أهم النقاط

• يستغل المحتالون المحافظ متعددة التوقيع عبر خداع الضحايا لمنحهم صلاحية المتحكم الجزئي أو الملكية الكاملة، ما يحوّل ميزة الأمان إلى نقطة ضعف.

• تشمل الأساليب الشائعة فخاخ العبارة الأولية - العبارة السرية - عبارة الاسترداد التي تستدرج الضحايا لتمويل محافظ يسيطر عليها المحتالون، والاستيلاء على الصلاحيات الذي يقصي الضحايا عبر إضافة المحتالين كمالكين مشاركين أو مالكين.

• احمِ نفسك عبر عدم استيراد العبارة الأولية - العبارة السرية - عبارة الاسترداد التي يقدّمها الآخرون مطلقاً، وعدم مشاركة العبارة الأولية - العبارة السرية - عبارة الاسترداد الخاصة بك أبداً، ومراجعة المعاملات دائماً قبل التوقيع، والتحقق من المواقع بعناية، وفحص صلاحيات محفظتك بانتظام.

"كلما زاد عدد التوقيعات زاد الأمان". لكن ماذا لو أصبح أحدها الآن بيد محتال؟

صُمّمت ميزة التوقيع المتعدد (MultiSig) لتعزيز أمان العملات الرقمية عبر اشتراط عدة توقيعات بالمفتاح الخاص للموافقة على معاملة. وبدلاً من وجود نقطة فشل واحدة، يتوزع التحكم—بحيث حتى لو تم اختراق أحد المفاتيح، فلا ينبغي أن يتمكن المخترق من نقل الأموال دون المفاتيح الأخرى.

لكن هذه الطبقة الإضافية من الحماية أصبحت مؤخراً سلاحاً ذا حدين على TRON. يستغل المحتالون نظام الصلاحيات المرن في الشبكة الذي يتيح للمستخدمين التحكم بدقة في من يمكنه الوصول إلى حساباتهم وإدارتها. في هذه المدونة، سنوضح كيف يجري تحريف MultiSig من درع إلى سلاح—وما الذي يجب على مستخدمي TRON الانتباه إليه.

هيكل الصلاحيات في TRON

تستخدم حسابات TRON نظام صلاحيات يتيح تحكماً دقيقاً في الإجراءات التي يمكن للمفاتيح المختلفة تنفيذها. ولأغراضنا، يُعد نوعا الصلاحيات التاليان الأكثر صلة:

• صلاحية المالك: تتحكم في الإجراءات عالية المستوى مثل تعديل صلاحيات الحساب أو نقل الملكية.

• الصلاحية النشطة: تنظّم العمليات الاعتيادية مثل تحويل الأموال أو التفاعل مع العقود الذكية.

للتنفيذ، يجب توقيع أي معاملة على شبكة TRON بواسطة مفتاح خاص أو مجموعة مفاتيح ضمن إعداد متعدد التوقيع يمتلك الصلاحية المناسبة ويلبي الحد المطلوب لذلك الإجراء المحدد.

كيف يجري استغلال MultiSig

في عملية احتيال نموذجية عبر MultiSig، يجد المهاجم طريقة ليصبح أحد الموقّعين المطلوبين—إما عبر خداع الضحية لمنحه صلاحية الوصول، أو عبر استغلال ثغرات العقود الذكية أو الصلاحيات الخاصة بالمنصة. وعلى شبكة TRON، يتخذ هذا الأسلوب شكلين.

1. فخاخ العبارة الأولية - العبارة السرية - عبارة الاسترداد والمفاتيح الخاصة

تنشر هذه العمليات الاحتيالية عبارات أولية - عبارات سرية - عبارات استرداد أو مفاتيح خاصة عبر عدة منصات مثل YouTube وX، على أمل استدراج المستخدمين غير المنتبهين للتفاعل معها.

الإعداد: يدّعي المحتالون أنهم غير متأكدين من كيفية تحويل الأموال خارج محفظة. ويشاركون العبارة الأولية - العبارة السرية - عبارة الاسترداد علنًا، طالبين من الآخرين استيرادها والمساعدة في نقل الأموال—وأحيانًا حتى مع وعدٍ بمكافأة.

