با رشد و توسعه فناوری، چالش‌های امنیتی جدیدی شکل می‌گیرد و اتریوم هم از این شرایط مستثنی نیست. پیمایش دنیای نوظهور ارزهای دیجیتال با چالش‌هایی همراه است که برای کاربران تازه کار سخت‌تر هستند. به همین دلیل هر روز شاهد شنیدن اخبار جدیدی درباره کلاهبرداری از افراد مختلف در این جامعه هستیم.

اما برای حفاظت از دارایی‌های خودتان نیاز نیست که کارشناس امنیت سایبری باشید و کافیست از چند قانون ساده پیروی کنید. در این مقاله به بررسی انواع اسکمی می‌پردازیم که امروزه در این حوزه بسیار متداول هستند و به شما خواهیم گفت که چطور می‌توانید از خودتان در برابر این کلاهبرداری‌ها حفاظت کنید.

آشنایی با روش سلف کاستدی

ویژگی خوب اتریوم این است که با استفاده از آن کاربران کنترل (کاستدی) دارایی‌های خودشان را در اختیار دارند. در این سیستم نیازی به بانک، کارت اعتباری یا واسطه‌ها وجود ندارد. این سیستم

شبانه روزی فعال است و همه می‌توانند هر زمانی به آن دسترسی داشته باشند. در اوج هرج و مرج، زمانی که اکسچنج‌های متمرکز دچار مشکل می‌شوند زنجیره همچنان به فعالیت خود ادامه می‌دهد. همیشه می‌توانید به اجرای تراکنش ادامه دهید هر چند گاهی اوقات ممکن است این کار مستلزم پرداخت هزینه‌های بیشتری باشد. در روش سلف کاستدی شما کنترل و مسئولیت حفاظت از دارایی‌های خودتان را برعهده دارید. مهاجمان سایبری در جریان هستند که کلاهبرداری از کاربرانی با اطلاعات کمتر آسان‌تر است و با توجه به اینکه در این سیستم هیچ واسطه و مسئولی برای حفاظت از شما وجود ندارد، در صورت گم شدن یا سرقت دارایی‌هایتان راه نجاتی نخواهید داشت.

معرفی تابع setApprovalForAll

قبل از هر چیزی لازم به ذکر است که بر خلاف باور عده‌ای، قراردادهای هوشمند مخرب توانایی سرقت NFTهای شما را ندارند. انتقال NFT تحت کنترل قرارداد A به قرارداد B مستلزم تأیید این کار با استفاده از تابع setApprovalForAll قرارداد A است. برای انجام این کار باید یک تراکنش مجزا استفاده کرد و با اینکه در اسکم‌ها از setApprovalForAll استفاده می‌شود اما اجرای آن به این صورت نیست. این نکته از این جهت اهمیت دارد که degen mint قادر به سرقت موجودی شما نیست به این شرط که مطمئن شوید قراردادی که با دارایی شما در تعامل است degen mint باشد.

گرچه نمی‌توان از قرارداد برای ثبت درخواست مخرب SAFA استفاده کرد اما سایت‌ها توانایی انجام این کار را دارند. اگر سایتی به صورت غیرمنتظره از شما خواست که setApprovalForAll (SAFA) را اجرا کنید، تقریباً می‌توان مطمئن شد که این سایت حاوی اسکم است. مثلاً چنین سایت‌هایی از کاربران درخواست می‌کنند که به جای degenMint.publicMint، boredApeYachtClub.setApprovalForAll را امضاء کنند و اگر شما این امضاء را انجام دهید، می‌توانند توکن‌های Bored Ape Yacht Club شما را سرقت کنند. بیشتر والت‌ها وقتی قصد امضای یک درخواست SAFA را داشته باشید به شما هشدار می‌دهند بنابراین همیشه وقتی چنین هشداری را مشاهده می‌کنید بسیار مراقب باشید.

