاسيكي لـ 'تفريغ المحفظة' في حالة نقد لا تخوف من الفومو يسير على النحو التالي:
يتوجه المستخدم إلى موقع ويب خبيث يعتقد أنه شرعي.
عندما يقومون بربط محفظتهم بموقع الويب، يمكن للموقع رؤية محتويات المحفظة فقط.
ومع ذلك، يستخدمون هذا لفحص المحفظة عن أعلى قيمة للNFT وتعجيل 'تعيين الموافقة للجميع' من MM لعنوان العقد الذكي لهذا NFT.
المستخدم يعتقد أنهم يقومون بصك ولكنهم في الواقع يعطون موافقة العقد الخبيثة لنقل تلك الرموز.
يسرق النصاب الرموز ثم يسيولها ويسيولها في نظام التشغيل المفتوح أو يقدم عروضًا غامضة قبل أن يتم وضع علامة على العنصر كمسروق.
التوقيعات مقابل الموافقات
الموافقات تتطلب الغاز، حيث أنها تعمل على معالجة معاملة.
التواقيع هي خالية من الغاز ويتم استخدامها في كثير من الأحيان لتسجيل الدخول إلى تطبيقات اللامركزية لإثبات أنك تتحكم في المحفظة المعنية.
التواقيع عمومًا أفعال ذات مخاطر أقل ولكن يمكن استخدامها للاستفادة من الموافقات التي تم منحها سابقًا لمواقع موثوقة مثل OpenSea.
من الممكن أيضًا (بالنسبة للعُملات ERC-20) تعديل موافقاتك بتوقيع بدون رسوم بسبب وظائف التصريح التي تم إدخالها مؤخرًا جزئيًا على شبكة الإيثيريوم.
يمكن رؤيتهذا إذا استخدمت DEX مثل 1inch.
قراءة هذا بمزيد من التفصيلهنا.
استخلاصات الموافقات على الرموز
كن حذرًا في كل مرة تقوم فيها بمنح الموافقات لأي شيء، تأكد من أنك تعرف أي رموز تقوم بمنح الموافقة لها وإلى أي عقد ذكي (استخدم etherscan.)
حدد مخاطرك للموافقات:
- استخدم محافظ متعددة (الموافقات محددة لكل محفظة) - لا توقع الموافقات لمحفظتك / محفظتك ذات القيمة العالية.
- من الأفضل تقليل أو تجنب منح الموافقات غير المحدودة لـ ERC-20 بشكل كامل إذا أمكن.
- تحقق وأبطل الموافقات بشكل دوري عبر etherscan أو revoke.cash.
Revoke.cash هو موقع يتيح لك إلغاء تفويضات مختلفة للرموز بسهولة.
محافظ الأجهزة/البطاقات الباردة
تتصل المحافظ الساخنة بالإنترنت من خلال جهاز الكمبيوتر أو الهاتف الخاص بك. تتم تخزين مفاتيح / بيانات المحفظة عبر الإنترنت أو محليًا في متصفحك.
المحافظ الباردة هي أجهزة الأجهزة التي يتم إنشاء المفتاح وتخزينها بشكل صارم في وضع عدم الاتصال وبالقرب منك جسديًا.
نظرًا لأن دفتر الأستاذ يكلف حوالي 120 دولارًا ، إذا كان لديك أصول رقمية تزيد قيمتها عن 1000 دولار ، فمن المحتمل أن تقوم بشراء وإعداد دفتر حساب. يمكنك توصيل محافظ الأستاذ الخاصة بك (وليس استيرادها) إلى برنامج تحصيل الأموال الخاص بك للحصول على نفس الوظائف التي توفرها المحافظ الساخنة الأخرى مع الحفاظ على مستوى من الأمان.
ليدجر وتريزور هما الأكثر شهرة. أنا أحب ليدجر لأنها الأكثر توافقا مع متصفح المحافظ (على غرار رابي وام ام).
أفضل الممارسات عند شراء محفظة ليدجر
قم دائمًا بشراء المنتج من موقع الشركة الرسمي، لا تقم بالشراء عبر موقع Ebay أو Amazon = قد يكون مصابًا ببرامج ضارة محملة مسبقًا.
