Is Your ETH At Risk? Unpicking The Panic Around Smart Wallet Delegation

هل عملات الإيثريوم الخاصة بك في خطر؟ تفكيك حالة الذعر التي أحاطت بتفويض المحافظ الذكية

حقوق الصورة: تم إنشاء الصورة بمساعدة الذكاء الاصطناعي

أضاف تحديث شبكة إيثريوم الأخير آليةً تُمكّن المحافظ الأساسية من استخدام ميزات المحفظة الذكية. لكن الإنترنت في حالة ذعر بسبب مزاعم بأن لصوص الإنترنت قد يستخدمون هذه الميزة لاستنزاف أموال المستخدمين.

في قلب هذه العاصفة، يأتي مقترح تحسين الإيثريوم (EIP) 7702، وهو واحد من تسع إضافات فردية مُدمجة في تحديث Pectra الخاص بسلسلة الكتل في مايو. يُقدم EIP-7702 معاملة تُسمى SetCode، تُتيح للمستخدمين منح تحكم مؤقت في محفظتهم الذكية المتقدمة لمالك محفظة أساسية، بمجرد توقيع رسالة. وقد ادعى محللو الأمن أن هذه الوظيفة الإضافية تُعرّض المستخدمين للسرقة.

هل ينبغي لحاملي الإيثريوم القلق؟ هناك ثغرة أمنية، ولكن كما هو الحال في عالم العملات المشفرة، فإن الصورة الكاملة معقدة.

ديمقراطية الوصول

الفكرة هي منح المستخدمين غير التقنيين إمكانية الوصول إلى مزايا المحفظة الذكية المتقدمة، مثل التصويت على حوكمة الشبكة أو المشاركة في المراهنة دون الحاجة إلى تشغيل عقدة التحقق. يمكن استخدام التفويض لكسب المكافآت، وتوسيع نطاق المشاركة في حوكمة البلوك تشين، أو إدارة الأذونات في بيئات التمويل اللامركزي.

بالنسبة لمطوري المحافظ، تُعدّ هذه الميزة بتسهيل عملية دمج المستخدمين. تتيح مجموعة أدوات التفويض الخاصة لفرق التطوير تبسيط عملية اتصال المحفظة، مما يُسهّل على المستخدمين الجدد البدء. كما تُتيح إمكانيات مثل دفع الاشتراكات بشكل متكرر تلقائيًا، وتنسيقًا اجتماعيًا أفضل في عمليات الشراء واستثمارات العملات المشفرة.

يبدو الأمر رائعًا، لكن يبدو أن التفويض ضعيف . إذا حصل لص إلكتروني على توقيع التمكين، ربما عبر مسجل ضغطات المفاتيح أو رسالة تصيد احتيالي، فقد يستخدمه لاستبدال شيفرة المحفظة، وإضافة برمجيات خبيثة تُعيد توجيه المكالمات - وعملات الإيثريوم الواردة - إلى عقد خبيث ثانٍ.

يُظهر تحليل أجرته شركة الأصول الرقمية Wintermute أن جميع وفود المحفظة التي تحدث حاليًا بعد Pectra تقريبًا مشبوهة .

على الرغم من أن EIP-7702 يوفر راحةً جديدة، إلا أنه يُدخل أيضًا مخاطر جديدة. وجد فريق البحث لدينا أن أكثر من 97% من جميع تفويضات EIP-7702 مُصرَّح بها لعقود متعددة باستخدام نفس الكود.

أطلق باحثو وينترموت على هذا الكود الخبيث اسم "CrimeEnjoyor"، وهو يعمل كأداة مسح تحاول تلقائيًا إعادة توجيه تحويلات ومدفوعات ETH بعيدًا عن المحافظ المخترقة. في منشور على X ، قال باحثو وينترموت: "تُوسّع الأدوات الجديدة مثل EIP-7702 آفاق الإمكانيات، ولكن بدون أدوات التحقق والتصنيف والشفافية، يُصبح من الصعب التمييز بين البنية التحتية والاستغلال، خاصةً للمستخدمين الجدد. إنه أمرٌ طريف، ومُحبط، ومثير للاهتمام في آنٍ واحد".

