با رشد و توسعه فناوری، چالشهای امنیتی جدیدی شکل میگیرد و اتریوم هم از این شرایط مستثنی نیست. پیمایش دنیای نوظهور ارزهای دیجیتال با چالشهایی همراه است که برای کاربران تازه کار سختتر هستند. به همین دلیل هر روز شاهد شنیدن اخبار جدیدی درباره کلاهبرداری از افراد مختلف در این جامعه هستیم.
اما برای حفاظت از داراییهای خودتان نیاز نیست که کارشناس امنیت سایبری باشید و کافیست از چند قانون ساده پیروی کنید. در این مقاله به بررسی انواع اسکمی میپردازیم که امروزه در این حوزه بسیار متداول هستند و به شما خواهیم گفت که چطور میتوانید از خودتان در برابر این کلاهبرداریها حفاظت کنید.
ویژگی خوب اتریوم این است که با استفاده از آن کاربران کنترل (کاستدی) داراییهای خودشان را در اختیار دارند. در این سیستم نیازی به بانک، کارت اعتباری یا واسطهها وجود ندارد. این سیستم
شبانه روزی فعال است و همه میتوانند هر زمانی به آن دسترسی داشته باشند. در اوج هرج و مرج، زمانی که اکسچنجهای متمرکز دچار مشکل میشوند زنجیره همچنان به فعالیت خود ادامه میدهد. همیشه میتوانید به اجرای تراکنش ادامه دهید هر چند گاهی اوقات ممکن است این کار مستلزم پرداخت هزینههای بیشتری باشد. در روش سلف کاستدی شما کنترل و مسئولیت حفاظت از داراییهای خودتان را برعهده دارید. مهاجمان سایبری در جریان هستند که کلاهبرداری از کاربرانی با اطلاعات کمتر آسانتر است و با توجه به اینکه در این سیستم هیچ واسطه و مسئولی برای حفاظت از شما وجود ندارد، در صورت گم شدن یا سرقت داراییهایتان راه نجاتی نخواهید داشت.
قبل از هر چیزی لازم به ذکر است که بر خلاف باور عدهای، قراردادهای هوشمند مخرب توانایی سرقت NFTهای شما را ندارند. انتقال NFT تحت کنترل قرارداد A به قرارداد B مستلزم تأیید این کار با استفاده از تابع setApprovalForAll قرارداد A است. برای انجام این کار باید یک تراکنش مجزا استفاده کرد و با اینکه در اسکمها از setApprovalForAll استفاده میشود اما اجرای آن به این صورت نیست. این نکته از این جهت اهمیت دارد که degen mint قادر به سرقت موجودی شما نیست به این شرط که مطمئن شوید قراردادی که با دارایی شما در تعامل است degen mint باشد.
گرچه نمیتوان از قرارداد برای ثبت درخواست مخرب SAFA استفاده کرد اما سایتها توانایی انجام این کار را دارند. اگر سایتی به صورت غیرمنتظره از شما خواست که setApprovalForAll (SAFA) را اجرا کنید، تقریباً میتوان مطمئن شد که این سایت حاوی اسکم است. مثلاً چنین سایتهایی از کاربران درخواست میکنند که به جای degenMint.publicMint، boredApeYachtClub.setApprovalForAll را امضاء کنند و اگر شما این امضاء را انجام دهید، میتوانند توکنهای Bored Ape Yacht Club شما را سرقت کنند. بیشتر والتها وقتی قصد امضای یک درخواست SAFA را داشته باشید به شما هشدار میدهند بنابراین همیشه وقتی چنین هشداری را مشاهده میکنید بسیار مراقب باشید.
البته گاهی اوقات این درخواستها مجاز و معتبر هستند. برخی بازارهای NFT مثل OpenSea یا Blur زمانی که شخصی NFT شما خریده باشد درحواست انتقال آن را ارسال میکنند. اگر وقتی یک توکن NFT را در یک بازار قابل اطمینان ثبت کردهاید چنین درخواستی را مشاهده میکنید، میتوانید نسبت به اجرای آن مطمئن باشید. به همین دلیل سایتهای معاملاتی P2P مثل NFTTrader هم برای اجرای معامله سوآپ نیاز به تأیید شما دارند. اما اسکمرهای زیادی هستند که از این نوع تراکنش برای کلاهبرداری استفاده میکنند که در ادامه رایجترین آنها را بررسی میکنیم.
