ماذا يكشف اختراق بقيمة 440,000 دولار عن التهديد المتزايد لـ "عمليات الاحتيال عبر التصريح" في إيثريوم

باختصار

• خسر مالك USDC أكثر من 440,000 دولار بعد توقيعه على معاملة “تصريح” خبيثة.
• هجمات التصيّد الاحتيالي باستخدام “التصريح” شكّلت بعض أكبر خسائر العملات الرقمية الفردية في نوفمبر.
• يحذّر الخبراء من أن المحتالين يعتمدون على الخطأ البشري وأن استعادة الأموال شبه مستحيلة.

مركز ديكربت للفن، الموضة، والترفيه.

اكتشف SCENE

استولى هاكر على أكثر من 440,000 دولار من USDC بعد أن وقع صاحب المحفظة دون علمه على توقيع “تصريح” خبيث، وذلك حسب تغريدة يوم الإثنين من Scam Sniffer.

تأتي هذه السرقة وسط ارتفاع في خسائر التصيّد الاحتيالي. حيث تم سحب حوالي 7.77 مليون دولار من أكثر من 6,000 ضحية في نوفمبر، وفقًا لتقرير Scam Sniffer الشهري، ما يمثل قفزة بنسبة 137% في إجمالي الخسائر مقارنة بأكتوبر، رغم انخفاض عدد الضحايا بنسبة 42%.

🚨 شخص خسر 440,358 دولار في $USDC بعد توقيعه على توقيعات “تصريح” خبيثة. pic.twitter.com/USjHRUY3Lc

— Scam Sniffer | Web3 Anti-Scam (@realScamSniffer) 8 ديسمبر 2025

“تصاعد صيد الحيتان مع ضربة قصوى بلغت 1.22 مليون دولار (توقيع تصريح). على الرغم من قلة الهجمات، إلا أن الخسائر الفردية زادت بشكل كبير”، حسبما ذكرت الشركة.

ما هي عمليات الاحتيال عبر التصريح؟

تدور عمليات الاحتيال القائمة على التصريح حول خداع المستخدمين لتوقيع معاملة تبدو شرعية ولكنها تمنح المهاجم بشكل خفي حق إنفاق رموزهم. قد تقوم التطبيقات اللامركزية الخبيثة بإخفاء الحقول، أو انتحال أسماء العقود، أو تقديم طلب التوقيع وكأنه إجراء روتيني.

إذا لم يتحقق المستخدم من التفاصيل بدقة، فإن توقيع الطلب يمنح المهاجم فعليًا الإذن بالوصول إلى جميع رموز ERC-20 الخاصة بالمستخدم. وبمجرد منح التصريح، عادةً ما يقوم المحتالون بسحب الأموال على الفور.

تعتمد الطريقة على استغلال وظيفة التصريح في الإيثيريوم، والتي صُممت لتسهيل تحويل الرموز من خلال السماح للمستخدمين بتفويض حقوق الإنفاق لتطبيقات موثوقة. لكن هذه السهولة تتحول إلى نقطة ضعف عند منح تلك الحقوق لمهاجم.

“ما هو صعب بشكل خاص في هذا النوع من الهجمات هو أن المهاجمين يمكنهم إما تنفيذ التصريح والتحويل في معاملة واحدة (نهج الضربة السريعة) أو يمنحون أنفسهم حق الوصول عبر التصريح ثم يظلون في وضع السكون بانتظار تحويل أي أموال تُضاف لاحقًا (طالما قاموا بتعيين موعد نهائي بعيد بما يكفي ضمن بيانات التصريح)”، بحسب تارا أنيسون، رئيسة المنتجات في Twinstake، لـ Decrypt.

“نجاح هذا النوع من الاحتيال يعتمد على أنك توقع على شيء لا تدرك تمامًا ما سيفعله”، وأضافت: “كل الأمر يتعلق بالثغرة البشرية واستغلال رغبة الناس.”

وأضافت أنيسون أن هذه الحادثة ليست معزولة. “هناك العديد من عمليات التصيّد الاحتيالي ذات القيم العالية والكميات الكبيرة، المصممة لخداع المستخدمين لتوقيع شيء لا يفهمونه بالكامل. غالبًا ما يتم ذلك تحت ستار توزيعات مجانية، أو صفحات هبوط لمشاريع وهمية تطلب ربط المحفظة، أو تحذيرات أمنية مزيفة للتحقق من التأثر”، أضافت.

كيف تحمي نفسك

قام مزودو المحافظ بطرح ميزات حماية أكثر. على سبيل المثال، تحذر MetaMask المستخدمين إذا بدا الموقع مريبًا وتحاول ترجمة بيانات المعاملة إلى نية قابلة للفهم البشري. وتقوم محافظ أخرى بتسليط الضوء على الإجراءات عالية الخطورة. لكن المحتالين ما زالوا يتكيفون.

قال هاري دونيلي، المؤسس والمدير التنفيذي لشركة Circuit، لـ Decrypt إن هجمات التصريح منتشرة “إلى حد بعيد” وحث المستخدمين على التحقق من عناوين المرسل وتفاصيل العقد.

“هذه أوضح طريقة لمعرفة أنه إذا كان البروتوكول لا يتطابق مع المكان الذي تحاول إرسال الأموال إليه فعلاً، فمن المرجح أن هناك من يحاول سرقة الأموال”، قال. “يمكنك أيضًا التحقق من الكمية، فغالبًا ما سيحاولون إعطاء تصاريح غير محدودة، مثل ذلك.”

وشددت أنيسون على أن اليقظة لا تزال أقوى دفاع لدى المستخدمين. “أفضل طريقة لحماية نفسك من عمليات نصب التصريح أو approveAll أو transferFrom هي التأكد من أنك تعرف ما الذي توقع عليه. ما هي الإجراءات التي ستتم فعليًا في المعاملة؟ ما هي الوظائف المستخدمة؟ هل تتطابق مع ما كنت تعتقد أنك توقع عليه؟”

“العديد من المحافظ والتطبيقات اللامركزية حسّنت واجهات المستخدم لضمان أنك لا توقع على شيء دون أن تدري ويمكنك رؤية النتائج، إلى جانب تحذيرات لوظائف عالية الخطورة. ومع ذلك، من المهم أن يتحقق المستخدمون فعليًا مما يوقعون عليه وألا يكتفوا بربط المحفظة والنقر على التوقيع”، قالت.

وبمجرد سرقتها، فإن استعادة الأموال أمر غير مرجح. قال مارتن ديركا، الشريك المؤسس والقائد التقني في Zircuit Finance لـ Decrypt إن فرص استعادة الأموال “شبه معدومة”.

“في هجمات التصيّد الاحتيالي، أنت تتعامل مع شخص هدفه الوحيد هو أخذ أموالك. لا يوجد تفاوض، ولا جهة اتصال، وغالبًا لا فكرة عن هوية الطرف الآخر”، قال.

“هؤلاء المهاجمون يلعبون لعبة الأرقام”، أضاف ديركا، “بمجرد أن تذهب الأموال، فقد ذهبت. الاسترداد مستحيل فعليًا.”