تأكد من أن التغليف مختوم عند استلام العنصر.
عند إعداد دفتر الأستاذ للمرة الأولى، سيتم إنشاء عبارة بذرية.
اكتب العبارة الأساسية فقط على ورق فيزيائي أو على لوحة فولاذية في وقت لاحق بحيث تكون عبارة العبارة الأساسية لديك مقاومة للحريق ومقاومة للماء.
لا تلتقط أبدًا صورة أو تكتب الكلمة السرية في أي نوع من لوحة المفاتيح (بما في ذلك الهاتف)، هذا يعني تحويل الكلمة السرية إلى صيغة رقمية وبالتالي يصبح محفظتك الباردة غير آمنة وتصبح محفظة "ساخنة".
العملات الرقمية ليست مخزنة بالضبط على محفظة الأجهزة ولكن "داخل" المحفظة التي تم إنشاؤها بواسطة عبارة البذور.
العبارة البذرية (12-24 كلمة) هي كل شيء ، يجب حمايتها / تأمينها بأي ثمن.
يعطي السيطرة الكاملة / الوصول إلى جميع المحافظ التي تم إنشاؤها بموجب تلك العبارة البذرية.
البذور ليست مخصصة للجهاز، يمكنك "استيرادها" إلى محفظة أخرى للأجهزة كنسخة احتياطية إذا لزم الأمر.
إذا فُقدت / تم تدمير البذور وفُقدت / تم تدمير محفظة الأجهزة الأصلية / تم قفلها = فقدان الوصول إلى جميع أصولك نهائياً.
هناك مستويات مختلفة من تخزين مستوى البذور مثل تقسيمها إلى أجزاء متعددة، وإضافة مسافة فعلية بين الأجزاء، وتخزينها في أماكن غير واضحة (علبة شوربة في قاع الفريزر، تحت الأرض في مكان ما على ملكيتك، إلخ.)
في الحد الأدنى يجب أن تكون لديك نسختان إلى ثلاث نسخ، واحدة منها على الصلب لحماية ضد الماء والنار.
"المفتاح الخاص" يشبه عبارة البذور ولكن فقط لمحفظة 1 محددة. يتم استخدامه بشكل عام لاستيراد المحافظ الساخنة إلى حساب MM جديد أو في أدوات التشغيل الآلي مثل روبوتات التداول.
الكلمة الخامسة والعشرون - ليدجر
بالإضافة إلى بذرة الـ 24 كلمة الأصلية، لدى Ledger ميزة أمان اختيارية إضافية.
البوابة عبارة مرورتعتبر ميزة متقدمة تضيف كلمة 25 من اختيارك وبحد أقصى 100 حرفًا إلى عبارة الاسترداد الخاصة بك.
سيؤدي استخدام عبارة المرور إلى إنشاء مجموعة مختلفة تمامًا من العناوين التي لا يمكن الوصول إليها عبر عبارة استرداد 24 كلمة وحدها.
بالإضافة إلى إضافة طبقة أخرى، تمنحك العبارة السرية إمكانية الإنكار المعقول عندما تكون تحت ضغط.
إذا كنت تستخدم عبارة سرية، فمن المهم تخزينها بشكل آمن أو تذكرها بشكل مثالي، حرفًا بحرف وحساسة لحالة الأحرف.
هذا هو الدفاع الوحيد والنهائي ضد "هجوم مفتاح الرنجة بقيمة 5 دولارات" في الحالات التي تتعرض فيها للتهديد جسديًا.
لماذا تتعرض لكل هذا الاحتكاك لإعداد محفظة هاردوير؟
تخزن المحافظ الساخنة المفاتيح الخاصة في موقع متصل بالإنترنت.
من السهل بشكل مخادع أن يتم خداعك وتضليلك وتلاعبك للكشف عن هذه بيانات الاعتماد عبر الإنترنت.
امتلاك محفظة باردة يعني أنه يحتاج القراصنة إلى العثور على محفظتك وسرقة مفتاح الوصول أو البذورة الخاصة بك للوصول إلى تلك المحافظ والأصول الموجودة فيها.