در این کلاهبرداریها از تکنیکهای مهندسی اجتماعی استفاده میشود تا کاربران تشویق به اجرای معامله خصوصی شوند. سپس یک سایت معاملاتی جعلی برای کاربران ارسال میشود. از آنجایی که این بازارها از شما میخواهند که setapprovalforall را انجام دهید، ممکن است قابل اعتماد به نظر برسند. اما کلاهبردار، شما را فریب میدهد تا به جای تأیید قرارداد هوشمند بازار، والت او را تأیید کنید. پس از این تأیید، فرد کلاهبردار میتواند NFTهای شما را سرقت کرده و پیامهای آیندهتان را مسدود کند.
برای پیشگیری از این نوع اسکم، پلتفرمهای محبوبی مثل OpenSea، LooksRare، X2Y2، NFTTrader و SudoSwap را بوکمارک کنید.
سایتهای لغو جعلی: یکی دیگر از روشهای درخواست SAFA، این است که اسکمرها ادعا میکنند در یک بازار خاص مثل Blur یا OpenSea یک اکسپلویت جدید وجود دارد و بعد برای لغو تأییدها شما را به سمت یک سایت جعلی هدایت میکنند. از آنجایی که لغو تأیید، منجر به اجرای تراکنش SAFA میشود، به سختی میتوان مجاز بودن یا نبودن آنها را تشخیص داد. با امضای تراکنش اشتباه، آدرس کلاهبردار برای سرقت NFTهای شما تأیید میشود. برای پیشگیری از چنین کلاهبرداریهایی سایتهای لغو محبوب مثل http://revoke.cash یا https://approvals.xyz را بوکمارک کنید.
NFTهای ایردراپ شده با آفرهای WETH: گاهی اوقات آفرهایی در والت شما مشاهده میشود که ممکن است برای تأیید آنها دچار تردید شوید. دریافت خود NFTها آسیبی به شما وارد نمیکند - قراردادها هم امکان سرقت سایر NFTهای شما را ندارند. اما آفرهای WETH جعلی هستند و اگر آنها را تأیید کنید، اجرای تراکنش موفقیت آمیز نخواهد بود اما هدف، جلب توجه شما به توضیحات آیتم است. در بخش توضیحات یک لینک وجود دارد که این لینک مربوط به یک سایت جعلی است و در آنجا از شما درخواست میشود که یک تراکنش جعلی را امضاء کنید.
متهم کردن کاربران به کلاهبرداری: یکی دیگر از روشهایی که اخیراً محبوبیت زیادی کسب کرده این است که کاربران با ارسال یکسری اسکرین شات، متهم به کلاهبرداری در دیسکورد میشوند. هدف این است که کاربر به سمت یک سرور دیسکورد جعلی هدایت شود که در آن برای تأیید از یک Collab.Land یا Vulcan جعلی استفاده میشود. زمانی که قصد تأیید هویت خودتان را داشته باشید، این سایت جعلی درخواست امضای seaport یا SAFA را ارسال میکند که حتماً با عواقب امضای آن آشنا هستید.
سایر روشها: تا امروز کلاهبرداریهای مختلفی با سایتهای مشتقات جعلی، مینت جعلی، سایتهای استیکینگ، ادعای ایردراپ و غیره مشاهده شده است. نمیتوان همه انواع کلاهبرداریها را مرور کرد اما لازم است که با اجزای تراکنش Approval و اینکه در چنین تراکنشی به دنبال چه چیزهایی باشید، آشنا شوید و مهمترین نکته اینکه: مراقب باشید که کجا و به چه چیزی تأیید میدهید، چه چیزهایی را امضاء میکنید و کجا این امضاء را انجام میدهید.
حالا که با چگونگی اجتناب از کلاهبرداری با SAFA آشنا شدید، نگاهی به یک اسکم جدیتر یعنی امضای سی پورت داریم. با افزایش آگاهی کاربران نسبت به تراکنشهای SAFA، در چند ماه اخیر این کلاهبرداری رایجتر شده و بیشتر اسکمها در حال حاضر مربوط به این روش است.
بسیاری از اوقات تصور میشود که اگر سایتی از ما خواست که تراکنشی بدون گس را امضا کنیم، امضای این درخواست امن است و مشکلی ایجاد نمیکند اما به هیچ وجه این طور نیست. در واقع بیشتر اسکمهای بزرگ، از امضاهای بدون گس برای سرقت یکجای چندین NFT استفاده میکنند.