الحفر في التهديد

هل أخطأت إيثريوم في مسألة التفويض؟ تستطيع المحافظ الذكية القيام بالعديد من الأمور التي لا تستطيع المحافظ التقليدية القيام بها. فهي تمنح المستخدمين تحكمًا أدق في أصولهم الرقمية، وتوفر وظائف مُحسّنة مثل تجريد رسوم الغاز، والمعاملات المجمعة، واستخدام المحفظة عبر سلاسل الكتل المختلفة.

تكمن المشكلة في العقود الذكية القابلة للبرمجة التي تعتمد عليها المحافظ الذكية. تتطلب هذه العقود خبرة تقنية واسعة لتكوينها واستخدامها. لطالما طالب مستخدمو إيثريوم بطريقة أبسط للوصول إلى مزايا المحافظ الذكية، ويبدو أن EIP-7702 خطوة في هذا الاتجاه.

بخلاف اتفاقيات EOA التي تستخدم مفاتيح خاصة للأمان، تستخدم المحافظ الذكية قواعد ومنطقًا مخصصًا لتعزيز الأمان على مستوى المعاملات. يتمثل حل EIP-7702 في إنشاء باب خلفي خاص بالأعضاء فقط، مما يسمح فعليًا لمالكي المحافظ الذكية بتفويض بعض وظائفهم لشخص آخر عن طريق توقيع رسالة خاصة.

السؤال هو: ماذا يحدث إذا خدعك مجرمٌ لتوقيع رسالة تفويض مزيفة؟ إذا كان لدى لصٍّ إلكترونيٍّ المفتاح الخاص، فمن المفترض أن يتمكن من السيطرة عليه، أو إفراغه، أو استخدامه لتسهيل نشاط إجرامي.

وجاءت الإجابة في 24 مايو/أيار عندما اكتشفت منصة Web3 الإلكترونية Scam Sniffer أن محفظة MetaMask المطورة من EIP-7702 قد استنزفت أكثر من 146,550 دولارًا.

أجرى خبراء أمن بلوكتشين، SlowMist، تحليلًا أعمق، وربطوا السرقة بجماعة إجرامية منظمة تُدعى Inferno Drainer. فبدلًا من استخدام أساليب مُجرّبة مثل اختراق عنوان المحفظة أو سرقة عبارات التعريف، تمكّنت الجماعة من استغلال تفويض المحفظة للوصول إلى البيانات. وأقنعوا المستخدم بتوقيع عقد تفويض مُسجّل مسبقًا.

أنت الحلقة الأضعف

مع ذلك، لا تُحدث عملية اختراق واحدة موجة جرائم. يقول المعارضون إن المخاوف مبالغ فيها. مع أن EIP-7702 قد يُوفر منصة هجوم جديدة لعمليات التصيد الاحتيالي، إلا أنه لا يُلغي الحاجة إلى توقيعات المحفظة أو يُمكّن الوصول غير المُصرّح به.

إن تعيين شخص ما يتمتع بصلاحيات عظمى مؤقتة على خزنة تحفظ فيها مبالغ من المال قد يبدو أمراً خطيراً - ومن الواضح أنه قد يكون كذلك - ولكن فقط إذا تم خداعك للتوقيع على تفويض احتيالي.

هذا ليس فشلًا في سلسلة الكتل؛ بل هو أقرب إلى تهديد داخلي . وكما هو الحال مع العديد من الثغرات الأمنية الإلكترونية، قد تكون أنت الحلقة الأضعف. وهذا أمرٌ يجب على مطوري برامج المحافظ الإلكترونية التعامل معه.

وقد قامت شركتا Ambire وTrust Wallet، وهما أول شركتين متخصصتين في المحافظ الإلكترونية تقدمان ميزات التفويض بموجب EIP-7702، بإصدار تصحيحات وتحذيرات بالفعل.