تم الاختراق = جميع المحافظ الساخنة والأصول الموجودة فيها معرضة للخطر ، حتى تلك التي لم تتفاعل مع الموقع / العقد الخبيث.
الطرق الشائعة في الماضي التي تم فيها "اختراق" الأشخاص
الطرق الشائعة في الماضي التي تم بها "اختراق" الأشخاص (تعرض عبارة البذور) عبر المحافظ الساخنة.
تم خداعهم لتنزيل برامج ضارة عبر عروض عمل بتنسيق PDF، و"اختبار النسخة التجريبية" للألعاب، تشغيل الماكروهات عبر جداول بيانات جوجل، تقليد المواقع والخدمات الشرعية.
التفاعل مع العقود الخبيثة: سك FOMO من موقع تقليد ، والتفاعل مع العقد من NFTs غير المعروفة التي تم إسقاطها جوا / استلامها.
إدخال أو إرسال المفاتيح والبذور إلى "دعم العملاء" أو برنامج/نموذج ذو صلة.
أمثلة وتحليل لـ 'الاختراقات' ذات الملف الشخصي العالي
كيفن روز: ذهب للذهاب إلى النعناع مجموعة (كتلة فنية) ، ووقع توقيع txn (gasless) معتقدا أنه كان يقوم فقط بتسجيل الدخول إلى موقع النعناع.
لكن Seaport (عقد OpenSea الجديد للسوق) يسمح لك بإنشاء طلبات مخصصة يمكنك بعد ذلك قبولها بتوقيع واحد فقط.
نظرًا لأن كيفن قد منح الموافقات بالفعل لأصوله إلى عقد OpenSea، فقد خدعه القراصنة لتوقيع توقيع يفي بأمر مخصص لبيع جميع NFTs الثمينة لكيفن مجانًا / بمبلغ 1 دولار للقراصنة.
النقاط الرئيسية:
يمكن أيضا إساءة استخدام التوقيعات إذا استفادت من الموافقات الممنوحة مسبقا ، حتى لو تم منح هذه الموافقة لمصدر موثوق به
لا توقع موافقات OpenSea (OS) على مواقع أخرى غير OS، ولا تتفاعل مع العقود أو المواقع إذا كان لديك محفظة "grail/main vault"، قم بإرسالها إلى محفظة وسيطة ومن ثم تفاعل.
NFT_GOD: استخدم خيار استيراد الحساب (بدلاً من إضافة محفظة عتاد) في ميتاماسك وكتب عبارة البذرة الخاصة به في ميتاماسك عند إعداد محفظته.
هذا حول محفظته الباردة بشكل فعال إلى محفظة ساخنة - تذكر القاعدة الذهبية السابقة بعدم تحويل عبارة الإنبات الخاصة بك إلى رقمية.
ثم قام بتنزيل برنامج OBS المزيف (برنامج التسجيل) المسمى ODS والذي كان يتم الترويج له كإعلان في أعلى نتائج بحث Google.
كان هذا برنامج ضار لذلك سرق عبارة البذور ثم سرق جميع الأصول في محافظه الساخنة وبالتالي أيضًا محافظه الباردة.
النقطة الرئيسية:
لا تقم بتحويل عبارة البذور الخاصة بك بأي شكل من الأشكال، سواءً عن طريق كتابتها في أي نوع من أنواع لوحات المفاتيح (بما في ذلك الهواتف المحمولة) أو التقاط صورة (حيث تم التوصل إلى أن خدمات النسخ الاحتياطي التلقائي إلى خدمات السحابة قد تعرض بعض الأشخاص للخطر).
إخلاء المسؤولية:
يتم إعادة طبع هذه المقالة من[المتداولون المحللون] ، إلى الأمام العنوان الأصلي "كيف لا تتعرض أبدا للوعرة في التشفير مرة أخرى" ، جميع حقوق الطبع والنشر تنتمي إلى المؤلف الأصلي [بصير]. إذا كان هناك اعتراضات على هذا النشر المقتبس ، يرجى التواصل مع بوابة تعلمفريق غيت سيتولى التعامل معها بسرعة.