همانطور که پیش از این اشاره شد، برای انتقال NFT از طریق بازارها باید تأییدهای لازم را انجام دهید. مثلاً وقتی که قرار است NFT که برای فروش ثبت کرده بودید را برای یک کاربر دیگر منتقل کنید باید این کار را انجام دهید. همچنین، پیش از نهایی شدن فروش، این بازارها برای اطمینان از معتبر بودن درخواست فروش، از امضای کاربر استفاده میکنند.
یک امضای معتبر حاوی دادههای خاصی است از جمله: نام توکن (یا توکنها)، مهلت ثبت برای فروش، قیمت فروش و غیره. میتوان هر تعداد توکن دلخواهی را برای فروش ثبت کرد اما این تأییدها برای توکنهای ERC-20 مثل $USDC و $APE هم کاربرد دارند.
برای بهره برداری از این قابلیت، کافیست اسکمرها درخواست یک امضاء را برای شما ارسال کنند که حاوی همه توکنهای شما با قیمت صفر است. وقتی این درخواست را امضاء کنید، میتوانند امضای شما را برای خرید توکنها به Seaport ارسال کرده و همه توکنهای شما را به حساب خودشان منتقل کنند.
لازم به ذکر است که فقط توکنهایی که برای Seaport ثبت کرده باشید در معرض این خطر قرار دارند. امضاهای OpenSea طولانی و رمزگشایی از آنها سخت است. اگر سایتی که نسبت به آن مطمئن نیستید، از شما خواست که یک امضاء انجام دهید و این درخواست برای شما مبهم بود، آن را امضاء نکنید. این بهترین راه برای حفظ امنیت خودتان است - در خیلی از سایتها برای اثبات مالکیت، امضا لازم است اما معمولاً درخواستهای معتبر حاوی پیامهای خوانا هستند مثل Welcome to collab.land!.
به غیر از مراقبت در امضای درخواستها، تفکیک داراییها را فراموش نکنید. فقط NFTهایی که در OpenSea یا سایر بازارها ثبت کرده باشید در برابر چنین حملاتی آسیب پذیر هستند بنابراین نیاز نیست برای آدرسهای والتی که تأیید باز (open approval) ندارند، نگران این موضوع باشید. همیشه NFTهای ارزشمند خودتان را در یک والت مجزا (vault wallet) و بدون تأیید قرار دهید. هر زمان که نیاز به فروش داشتید، این توکنها را به والت ارسال کرده و برای فروش ثبت کنید. از آنجایی که vault هیچ درخواستی را برای هیچ اکسچنجی تأیید نمیکند، نیازی به نگرانی درباره اسکمهای امضای بدون گس ندارید. با استفاده از این روش میتوانید از بسیاری از حملات و کلاهبرداریها جلوگیری کنید.
تأییدها و امضاهای Blur هم که جزء روشهای کمتر متداول هستند در برابر چنین اسکمهایی آسیب پذیر هستند. امضاهای Blur به صورت رشتههای مبنای 16 نمایش داده میشوند که از امضاهای Seaport هم ناخواناتر هستند.
ETH_SIGN
بیشتر والتها این تنظیمات را در حالت پیش فرض غیر فعال میکنند اما خوب است که با آن آشنا باشید چون ممکن است برای کارهایی مثل Opensea Pro آن را فعال کنید.
eth_sign جزء امضاهای بدون گسی است که میتوانند خطرناک باشند. یک تراکنش بلاکچین در اصل یک پیام امضاء شده است که وقتی کدگشایی شود حاوی فیلدهایی مثل گس، قیمت، نانس، مقدار، آدرس مقصد و غیره خواهد بود. مهاجمان هم با این روش یک تراکنش معتبر سر هم کرده و از شما میخواهند آن را امضاء کنید. به این دلیل که وقتی تراکنشی امضاء شود، همه میتوانند آن را برای اجرا ثبت کنند. اگر همه پارامترها معتبر باشند (مثلاً نانس شما تغییر نکرده باشد)، تراکنش اجرا خواهد شد طوری که انگار خود شما آن را ارسال کردهاید. به این روش امضای تراکنش خام eth_sign گفته میشود که خوشبختانه در حال حاضر اکثر والتهای مهم آن را در حالت پیش فرض غیرفعال کردهاند.
اگر به اشتباه این تراکنش را امضاء کردید، فقط یک تراکنش با آن امضاء قابل اجرا خواهد بود و بعد از اجرای آن تراکنش میتوانید مثل همیشه از والت خودتان استفاده کنید.