البته گاهی اوقات این درخواست‌ها مجاز و معتبر هستند. برخی بازارهای NFT مثل OpenSea یا Blur زمانی که شخصی NFT شما خریده باشد درحواست انتقال آن را ارسال می‌کنند. اگر وقتی یک توکن NFT را در یک بازار قابل اطمینان ثبت کرده‌اید چنین درخواستی را مشاهده می‌کنید، می‌توانید نسبت به اجرای آن مطمئن باشید. به همین دلیل سایت‌های معاملاتی P2P مثل NFTTrader هم برای اجرای معامله سوآپ نیاز به تأیید شما دارند. اما اسکمرهای زیادی هستند که از این نوع تراکنش برای کلاهبرداری استفاده می‌کنند که در ادامه رایج‌ترین آنها را بررسی می‌کنیم.

محبوب‌ترین روش‌های کلاهبرداری با استفاده از SAFA

کلاهبرداری‌های مربوط به معامله NFT

در این کلاهبرداری‌ها از تکنیک‌های مهندسی اجتماعی استفاده می‌شود تا کاربران تشویق به اجرای معامله خصوصی شوند. سپس یک سایت معاملاتی جعلی برای کاربران ارسال می‌شود. از آنجایی که این بازارها از شما می‌خواهند که setapprovalforall را انجام دهید، ممکن است قابل اعتماد به نظر برسند. اما کلاهبردار، شما را فریب می‌دهد تا به جای تأیید قرارداد هوشمند بازار، والت او را تأیید کنید. پس از این تأیید، فرد کلاهبردار می‌تواند NFTهای شما را سرقت کرده و پیام‌های آینده‌تان را مسدود کند.

برای پیشگیری از این نوع اسکم، پلتفرم‌های محبوبی مثل OpenSea، LooksRare، X2Y2، NFTTrader و SudoSwap را بوکمارک کنید.

سایت‌های لغو جعلی: یکی دیگر از روش‌های درخواست SAFA، این است که اسکمرها ادعا می‌کنند در یک بازار خاص مثل Blur یا OpenSea یک اکسپلویت جدید وجود دارد و بعد برای لغو تأییدها شما را به سمت یک سایت جعلی هدایت می‌کنند. از آنجایی که لغو تأیید، منجر به اجرای تراکنش SAFA می‌شود، به سختی می‌توان مجاز بودن یا نبودن آنها را تشخیص داد. با امضای تراکنش اشتباه، آدرس کلاهبردار برای سرقت NFTهای شما تأیید می‌شود. برای پیشگیری از چنین کلاهبرداری‌هایی سایت‌های لغو محبوب مثل http://revoke.cash یا https://approvals.xyz را بوکمارک کنید.

NFTهای ایردراپ شده با آفرهای WETH: گاهی اوقات آفرهایی در والت شما مشاهده می‌شود که ممکن است برای تأیید آنها دچار تردید شوید. دریافت خود NFTها آسیبی به شما وارد نمی‌کند - قراردادها هم امکان سرقت سایر NFTهای شما را ندارند. اما آفرهای WETH جعلی هستند و اگر آنها را تأیید کنید، اجرای تراکنش موفقیت آمیز نخواهد بود اما هدف، جلب توجه شما به توضیحات آیتم است. در بخش توضیحات یک لینک وجود دارد که این لینک مربوط به یک سایت جعلی است و در آنجا از شما درخواست می‌شود که یک تراکنش جعلی را امضاء کنید.

متهم کردن کاربران به کلاهبرداری: یکی دیگر از روش‌هایی که اخیراً محبوبیت زیادی کسب کرده این است که کاربران با ارسال یکسری اسکرین شات، متهم به کلاهبرداری در دیسکورد می‌شوند. هدف این است که کاربر به سمت یک سرور دیسکورد جعلی هدایت شود که در آن برای تأیید از یک Collab.Land یا Vulcan جعلی استفاده می‌شود. زمانی که قصد تأیید هویت خودتان را داشته باشید، این سایت جعلی درخواست امضای seaport یا SAFA را ارسال می‌کند که حتماً با عواقب امضای آن آشنا هستید.