تنصل المسؤولية: الآراء والآراء المعبر عنها في هذه المقالة هي بالكامل تلك المؤلف ولا تشكل أي نصيحة استثمارية.
يتم إجراء ترجمات المقال إلى لغات أخرى من قبل فريق Sanv Nurlae. ما لم يرد ذكره، فإن نسخ أو توزيع أو سرقة المقالات المترجمة ممنوعة.
هل الاختراق أم خطأ المستخدم؟
الموافقات غير المحدودة مقابل الموافقات المخصصة (الرموز ERC-20)
لماذا هذا مهم؟
موافقات NFT
مثال على إساءة استخدام الفاعل الضار ل "SETAPPROVALFORALL"
التواقيع مقابل الموافقات
استحواذ الرمز
محافظ عملات بدائية/باردة
أفضل الممارسات عند شراء محفظة Ledger
الكلمة الخامسة والعشرون - دفتر الأستاذ
مقالات ذات صلة
كيفية تخزين ETH?
كيف تعمل بحوثك الخاصة (Dyor)؟
ما هو سولانا?
كيفية عدم الوقوع في العملات الرقمية مرة أخرى
هل الاختراق أم خطأ المستخدم؟
الموافقات غير المحدودة مقابل الموافقات المخصصة (الرموز ERC-20)
لماذا هذا مهم؟
موافقات NFT
مثال على إساءة استخدام الفاعل الضار ل "SETAPPROVALFORALL"
التواقيع مقابل الموافقات
استحواذ الرمز
محافظ عملات بدائية/باردة
أفضل الممارسات عند شراء محفظة Ledger
الكلمة الخامسة والعشرون - دفتر الأستاذ
تنصل
هذا الدليل لا يمكن أن يضمن أي شيء ولم يتم كتابته من منظور "خبير في مجال العملات الرقمية أو الأمان السيبراني".
إنها نتيجة تعلم مستمر من مصادر متعددة وتجربة شخصية.
على سبيل المثال، تم النصب علي بنفسي من خلال FOMO والطمع في وقت مبكر جدًا (عملية احتيال على البث المباشر وعملية احتيال على الروبوت MEV الوهمي) عندما دخلت هذه المجال، لذلك قضيت الوقت في التعلم والإعداد وفهم الأمان بشكل جاد.
لا تكن الشخص الذي يضطر إلى التعلم عن الأمان لأنك فقدت كل شيء أو كمية كبيرة بشكل مؤلم.
هاك أم خطأ المستخدم؟
جميع أنواع "اختراقات" محافظ/رموز/ NFT أو تعرضها للخطر تندرج عمومًا تحت إحدى فئتين:
سوء استخدام الموافقات الممنوحة مسبقًا للرموز.
تعرض مفتاح خاص/عبارة بذرية (عادةً على محفظة ساخنة).
الموافقات على الرموز
تفويضات الرموز هي في الأساس إذن لعقد ذكي للوصول إلى ونقل نوع معين أو كمية معينة من الرمز من محفظتك.
مثال:
- منح إذن OpenSea لنقل NFT الخاص بك حتى تتمكن من بيعه.
- منح إيونيسواب إذنًا لرموزك حتى تتمكن من إجراء تبديل.
\
إذا كنت ترغب في قراءة خلفية إضافية حول الموافقات على الرموز، يمكنك قراءة هذا الموضوع هنا.
بالنسبة لبعض السياق المسبق، تقريبا كل شيء على شبكة Ethereum، باستثناء ETH هو رمز ERC-20.
أحد خصائص رموز ERC-20 هو القدرة على منح أذونات الموافقة لعقود ذكية أخرى.
هذه الموافقات مطلوبة في وقت ما إذا كنت ترغب في القيام بتفاعلات DeFi الأساسية مثل تبديل أو ربط الرموز.
الرموز غير القابلة للاستبدال هي على التوالي رموز ERC-721 و 1155؛ آليات الموافقة الخاصة بهم تعمل بشكل مماثل لرموز ERC-20 ولكن لسوق الرموز غير القابلة للاستبدال.
