في الآونة الأخيرة، أسمع بشكل متزايد عن مشاكل الأمان في Web3، وبصراحة، هذه موضوع مهم حقًا. المشكلة أن DApp هو في الأساس تطبيق يعمل على بلوكشين مثل Ethereum أو BNB Chain، ولكن بدلاً من الاعتماد على خوادم عادية، يتم التحكم فيه بواسطة عقود ذكية. يبدو الأمر رائعًا، لكن هناك خدعة مخفية.

كما تعلمون، فإن انفتاح هذا المجال يعني أن أي شخص يمكنه إنشاء DApp أو واجهة، والمحتالون يستغلون ذلك. لاحظت مؤخرًا أن الكثير من الناس يقعون في فخ التطبيقات المزيفة التي تبدو تمامًا كالأصلية. هذا هو DApp في يد المهاجمين - أداة لسرقة الأصول.

أكثر الطرق شيوعًا التي يخسر فيها الناس أموالهم هي الهندسة الاجتماعية. ينصب المحتالون أنفسهم كممثلين للمشاريع، ينسخون خوادم Discord كاملة، يكتسبون الثقة، ثم يعرضون "فرص حصرية" مثل المبيعات المبكرة أو airdrops. يبدأ الضحية في التسرع، يربط محفظته بتطبيق خبيث - وكل شيء، الأموال سرقت.

هناك أيضًا الاحتيال عبر الأذونات. عندما تمنح DApp إذنًا لنقل رموزك، فإنك توقّع شيئًا يشبه عقدًا. ولكن إذا لم تنتبه للمبلغ، فقد يكون لديك وصول غير محدود. وهكذا، يمكن للمحتال سحب رموزك بلا توقف باستخدام وظائف مثل transferFrom(). هذا هو ما يمكن أن يخفيه DApp - تصريف مستمر للأموال.

الأمر الأسوأ هو الاحتيال عبر التوقيعات. هناك طرق مثل Permit و Permit2، التي تتيح الموافقة على الرموز فقط بالتوقيع، بدون معاملة على البلوكشين. يبدو الأمر مريحًا، لكن المحتالين يستخدمون ذلك لإخفاء طلبات خبيثة تحت ستار غير ضار. أنت توقع، معتقدًا أنه شيء تافه، ثم يستخدم المحتال تلك التوقيعات لاحقًا لسحب الأموال. وقد لا تلاحظ ذلك لفترة طويلة.

ثم هناك مخطط آخر - مواقع "تصحيح البلوكشين" المزيفة. تدعي أنها تساعد في إصلاح أخطاء المحفظة أو مشاكل السعر المتحرك، لكنها في الواقع تطلب منك عبارة seed أو المفتاح الخاص. إذا أدخلت ذلك، فمحفظتك ستُفرغ في الثانية التالية. لا أحد سيطلب منك ذلك أبدًا.

كيف تحمي نفسك؟ أولاً - لا توقع أبدًا ولا تمنح إذنًا إلا بعد التحقق من أن الأمر آمن. دائمًا امنح الحد الأدنى من الأذونات الضرورية، وليس وصولًا غير محدود. أنا أراجع أذونات محفظتي بشكل دوري وألغي القديمة التي لم أعد بحاجة إليها - هذه عادة تنقذ الأموال.

ثانيًا - استخدم محفظة مع وظيفة المحاكاة. هذا يمنحك معاينة لما سيحدث قبل أن تذهب المعاملة إلى البلوكشين. مفيد جدًا لاكتشاف عناوين مشبوهة أو أخطاء.

ثالثًا - دائمًا تحقق من المصدر. المحتالون ينشئون مواقع مزيفة، ويغيرون حرفًا واحدًا في النطاق، وهو أمر يصعب اكتشافه. من الأفضل إدخال عنوان URL يدويًا أو أخذ الرابط من الموقع الرسمي للمشروع. وتجنب الإعلانات في محركات البحث - غالبًا ما تكون مواقع تصيد.

رابعًا - قم بعمل DYOR قبل أي تفاعل مع DApp. تحقق مما إذا كان المشروع قد خضع لمراجعة، من يقف وراءه، هل هناك مجتمع نشط. الفرق أو عدم النشاط هو علامة حمراء.

وأهم شيء - إذا بدا شيء مريبًا، توقف. لا تتسرع. Web3 يكافئ من يظل يقظًا. مع العادات الصحيحة، يمكنك استكشاف عالم DApps بثقة دون المخاطرة بأصولك. المعرفة هي خط الدفاع الأول، لذا تعلم، وابقَ على اطلاع بأحدث مخططات الاحتيال، وستكون في أمان.