سایر روش‌ها: تا امروز کلاهبرداری‌های مختلفی با سایت‌های مشتقات جعلی، مینت جعلی، سایت‌های استیکینگ، ادعای ایردراپ و غیره مشاهده شده است. نمی‌توان همه انواع کلاهبرداری‌ها را مرور کرد اما لازم است که با اجزای تراکنش Approval و اینکه در چنین تراکنشی به دنبال چه چیزهایی باشید، آشنا شوید و مهم‌ترین نکته اینکه: مراقب باشید که کجا و به چه چیزی تأیید می‌دهید، چه چیزهایی را امضاء می‌کنید و کجا این امضاء را انجام می‌دهید.

امضاهای سی پورت (Seaport)

حالا که با چگونگی اجتناب از کلاهبرداری با SAFA آشنا شدید، نگاهی به یک اسکم جدی‌تر یعنی امضای سی پورت داریم. با افزایش آگاهی کاربران نسبت به تراکنش‌های SAFA، در چند ماه اخیر این کلاهبرداری رایج‌تر شده و بیشتر اسکم‌ها در حال حاضر مربوط به این روش است.

بسیاری از اوقات تصور می‌شود که اگر سایتی از ما خواست که تراکنشی بدون گس را امضا کنیم، امضای این درخواست امن است و مشکلی ایجاد نمی‌کند اما به هیچ وجه این طور نیست. در واقع بیشتر اسکم‌های بزرگ، از امضاهای بدون گس برای سرقت یکجای چندین NFT استفاده می‌کنند.

همانطور که پیش از این اشاره شد، برای انتقال NFT از طریق بازارها باید تأییدهای لازم را انجام دهید. مثلاً وقتی که قرار است NFT که برای فروش ثبت کرده بودید را برای یک کاربر دیگر منتقل کنید باید این کار را انجام دهید. همچنین، پیش از نهایی شدن فروش، این بازارها برای اطمینان از معتبر بودن درخواست فروش، از امضای کاربر استفاده می‌کنند.

یک امضای معتبر حاوی داده‌های خاصی است از جمله: نام توکن (یا توکن‌ها)، مهلت ثبت برای فروش، قیمت فروش و غیره. می‌توان هر تعداد توکن دلخواهی را برای فروش ثبت کرد اما این تأییدها برای توکن‌های ERC-20 مثل $USDC و $APE هم کاربرد دارند.

برای بهره برداری از این قابلیت، کافیست اسکمرها درخواست یک امضاء را برای شما ارسال کنند که حاوی همه توکن‌های شما با قیمت صفر است. وقتی این درخواست را امضاء کنید، می‌توانند امضای شما را برای خرید توکن‌ها به Seaport ارسال کرده و همه توکن‌های شما را به حساب خودشان منتقل کنند.

لازم به ذکر است که فقط توکن‌هایی که برای Seaport ثبت کرده باشید در معرض این خطر قرار دارند. امضاهای OpenSea طولانی و رمزگشایی از آنها سخت است. اگر سایتی که نسبت به آن مطمئن نیستید، از شما خواست که یک امضاء انجام دهید و این درخواست برای شما مبهم بود، آن را امضاء نکنید. این بهترین راه برای حفظ امنیت خودتان است - در خیلی از سایت‌ها برای اثبات مالکیت، امضا لازم است اما معمولاً درخواست‌های معتبر حاوی پیام‌های خوانا هستند مثل Welcome to collab.land!.

به غیر از مراقبت در امضای درخواست‌ها، تفکیک دارایی‌ها را فراموش نکنید. فقط NFTهایی که در OpenSea یا سایر بازارها ثبت کرده باشید در برابر چنین حملاتی آسیب پذیر هستند بنابراین نیاز نیست برای آدرس‌های والتی که تأیید باز (open approval) ندارند، نگران این موضوع باشید. همیشه NFTهای ارزشمند خودتان را در یک والت مجزا (vault wallet) و بدون تأیید قرار دهید. هر زمان که نیاز به فروش داشتید، این توکن‌ها را به والت ارسال کرده و برای فروش ثبت کنید. از آنجایی که vault هیچ درخواستی را برای هیچ اکسچنجی تأیید نمی‌کند، نیازی به نگرانی درباره اسکم‌های امضای بدون گس ندارید. با استفاده از این روش می‌توانید از بسیاری از حملات و کلاهبرداری‌ها جلوگیری کنید.