الطُعم: تبدو المحفظة وكأنها مُحمّلة بكمية كبيرة من الرموز المميزة أو USDT، ما يُغري الضحايا بتحويل الأموال خارجها بسرعة.

الفخ: رغم أن المحفظة تحتوي على الكثير من الرموز المميزة، فإنها لا تمتلك ما يكفي من TRX—وهي العملة الأصلية المطلوبة لدفع رسوم المعاملة. وغالبًا ما يرسل الضحايا، بدافع الرغبة في نقل الأموال، TRX الخاص بهم لتغطية هذه الرسوم.

الإدراك: بعد تمويل المحفظة بـTRX، يكتشف الضحايا أنهم لا يستطيعون إتمام أي معاملات لأن المحفظة في الواقع تحت سيطرة المحتال. ثم يقوم المحتال بتحويل TRX الذي أرسله الضحية—ما يؤدي إلى خسارة للمستخدم.

نظرًا لأن إعداد المحفظة متعددة التوقيع يتطلب عدة توقيعات—توقيعات لا يمتلكها الضحايا—فإن المستخدمين الذين يرسلون مبالغ صغيرة من TRX لتغطية رسوم المعاملة ينتهي بهم الأمر غير قادرين على نقل أي أموال. ينشر المحتالون هذه المحافظ المزروعة بالعبارة الأولية - العبارة السرية - عبارة الاسترداد علنًا عبر وسائل التواصل الاجتماعي، على أمل أن يقع الكثيرون في الطُعم ويرسلوا TRX دون أي تواصل مباشر. ومع مرور الوقت، يجمع المحتالون كميات كبيرة من TRX بشكلٍ سلبي مع إبقاء السيطرة الكاملة مُحكمة الإغلاق.

2. الاستيلاء على أذونات الحساب

ليست جميع عمليات الاحتيال عبر المحافظ متعددة التوقيع مجرد أفخاخ بسيطة تعتمد على الطُعم والانتظار. فبعضها أكثر تعقيدًا وخبثًا—ومصمم لخداعك لإضافة المحتال كمالكٍ مشارك أو مُوقّعٍ مشارك لمحفظتك. وبمجرد أن يحصلوا على هذا موطئ القدم، يمكنهم إما تجميد أموالك أو، في بعض الحالات، الاستيلاء على السيطرة الكاملة على محفظتك واستنزافها بالكامل.

الإعداد: يوجّه المحتالون المستخدمين إلى مواقع إلكترونية خبيثة، إما عبر انتحال صفة موظفي دعم منصة التداول أو عبر الترويج لفرص توزيع مجاني مزيفة من خلال وسائل التواصل الاجتماعي.

الطُعم: يُطلب منك المطالبة بتوزيع مجاني أو ربط محفظتك للمشاركة في عرض ترويجي. ما الهدف؟ دفعك لتوقيع معاملة تبدو غير ضارة.

الفخ: المعاملة ليست كما تبدو. فبدلًا من المطالبة بمكافأة، فإنك توافق دون علمك على تحديث أذونات الحساب. تُخفى التفاصيل ضمن مصطلحات مربكة—أو تُوارى خلف زر “Approve” مبهم.

الإدراك: بمجرد توقيع المعاملة، تتغير أذونات محفظتك. وفي بعض الحالات، تُنقل حقوق المالك الكاملة إلى المحتال. وفي حالات أخرى، يضيف المحتال نفسه كمُوقّعٍ مشارك، مثبتًا نفسه كمشارك مطلوب لجميع المعاملات المستقبلية.

ومع كون المحفظة الآن تتطلب عدة توقيعات لنقل أي أموال—توقيعات لم تعد تتحكم بها—فإنك تصبح فعليًا خارجها.

ملاحظة: لوحظت تكتيكات مشابهة على Solana أيضاً. هناك، يخدع المحتالون المستخدمين لتوقيع معاملات تنقل الصلاحية على حسابات الرموز المميزة أو تمنح حقوق تنفيذ واسعة، ما يؤدي إلى النتيجة نفسها: فقدان السيطرة.