الرسالة الأولية للموافقة على الرمز من ميتاماسك (MM) تعطيك العديد من القطع المعلوماتية ولكن الأكثر صلة هي:
الرمز الذي تعطي الموافقة عليه
الموقع الذي تتفاعل معه
العقد الذكي الذي تتفاعل معه
القدرة على تحرير كمية إذن الرمز
تحت القائمة المنسدلة للتفاصيل الكاملة نرى قطعة إضافية من المعلومات: وظيفة الموافقة.
يجب أن تتمتع جميع رموز ERC-20 بخصائص وخصائص معينة حسب معيار ERC-20 المحدد.
واحدة من هذه القدرة على عقود ذكية لنقل الرموز استنادا إلى المبلغ المعتمد.
الخطر في هذه الموافقات هو إذا قمت بمنح أذونات الرموز لعقد ذكي خبيث يمكن أن يتم سرقة / تصريف أصولك.
الموافقات غير المحدودة مقابل الموافقات المخصصة (ERC-20 TOKENS)
سيطلب العديد من تطبيقات DeFi الموافقة غير المحدودة على الرمز ERC20 بشكل افتراضي.
هذا لتحسين تجربة المستخدم حيث أنه أكثر راحة حيث لا يتطلب الموافقات المستقبلية المحتملة وبالتالي يوفر الوقت ورسوم الغاز.
لماذا هذا مهم؟
السماح بالموافقة على عدد غير محدود من الرموز يضع أموالك في خطر بالتأكيد.
تعديل موافقة الرمز يدويًا لمبلغ محدد يضبط الحد الأقصى للرموز التي يمكن لتطبيق الويب المعتمد نقلها حتى يتم توقيع موافقة أخرى لمبلغ أكبر.
هذا يحد من مخاطرك السلبية إذا تم استغلال ذلك العقد الذكي. إذا كان هناك استغلال في تطبيق dApp الذي منحت فيه الموافقات غير المحدودة، فأنت عرضة لخسارة جميع تلك الرموز الموافق عليها من المحفظة التي تحتفظ بها تلك الأصول ومنحت تلك الموافقة.
انظر إلىاستغلال Multichain WETH (WETH هو تغليف ERC-20 لـ ETH)كمثال.
تم استغلال هذا الجسر الذي يستخدم عادةً عن طريق إساءة استخدام أذونات الرموز غير المحدودة السابقة لأخذ الأموال من المستخدمين.
مثال (باستخدام محفظة Zerion) على تغيير من الموافقات غير المحدودة الافتراضية إلى الموافقات اليدوية.
موافقات NFT
"setApprovalForAll" للعملات الرقمية غير القابلة للانتقال
هذا هو تصريح يتم استخدامه بشكل شائع ، ولكنه قد يكون خطيرًا عمومًا يتم منحه لسوق NFT الموثوق بها عندما ترغب في بيع NFT الخاص بك.
يتيح ذلك نقل NFT عن طريق عقد ذكي لسوق. بالتالي ، عندما تبيع NFT للمشتري ، يمكن لعقد ذكي لهذا السوق نقل NFT تلقائيًا إلى المشتري.
تمنح هذه الموافقة الوصول لجميع رموز NFT من عنوان مجموعة / عقد محدد.
يمكن أيضًا استخدام هذا من قبل المواقع/العقود الخبيثة لسرقة NFTs الخاصة بك.
مثال على فاعل خبيث يسوء استخدام "SETAPPROVALFORALL"
النمط الكلاسيكي لـ 'تفريغ المحفظة' في حالة نقد لا تخوف من الفومو يسير على النحو التالي:
يتوجه المستخدم إلى موقع ويب خبيث يعتقد أنه شرعي.
عندما يقومون بربط محفظتهم بموقع الويب، يمكن للموقع رؤية محتويات المحفظة فقط.
ومع ذلك، يستخدمون هذا لفحص المحفظة عن أعلى قيمة للNFT وتعجيل 'تعيين الموافقة للجميع' من MM لعنوان العقد الذكي لهذا NFT.