تأییدها و امضاهای Blur هم که جزء روش‌های کمتر متداول هستند در برابر چنین اسکم‌هایی آسیب پذیر هستند. امضاهای Blur به صورت رشته‌های مبنای 16 نمایش داده می‌شوند که از امضاهای Seaport هم ناخواناتر هستند.

ETH_SIGN

بیشتر والت‌ها این تنظیمات را در حالت پیش فرض غیر فعال می‌کنند اما خوب است که با آن آشنا باشید چون ممکن است برای کارهایی مثل Opensea Pro آن را فعال کنید.

eth_sign جزء امضاهای بدون گسی است که می‌توانند خطرناک باشند. یک تراکنش بلاک‌چین در اصل یک پیام امضاء شده است که وقتی کدگشایی شود حاوی فیلدهایی مثل گس، قیمت، نانس، مقدار، آدرس مقصد و غیره خواهد بود. مهاجمان هم با این روش یک تراکنش معتبر سر هم کرده و از شما می‌خواهند آن را امضاء کنید. به این دلیل که وقتی تراکنشی امضاء شود، همه می‌توانند آن را برای اجرا ثبت کنند. اگر همه پارامترها معتبر باشند (مثلاً نانس شما تغییر نکرده باشد)، تراکنش اجرا خواهد شد طوری که انگار خود شما آن را ارسال کرده‌اید. به این روش امضای تراکنش خام eth_sign گفته می‌شود که خوشبختانه در حال حاضر اکثر والت‌های مهم آن را در حالت پیش فرض غیرفعال کرده‌اند.

اگر به اشتباه این تراکنش را امضاء کردید، فقط یک تراکنش با آن امضاء قابل اجرا خواهد بود و بعد از اجرای آن تراکنش می‌توانید مثل همیشه از والت خودتان استفاده کنید.

مسموم سازی آدرس

مسموم سازی آدرس زمانی رخ می‌دهد که مهاجمی توکن‌های جعلی را از آدرس شما به آدرسی شبیه به یکی از آدرس‌های تاریخچه تراکنش‌های شما ارسال می‌کند. اجرای این ترفند با فرایندی موسوم به «جعل رویداد» به آسانی و هزینه بسیار کم ممکن است. در این مرحله، آدرس شما امن است و این توکن‌ها جابجا نشده‌اند اما کلاهبرداران امیدوارند که بالاخره در آینده، یکی از آدرس‌های مقصدی که در گذشته به آن وجه واریز کرده‌اید را کپی و پیست کنید و به اشتباه آدرس آنها را که شبیه به آدرس اصلی است انتخاب کنید. برای پیشگیری از این کلاهبرداری، همیشه پیش از تأیید هر تراکنشی آدرس مقصد را چند بار بررسی کنید.

هک کلید خصوصی

بدترین نوع حمله، هک کلید خصوصی است که خوشبختانه جلوگیری از آن بسیار راحت است. اگر از والت سخت‌افزاری استفاده نمی‌کنید، کلیدهای خصوصی شما جایی داخل دستگاهتان ذخیره می‌شود. در این صورت یک بدافزار می‌تواند این کلیدها را شناسایی و استخراج کند تا هکرها کنترل کامل والت شما را در اختیار بگیرند.

پیدا کردن منشأ این حمله کار سختی است چون هر بدافزاری می‌تواند مسئول سرقت کلیدهای خصوصی شما باشد و سرنخی در این زمینه در زنجیره ثبت نمی‌شود. در واقع، هر فایلی که بر روی دستگاه دانلود و اجرا می‌کنید می‌تواند مسئول این خرابکاری باشد.