مسموم سازی آدرس
مسموم سازی آدرس زمانی رخ میدهد که مهاجمی توکنهای جعلی را از آدرس شما به آدرسی شبیه به یکی از آدرسهای تاریخچه تراکنشهای شما ارسال میکند. اجرای این ترفند با فرایندی موسوم به «جعل رویداد» به آسانی و هزینه بسیار کم ممکن است. در این مرحله، آدرس شما امن است و این توکنها جابجا نشدهاند اما کلاهبرداران امیدوارند که بالاخره در آینده، یکی از آدرسهای مقصدی که در گذشته به آن وجه واریز کردهاید را کپی و پیست کنید و به اشتباه آدرس آنها را که شبیه به آدرس اصلی است انتخاب کنید. برای پیشگیری از این کلاهبرداری، همیشه پیش از تأیید هر تراکنشی آدرس مقصد را چند بار بررسی کنید.
هک کلید خصوصی
بدترین نوع حمله، هک کلید خصوصی است که خوشبختانه جلوگیری از آن بسیار راحت است. اگر از والت سختافزاری استفاده نمیکنید، کلیدهای خصوصی شما جایی داخل دستگاهتان ذخیره میشود. در این صورت یک بدافزار میتواند این کلیدها را شناسایی و استخراج کند تا هکرها کنترل کامل والت شما را در اختیار بگیرند.
پیدا کردن منشأ این حمله کار سختی است چون هر بدافزاری میتواند مسئول سرقت کلیدهای خصوصی شما باشد و سرنخی در این زمینه در زنجیره ثبت نمیشود. در واقع، هر فایلی که بر روی دستگاه دانلود و اجرا میکنید میتواند مسئول این خرابکاری باشد.
کلاهبرداریهای مهندسی اجتماعی
رایجترین روش، مهندسی اجتماعی است که سه متد متداول آن در سال 2023 عبارتند از:
اگر کلید خصوصی شما افشا شد، تنها گزینهای که پیش رو خواهید داشت کنار گذاشتن والت قبلی و استفاده از یک والت جدید است. اگر در این والت موجودی دارید و مثلاً داراییهایی با آن استیک کردهاید یا به هر دلیل دیگری موجودی شما برای هکرها مشخص نیست، گاهی اوقات میتوانید با کمک هکرهای کلاه سفید در سرور دیسکورد Flashbots این موجودی را پس بگیرید. اگر از والت سختافزاری استفاده میکنید، کلیدهای شما از تهدیدات اینترنتی در امان هستند به این شرط که آنها را به روشهای آنلاین ذخیره نکنید. دستگاههای لجر از یک تراشه عنصر امن استفاده میکنند و جزء امنترین والتهای موجود هستند. برای حفاظت از موجودی خودتان هنگام استفاده از والتهای سختافزاری باید عبارت یادآور این والتها را به روشهای آفلاین و روی کاغذ یا ترجیحاً کارتهای فلزی مخصوص ذخیره کنید.
دنیای اتریوم و توکنهای NFT جذابیتهای زیادی دارد اما لازم است برای مقابله با افراد کلاهبردار و مخرب، اطلاعات خودتان را افزایش دهید. با درک کامل ریسکهای مربوط به قراردادهای هوشمند، درخواستهای SAFA، امضاهای سی پورت، ETH_SIGN و غیره میتوانید از تهدیدات مربوط به قراردادهای مخرب اجتناب کنید. هنگام اجرای تراکنش، تأیید قرارداد، دانلود یا نصب نرمافزارهای جدید مراقب باشید و همیشه به نشانههای هشدار دقت داشته باشید.
برای امنیت بیشتر کلیدهای خصوصی خودتان، از والتهای سختافزاری استفاده کنید. آدرس پلتفرمهای قابل اطمینان برای اجرای تراکنش و مدیریت دارایی را بوکمارک کرده و فقط از آنها استفاده کنید.
آدرس 1 : تهران، جردن، خیابان تندیس، روبروی سفارت عمان
آدرس 2 : تهران، میرداماد، میدان مادر، خیابان شاه نظری ، خیابان ابن سینا
تلفن تماس : 26230198
ساعات پاسخگویی تلفنی :روزهای غیرتعطیل از 9 صبح الی 17 عصر
حتما برای مراجعه حضوری از قبل هماهنگ بفرمایید