المستخدم يعتقد أنهم يقومون بصك ولكنهم في الواقع يعطون موافقة العقد الخبيثة لنقل تلك الرموز.
يسرق النصاب الرموز ثم يسيولها ويسيولها في نظام التشغيل المفتوح أو يقدم عروضًا غامضة قبل أن يتم وضع علامة على العنصر كمسروق.
التوقيعات مقابل الموافقات
الموافقات تتطلب الغاز، حيث أنها تعمل على معالجة معاملة.
التواقيع هي خالية من الغاز ويتم استخدامها في كثير من الأحيان لتسجيل الدخول إلى تطبيقات اللامركزية لإثبات أنك تتحكم في المحفظة المعنية.
التواقيع عمومًا أفعال ذات مخاطر أقل ولكن يمكن استخدامها للاستفادة من الموافقات التي تم منحها سابقًا لمواقع موثوقة مثل OpenSea.
من الممكن أيضًا (بالنسبة للعُملات ERC-20) تعديل موافقاتك بتوقيع بدون رسوم بسبب وظائف التصريح التي تم إدخالها مؤخرًا جزئيًا على شبكة الإيثيريوم.
يمكن رؤيتهذا إذا استخدمت DEX مثل 1inch.
قراءة هذا بمزيد من التفصيلهنا.
استخلاصات الموافقات على الرموز
كن حذرًا في كل مرة تقوم فيها بمنح الموافقات لأي شيء، تأكد من أنك تعرف أي رموز تقوم بمنح الموافقة لها وإلى أي عقد ذكي (استخدم etherscan.)
حدد مخاطرك للموافقات:
- استخدم محافظ متعددة (الموافقات محددة لكل محفظة) - لا توقع الموافقات لمحفظتك / محفظتك ذات القيمة العالية.
- من الأفضل تقليل أو تجنب منح الموافقات غير المحدودة لـ ERC-20 بشكل كامل إذا أمكن.
- تحقق وأبطل الموافقات بشكل دوري عبر etherscan أو revoke.cash.
Revoke.cash هو موقع يتيح لك إلغاء تفويضات مختلفة للرموز بسهولة.
محافظ الأجهزة/البطاقات الباردة
تتصل المحافظ الساخنة بالإنترنت من خلال جهاز الكمبيوتر أو الهاتف الخاص بك. تتم تخزين مفاتيح / بيانات المحفظة عبر الإنترنت أو محليًا في متصفحك.
المحافظ الباردة هي أجهزة الأجهزة التي يتم إنشاء المفتاح وتخزينها بشكل صارم في وضع عدم الاتصال وبالقرب منك جسديًا.
نظرًا لأن دفتر الأستاذ يكلف حوالي 120 دولارًا ، إذا كان لديك أصول رقمية تزيد قيمتها عن 1000 دولار ، فمن المحتمل أن تقوم بشراء وإعداد دفتر حساب. يمكنك توصيل محافظ الأستاذ الخاصة بك (وليس استيرادها) إلى برنامج تحصيل الأموال الخاص بك للحصول على نفس الوظائف التي توفرها المحافظ الساخنة الأخرى مع الحفاظ على مستوى من الأمان.
ليدجر وتريزور هما الأكثر شهرة. أنا أحب ليدجر لأنها الأكثر توافقا مع متصفح المحافظ (على غرار رابي وام ام).
أفضل الممارسات عند شراء محفظة ليدجر
قم دائمًا بشراء المنتج من موقع الشركة الرسمي، لا تقم بالشراء عبر موقع Ebay أو Amazon = قد يكون مصابًا ببرامج ضارة محملة مسبقًا.
تأكد من أن التغليف مختوم عند استلام العنصر.
عند إعداد دفتر الأستاذ للمرة الأولى، سيتم إنشاء عبارة بذرية.
اكتب العبارة الأساسية فقط على ورق فيزيائي أو على لوحة فولاذية في وقت لاحق بحيث تكون عبارة العبارة الأساسية لديك مقاومة للحريق ومقاومة للماء.
