مخاطر تقصير العنوان: كيف كشف هجوم تصيد بقيمة 50 مليون USDT عن ثغرات في أمان المحافظ

في تذكير صارخ لثغرات أمان العملات الرقمية، سلطت مؤسسة مجتمع الإيثيريوم الضوء مؤخرًا على خطر حاسم يكمن في ممارسات تصميم المحافظ. الحادثة التي تتعلق بفقدان 50 مليون USDT تظهر بالضبط لماذا لا ينبغي أبدًا التسامح مع قطع أجزاء من العنوان في واجهات البلوكتشين. عندما لا يتمكن المستخدمون من رؤية معلومات العنوان كاملة، يصبحون عرضة لهجمات انتحال الهوية المتطورة التي تستغل التشابه البصري.

فهم كيف يتيح تقصير العنوان مخططات التصيد الاحتيالي

ممارسة استبدال الجزء الأوسط من العنوان بنقاط — مثل عرض 0xbaf4b1aF…B6495F8b5 بدلًا من السلسلة الكاملة — تخلق ما يعتبره خبراء الأمان نقطة عمياء غير مقبولة. هذا الخيار لعرض العنوان بشكل مختصر، والذي يوجد عادة في المحافظ ومستكشفات البلوكتشين، يمنح المستخدمين وهم التحقق بينما يخفي في الواقع معلومات حاسمة. عندما يتم إخفاء معظم العنوان عن العرض، يصبح التمييز بين عنوان شرعي وآخر احتيالي متطابق تقريبًا أمرًا شبه مستحيل للمستخدم العادي.

لقد قام مهاجمو التصيد الاحتيالي بتحسين تقنياتهم عن طريق توليد عناوين تحاكي الأجزاء الأولى والأخيرة من الأهداف الشرعية عمدًا. فهم يعلمون أن معظم المستخدمين يلقون نظرة سريعة فقط على معلومات العنوان الجزئية قبل تأكيد المعاملات. هذا الاختصار الإدراكي، جنبًا إلى جنب مع العروض المختصرة، يخلق الظروف المثالية لسرقة الأموال.

تشريح هجوم التصيد الاحتيالي على 50 مليون USDT

وفقًا لتقرير PANews بتاريخ 21 ديسمبر، وقع ضحية واحدة فريسة لهذا الثغرة بالذات. بعد نسخ العنوان الذي اعتقدوا أنه صحيح، بدأوا عملية تحويل 50 مليون USDT دون إجراء تحقق شامل. لم يدرك الضحية أبدًا أنهم يرسلون أموالًا إلى عنوان يتحكم فيه المهاجم ويحاكي تمامًا الأحرف الثلاثة الأولى والثلاثة الأخيرة من المستلم المقصود. ترك العرض غير المكتمل لمعلومات العنوان الجزء الأوسط — حيث توجد اختلافات حاسمة — مخفيًا تمامًا.

تمثل هذه الحادثة أكثر من مجرد خسارة واحدة؛ فهي تكشف عن عيوب تصميم منهجية في بنية العملات الرقمية التي يعتمد عليها ملايين المستخدمين يوميًا.

رد فعل الصناعة: لماذا عرض العنوان بالكامل غير قابل للتفاوض

كان رد فعل مؤسسة مجتمع الإيثيريوم حاسمًا: يجب إنهاء تقصير العناوين على الفور. وأكدت بيانهم أن عرض معلومات العنوان بالكامل ليس خيارًا — إنه ضروري. حددت المؤسسة أن تطبيقات واجهة المستخدم الحالية في محافظ ومستكشفات البلوكتشين تحتوي على ثغرات أمنية يمكن تجنبها تمامًا من خلال اختيارات تصميم مناسبة.

وفي المستقبل، تدعو المؤسسة مطوري المحافظ ومستكشفات البلوكتشين إلى إعطاء الأولوية لعرض العنوان الكامل على جمالية الواجهة. يستحق المستخدمون الأدوات والمعلومات اللازمة للتحقق من المعاملات بدقة. أي قرار تصميم يفضل الاختصار على حساب الأمان يجب أن يُعاد النظر فيه. الطريق لحماية مستخدمي العملات الرقمية يبدأ من تغييرات أساسية في كيفية عرض العناوين — ويبدأ ذلك بالتخلي عن التقطيع تمامًا.