کلاهبرداری‌های مهندسی اجتماعی

رایج‌ترین روش، مهندسی اجتماعی است که سه متد متداول آن در سال 2023 عبارتند از:

1. تست بتای بازی: کلاهبردار به شما پیشنهاد می‌دهد که با تست بتای بازی که در دست ساخت است، دستمزد بگیرید. تست این بازی مستلزم دانلود و نصب فایل آن است. پس از آن، فایل نصب سعی می‌کند کلید خصوصی والت شما را استخراج کند و در صورت موفقیت آمیز بودن این مرحله، موجودی والت شما تخلیه خواهد شد. یک sweeper خودکار هم به والت اضافه می‌شود تا هر دارایی که در آینده به آن ارسال می‌شود را استخراج کند.
2. اسکم قرارداد حق امتیاز IP: در این روش، کلاهبردار به شما پیشنهاد می‌دهد که در قبال استفاده از IP توکن‌های NFT شما، مبلغی را به شما پرداخت کند. متأسفانه در این روش کلاهبرداران یا شما را متقاعد به امضای یک تراکنش اسکم یا دانلود یک پی‌دی‌اف فیک می‌کنند که حاوی ویروس‌هایی برای سرقت کلیدهای خصوصی است.
3. قرارداد/درخواست همکاری: بنیانگذاران و سایر افراد دخیل در پروژه‌هایی که NFTهای با ارزش دارند، روزبروز بیشتر مورد هدف شرکت‌های کلاهبردار قرار می‌گیرند. این کلاهبرداری‌ها روزبروز رایج‌تر شده و از همان روش‌هایی که پیش از این اشاره شد در آنها استفاده می‌شود. حتی ممکن است برای کلاهبرداری‌های مختلف با شما تماس بگیرند.

اگر کلید خصوصی شما افشا شد، تنها گزینه‌ای که پیش رو خواهید داشت کنار گذاشتن والت قبلی و استفاده از یک والت جدید است. اگر در این والت موجودی دارید و مثلاً دارایی‌هایی با آن استیک کرده‌اید یا به هر دلیل دیگری موجودی شما برای هکرها مشخص نیست، گاهی اوقات می‌توانید با کمک هکرهای کلاه سفید در سرور دیسکورد Flashbots این موجودی را پس بگیرید. اگر از والت سخت‌افزاری استفاده می‌کنید، کلیدهای شما از تهدیدات اینترنتی در امان هستند به این شرط که آنها را به روش‌های آنلاین ذخیره نکنید. دستگاه‌های لجر از یک تراشه عنصر امن استفاده می‌کنند و جزء امن‌ترین والت‌های موجود هستند. برای حفاظت از موجودی خودتان هنگام استفاده از والت‌های سخت‌افزاری باید عبارت یادآور این والت‌ها را به روش‌های آفلاین و روی کاغذ یا ترجیحاً کارت‌های فلزی مخصوص ذخیره کنید.

جمع بندی

دنیای اتریوم و توکن‌های NFT جذابیت‌های زیادی دارد اما لازم است برای مقابله با افراد کلاهبردار و مخرب، اطلاعات خودتان را افزایش دهید. با درک کامل ریسک‌های مربوط به قراردادهای هوشمند، درخواست‌های SAFA، امضاهای سی پورت، ETH_SIGN و غیره می‌توانید از تهدیدات مربوط به قراردادهای مخرب اجتناب کنید. هنگام اجرای تراکنش، تأیید قرارداد، دانلود یا نصب نرم‌افزارهای جدید مراقب باشید و همیشه به نشانه‌های هشدار دقت داشته باشید.

برای امنیت بیشتر کلیدهای خصوصی خودتان، از والت‌های سخت‌افزاری استفاده کنید. آدرس پلتفرم‌های قابل اطمینان برای اجرای تراکنش و مدیریت دارایی را بوکمارک کرده و فقط از آنها استفاده کنید.