لا تلتقط أبدًا صورة أو تكتب الكلمة السرية في أي نوع من لوحة المفاتيح (بما في ذلك الهاتف)، هذا يعني تحويل الكلمة السرية إلى صيغة رقمية وبالتالي يصبح محفظتك الباردة غير آمنة وتصبح محفظة "ساخنة".
العملات الرقمية ليست مخزنة بالضبط على محفظة الأجهزة ولكن "داخل" المحفظة التي تم إنشاؤها بواسطة عبارة البذور.
العبارة البذرية (12-24 كلمة) هي كل شيء ، يجب حمايتها / تأمينها بأي ثمن.
يعطي السيطرة الكاملة / الوصول إلى جميع المحافظ التي تم إنشاؤها بموجب تلك العبارة البذرية.
البذور ليست مخصصة للجهاز، يمكنك "استيرادها" إلى محفظة أخرى للأجهزة كنسخة احتياطية إذا لزم الأمر.
إذا فُقدت / تم تدمير البذور وفُقدت / تم تدمير محفظة الأجهزة الأصلية / تم قفلها = فقدان الوصول إلى جميع أصولك نهائياً.
هناك مستويات مختلفة من تخزين مستوى البذور مثل تقسيمها إلى أجزاء متعددة، وإضافة مسافة فعلية بين الأجزاء، وتخزينها في أماكن غير واضحة (علبة شوربة في قاع الفريزر، تحت الأرض في مكان ما على ملكيتك، إلخ.)
في الحد الأدنى يجب أن تكون لديك نسختان إلى ثلاث نسخ، واحدة منها على الصلب لحماية ضد الماء والنار.
"المفتاح الخاص" يشبه عبارة البذور ولكن فقط لمحفظة 1 محددة. يتم استخدامه بشكل عام لاستيراد المحافظ الساخنة إلى حساب MM جديد أو في أدوات التشغيل الآلي مثل روبوتات التداول.
الكلمة الخامسة والعشرون - ليدجر
بالإضافة إلى بذرة الـ 24 كلمة الأصلية، لدى Ledger ميزة أمان اختيارية إضافية.
البوابة عبارة مرورتعتبر ميزة متقدمة تضيف كلمة 25 من اختيارك وبحد أقصى 100 حرفًا إلى عبارة الاسترداد الخاصة بك.
سيؤدي استخدام عبارة المرور إلى إنشاء مجموعة مختلفة تمامًا من العناوين التي لا يمكن الوصول إليها عبر عبارة استرداد 24 كلمة وحدها.
بالإضافة إلى إضافة طبقة أخرى، تمنحك العبارة السرية إمكانية الإنكار المعقول عندما تكون تحت ضغط.
إذا كنت تستخدم عبارة سرية، فمن المهم تخزينها بشكل آمن أو تذكرها بشكل مثالي، حرفًا بحرف وحساسة لحالة الأحرف.
هذا هو الدفاع الوحيد والنهائي ضد "هجوم مفتاح الرنجة بقيمة 5 دولارات" في الحالات التي تتعرض فيها للتهديد جسديًا.
لماذا تتعرض لكل هذا الاحتكاك لإعداد محفظة هاردوير؟
تخزن المحافظ الساخنة المفاتيح الخاصة في موقع متصل بالإنترنت.
من السهل بشكل مخادع أن يتم خداعك وتضليلك وتلاعبك للكشف عن هذه بيانات الاعتماد عبر الإنترنت.
امتلاك محفظة باردة يعني أنه يحتاج القراصنة إلى العثور على محفظتك وسرقة مفتاح الوصول أو البذورة الخاصة بك للوصول إلى تلك المحافظ والأصول الموجودة فيها.
تم الاختراق = جميع المحافظ الساخنة والأصول الموجودة فيها معرضة للخطر ، حتى تلك التي لم تتفاعل مع الموقع / العقد الخبيث.
الطرق الشائعة في الماضي التي تم فيها "اختراق" الأشخاص
الطرق الشائعة في الماضي التي تم بها "اختراق" الأشخاص (تعرض عبارة البذور) عبر المحافظ الساخنة.