كيفية حماية نفسك من عمليات الاحتيال عبر المحافظ متعددة التوقيع

• احمِ العبارة الأولية - العبارة السرية - عبارة الاسترداد: العبارة الأولية - العبارة السرية - عبارة الاسترداد هي المفتاح الرئيسي لمحفظتك. لا تشاركها مع أي شخص أبداً، ولا تستورد المفاتيح الخاصة أو العبارة الأولية - العبارة السرية - عبارة الاسترداد التي يقدّمها الآخرون، مهما كان السبب.

• توقّف وفكّر قبل التوقيع: تحقّق دائماً مرةً أخرى مما أنت على وشك الموافقة عليه. سواء كانت معاملة أو رسالة، خذ لحظة لفهم ما تقوم بتوقيعه.

• تحقّق من عناوين URL للمواقع: انتبه إلى مؤشرات التحذير الدقيقة مثل الأخطاء الإملائية أو الخطوط الغريبة أو التخطيطات غير المألوفة. قد تشير هذه إلى مواقع تصيّد صُممت لمحاكاة المنصات الحقيقية.

• تحقّق من أذونات محفظتك: استخدم مستكشف كتل مثل tronscan.org لفحص إعدادات أذونات أي محفظة: 

1. الصق عنوان المحفظة في شريط البحث.

2. في صفحة حساب المحفظة، ابحث عن أي مؤشرات مميزة للأذونات تشير إلى حدوث تغييرات.

3. انقر على زر [View Account Permission] أو قسم [Account Permission] في الصفحة للاطّلاع على التفاصيل الكاملة حول من يتحكم بالمحفظة وما مستوى الوصول الذي يمتلكه.

• ابقَ متيقظاً ومطّلعاً: في Web3، أفضل وسيلة دفاع لديك ليست مجرد كلمة مرور قوية، بل البقاء مطّلعاً. من فخاخ العبارة الأولية - العبارة السرية - عبارة الاسترداد إلى الاستيلاء على أذونات الحساب، يبتكر المحتالون أساليب جديدة لاستغلال ميزات مثل MultiSig على TRON. لا تدعهم يفاجئونك. واكب أساليب الاحتيال المتطورة عبر متابعة مصادر موثوقة مثل Binance Academy، وسلسلتنا Know Your Scams series، وsecurity blogs. كلما تعلمت أكثر، أصبح خداعك أصعب. المعرفة ليست خياراً. إنها درعك.

أفكار ختامية

تُبنى المحافظ متعددة التوقيع لتعزيز الأمان، لكن في الأيدي الخطأ قد تتحول إلى سلاح ضدك. الخبر الجيد هو أنك لست بحاجة إلى أن تكون خبيراً تقنياً لتبقى آمناً: فقط كن يقظاً واطرح الأسئلة حول كل شيء. لا تشارك العبارة الأولية - العبارة السرية - عبارة الاسترداد أبداً، ولا تستورد المفاتيح من الغرباء، ولا توقّع المعاملات دون تدقيق. اجعل مراجعة أذونات محفظتك عادة، والأهم من ذلك، واصل التعلّم، لأن المعرفة في Web3 ليست مجرد قوة، بل أقوى طبقة حماية لديك!

للمزيد من القراءة

• ابقَ آمناً من التصيّد عبر الرسائل النصية (Smishing) – فعّل رمز مكافحة التصيّد الخاص بك اليوم 

• تجنّب الفخ اللزج لعمليات احتيال Honeypot

• إيقاف أحصنة طروادة عند بوابات حصنك للعملات الرقمية

يرجى الملاحظة: قد توجد اختلافات بين هذا المحتوى الأصلي باللغة الإنجليزية وأي نسخ مترجمة (قد تكون هذه النسخ من إنتاج الذكاء الاصطناعي). يُرجى الرجوع إلى النسخة الإنجليزية الأصلية للحصول على أدق المعلومات، في حال وجود أي اختلافات.