في غضون ذلك، لم تقم المحافظ الرائدة مثل Ledger بتمكين (على الأقل علنًا) طريقة لتوقيع "tuples" EIP-7702، وهي أوراق الأذونات ذات الاستخدام الواحد التي يستخدمها مالكو المحافظ الذكية لتفويض الوصول إلى الآخرين.

لكن هذا بدأ يتغير. بعض أدوات تطوير المحافظ الإلكترونية مزودة بالفعل بتقنية تُسمى signAuthorization، والتي تُولّد توقيعات تفويض صالحة . ويمكن لهذه الأدوات تجاوز معيار واجهة برمجة التطبيقات EIP-1193 للتفاعل مع التطبيقات اللامركزية وإرسال إيثريوم للمدفوعات. ومع ازدياد عدد المحافظ التي تُضيف وظائف المحفظة الذكية، من المرجح أن ينتشر استخدام التفويض عبر التوقيع.

رغم أن الضجة الحالية قد تكون مبالغًا فيها، إلا أن تفويض المحافظ الذكية عبر EIP-7702 يُمثل تهديدًا يستحق المتابعة. وكما استُخدمت تحسينات الإيثريوم السابقة لأغراض شريرة ، فقد تحدث حوادث مماثلة لـ MetaMask مع EIP-7702.

نأمل أن يحذو صانعو المحافظ حذو Ambire ويضمنوا أن واجهة المستخدم الخاصة بهم توضح بوضوح ما يفوضه المستخدم - ولمن.

الوجبات الجاهزة

في فبراير الماضي، تعرضت منصة تداول العملات المشفرة "بايبت" لواحدة من أكبر عمليات سرقة العملات المشفرة في التاريخ . تم تفعيل عملية الاختراق بتقنية تُسمى "التوقيع الأعمى". وكما هو الحال مع التفويض، يُوسّع التوقيع الأعمى نطاق فوائد العقود الذكية ليشمل مستخدمي العملات المشفرة الأقل خبرةً بالتقنيات، مما يتيح لهم خيار الموافقة على معاملات العقود الذكية دون الحاجة إلى فك جميع التفاصيل الدقيقة.

لا تستطيع معظم واجهات مستخدم محافظ العملات المشفرة عرض رسالة توقيع مُعقدة الأكواد بتنسيق يفهمه الشخص العادي. قدّم التوقيع الأعمى حلاً بديلاً، وناقلاً غير مقصود للسرقة.

على الرغم من أن انتقاد EIP-7702 ربما يكون مبالغًا فيه (لا يوجد باب خلفي)، إلا أن هناك خطر تصيد إذا كان برنامج المحفظة الذي تستخدمه لا يوضح هوية ونطاق التفويض.

نصيحة مهمة : تجنب التوقيع على رسائل العقود الذكية الخاصة بـ Ethereum والتي تتكون فقط من سلاسل سداسية عشرية مكونة من 32 بايت.

المزيد ترجمة هذه الصفحة آلية. تحاول منصة سهم تحسين الترجمة ولكن لا تضمن دقتها وموثوقيتها، ولن تتحمل المسؤولية عن أي خسارة أو ضرر بسبب عدم دقة أو إغفال في الترجمة. *المخاطر وإخلاء المسؤولية: يمثل المحتوى أعلاه المسؤولية الشخصية للمؤلف وآرائه فقط، ولا يمثل أي مسؤولية لمنصة سهم، ولا يمكن لمنصة سهم تأكيد صحة ودقة ومصداقية المحتوى أعلاه. يجب على المستثمرين مراعاة مخاطر المنتجات الاستثمارية على ضوء ظروفهم الخاصة قبل اتخاذ أي قرارات استثمارية. عند الضرورة، يرجى استشارة مستشار استثمار محترف. لا تقدم منصة سهم أي مشورة استثمارية، ولا تقدم أي التزامات أو ضمانات.