تم خداعهم لتنزيل برامج ضارة عبر عروض عمل بتنسيق PDF، و"اختبار النسخة التجريبية" للألعاب، تشغيل الماكروهات عبر جداول بيانات جوجل، تقليد المواقع والخدمات الشرعية.
التفاعل مع العقود الخبيثة: سك FOMO من موقع تقليد ، والتفاعل مع العقد من NFTs غير المعروفة التي تم إسقاطها جوا / استلامها.
إدخال أو إرسال المفاتيح والبذور إلى "دعم العملاء" أو برنامج/نموذج ذو صلة.
أمثلة وتحليل لـ 'الاختراقات' ذات الملف الشخصي العالي
كيفن روز: ذهب للذهاب إلى النعناع مجموعة (كتلة فنية) ، ووقع توقيع txn (gasless) معتقدا أنه كان يقوم فقط بتسجيل الدخول إلى موقع النعناع.
لكن Seaport (عقد OpenSea الجديد للسوق) يسمح لك بإنشاء طلبات مخصصة يمكنك بعد ذلك قبولها بتوقيع واحد فقط.
نظرًا لأن كيفن قد منح الموافقات بالفعل لأصوله إلى عقد OpenSea، فقد خدعه القراصنة لتوقيع توقيع يفي بأمر مخصص لبيع جميع NFTs الثمينة لكيفن مجانًا / بمبلغ 1 دولار للقراصنة.
النقاط الرئيسية:
يمكن أيضا إساءة استخدام التوقيعات إذا استفادت من الموافقات الممنوحة مسبقا ، حتى لو تم منح هذه الموافقة لمصدر موثوق به
لا توقع موافقات OpenSea (OS) على مواقع أخرى غير OS، ولا تتفاعل مع العقود أو المواقع إذا كان لديك محفظة "grail/main vault"، قم بإرسالها إلى محفظة وسيطة ومن ثم تفاعل.
NFT_GOD: استخدم خيار استيراد الحساب (بدلاً من إضافة محفظة عتاد) في ميتاماسك وكتب عبارة البذرة الخاصة به في ميتاماسك عند إعداد محفظته.
هذا حول محفظته الباردة بشكل فعال إلى محفظة ساخنة - تذكر القاعدة الذهبية السابقة بعدم تحويل عبارة الإنبات الخاصة بك إلى رقمية.
ثم قام بتنزيل برنامج OBS المزيف (برنامج التسجيل) المسمى ODS والذي كان يتم الترويج له كإعلان في أعلى نتائج بحث Google.
كان هذا برنامج ضار لذلك سرق عبارة البذور ثم سرق جميع الأصول في محافظه الساخنة وبالتالي أيضًا محافظه الباردة.
النقطة الرئيسية:
لا تقم بتحويل عبارة البذور الخاصة بك بأي شكل من الأشكال، سواءً عن طريق كتابتها في أي نوع من أنواع لوحات المفاتيح (بما في ذلك الهواتف المحمولة) أو التقاط صورة (حيث تم التوصل إلى أن خدمات النسخ الاحتياطي التلقائي إلى خدمات السحابة قد تعرض بعض الأشخاص للخطر).
إخلاء المسؤولية:
يتم إعادة طبع هذه المقالة من[المتداولون المحللون] ، إلى الأمام العنوان الأصلي "كيف لا تتعرض أبدا للوعرة في التشفير مرة أخرى" ، جميع حقوق الطبع والنشر تنتمي إلى المؤلف الأصلي [بصير]. إذا كان هناك اعتراضات على هذا النشر المقتبس ، يرجى التواصل مع بوابة تعلمفريق غيت سيتولى التعامل معها بسرعة.
تنصل المسؤولية: الآراء والآراء المعبر عنها في هذه المقالة هي بالكامل تلك المؤلف ولا تشكل أي نصيحة استثمارية.
يتم إجراء ترجمات المقال إلى لغات أخرى من قبل فريق Sanv Nurlae. ما لم يرد ذكره، فإن نسخ أو توزيع أو سرقة المقالات المترجمة ممنوعة.
مقالات ذات صلة
كيفية تخزين ETH?
كيف تعمل بحوثك الخاصة (Dyor)؟