چطور اسکم شدم و چطور به فکر جلوگیری افتادم

در این پست قصد دارم در مورد اینکه چطور اسکم شدم و چطور ولتم رو برای اتفاقات آینده ایمن کردم صحبت کنم. ایمنی ولت‌ها به سه صورت نقض میشه:

• ارتباط به پروژه‌های اسکم؛ که شامل لینک‌های آلوده و سایت‌های فیشینگه
• لو رفتن داده‌های خصوصی؛ مثل کلمات ورودی به ولت
• ارتباط با صرافی‌های ایرانی!

این پست، داستان و سیر جالبی داره؛ از لحظه‌ای که من اولین پیام این اسکمر رو دیدم تا لحظه‌ای که در دامش افتادم؛ سیری که شاید برای هرکسی بتونه به سادگی رخ بده.

چطور اسکم شدم

من حدود شش سال سابقه‌ی فعالیت در این بازار رو دارم و همون‌طور که می‌دونید من در پروژه‌های ایردراپی زیادی شرکت می‌کنم و عموم این‌ها از شما میخوان که در ازای دریافت امتیاز، مجموعه‌ای از کانال‌ها و صفحه‌ها رو در شبکه‌های مختلف اجتماعی فالوو کنید. یکی از این ایردراپ‌ها مربوط به پروژه Cookie بود.

اشتباه اول

یکی از چندین و چند تسک این پروژه، دنبال کردن کانال و گروه تلگرامی این پروژه بود. من هم طبق عادت سایتی که در تسک پروژه اعلام شده بود رو باز کردم، صفحه‌ی کانال تلگرامی پروژه در تلگرام اصلی و شخصی خودم باز شد و من هم بدون هیچ مشکلی کانال رو دنبال کردم.

اولین اشتباه من به عنوان یک فعال در بازار پرریسکی مثل کریپتو، استفاده از اکانت شخصی تلگرامی خودم برای پروژه‌های ایردراپی بود؛ حالا من حساب تلگرامی‌ای دارم که ده‌ها و شاید صد‌ها کانال رسمی و حتی غیررسمی کریپتویی در لابه‌لای کانال‌ها، پیام‌ها و اطلاعات شخصی و شاید حساس خودم رو داره؛ به عبارتی همه چی درهم و برهم شده!

توصیه مهم: برای شرکت در پروژه‌های کریپتویی و حتی دنبال کردن پیچ‌ها و صفحه‌های خبری، حتما از حساب دیگری، به جز حساب شخصی خودتون استفاده کنید.

بعد از چند روز پس از اینکه کانال پروژه رو جوین شدم، از گروهی دقیقا هم‌اسم و با لوگویی کاملا مشابه و حتی با پست‌هایی با دیزاین و گرافیک مشابه، برای من پیغامی ارسال شد که شما شامل ایردراپ شدید و برای دریافت اون نیازه که روی لینک پست کلیک کنید.

چرا این پیغام برای من مشکوک نبود؟

به این دلیل که روز قبل، سایت رسمی پروژه اعلام کرد که افرادی که فعالیت زیادی تابه‌حال در پروژه نداشتن، می‌تونن با مینت کردن یک NFT، شانس خودشون رو برای دریافت ایردراپ افزایش بدن.

پیغامی که برای من ارسال شد این بود:

آیدی من در پست تگ شده بود و در متن پست نوشته شده بود که برای برداشت، نیازی به پرداخت پول نیست و صرفا باید فی شبکه پرداخت بشه؛ از اونجایی که همه میدونیم پول مفت توی تله موشه، این جمله باعث شد که من نسبت به این پیغام کمترین تردیدی نداشته باشم؛ علی‌الخصوص اینکه بنظر خودم، این گروه، دقیقا همون گروهی بود که خودم توسط یکی از تسک‌های پروژه‌‌ی اصلی، اون رو دنبال کرده بودم.

اشتباه دوم

من هم خیلی خوشحال و خندان روی لینک کلیک کردم و وارد سایت شدم؛ بدون اینکه وارد کامیونیتی بشم و خبر رو راستی‌آزمایی کنم؛ و بدون اینکه وارد سایت اصلی و یا دستکورد رسمی پروژه بشم و ببیبنم آیا چنین ایردراپی اصلا اعلام شده یا نه!

توصیه مهم: به هیچ‌وجه قبل از اینکه اخبار کریپتویی رو راستی‌آزمایی نکردید، هیچ خبری رو باور نکنید؛ اگر یادتون باشه کانال بزرگی به اسم Coin Telegram رسما در روز روشن در مورد تایید Spot ETFهای بیت‌کوین دروغ گفت تا خودش یک پوزیشن ۲ میلیون دلاری با ضریب ۲۰ روی بیت‌کوین بگیره! خبرهای این مدلی رو هم تا راستی آزمایی نکردید باور نکنید؛ ایردراپ‌هایی که نه سرشون و نه ته‌شون مشخصه که دیگه جای خود!!!

وارد لینک شدم و به این سایت مواجه شدم:

در نگاه اول همه‌چیز عادی بود؛ از فونت و رنگ و حتی گرافیک و دیزاینِ دکمه‌ای “Claim $COOKIE” تا بقیه موارد.

اشتباه سوم

اولین چیزی که در سایت دیده می‌شد، لود نشدن عکس بکگراند سایت بود؛ چطور میشه پروژه‌ای به این بزرگی، سایتشون درست لود نشده باشه؛ این موضوع خیلی واضحه! اما چرا من به این مورد هم مشکوک نشدم؟ تصور کردم اینترنتم مشکل داره و به این دلیله که سایت درست لود نشده!

توصیه مهم: ایردراپ‌های اساسی و مهم، برای جذب کاربر، به اولین چیزی که توجه‌ میکنند، ساختن یک سایت با دیزان و گرافیک بالا و بهینه بودن سایته؛ سایتی که حتی این موارد ساده رو هم رعایت نکرده، باید راستی‌آزمایی بشه!

بدون کم‌ترین شکی، روی دکمه‌ی Claim کلیک کردم و اکستنشن متامسک از من خواست که تراکنشی با فی تنها ۳ دلار رو تایید کنم تا تعداد قابل توجهی توکن $COOKIE دریافت کنم؛ تراکنش رو تایید کردم و فی از من کم شد و توکن رو دریافت کردم، اما بلافاصله بعد از اون Metamask دوباره باز شد و چندین تراکنش به صورت pending به من نشون داد؛ تراکنش‌هایی که صرفا تایید کردن قرارداد هوشمند بودن و نیازی به پرداخت فی نداشتند!

اشتباه چهارم

بماند که همون تراکنش اول بخشی از دارایی من رو از ولتم خارج کرد؛ اما تراکنش‌های دوم و سوم و … چهاردم که من پشت سر هم بدون خوندن پیغام و اخطار Metamask پشت سر هم و تندتند تایید می‌کردم، با اشتباه خودم رخ داد. ولت Metamask به شما در مورد هر تراکنش اخطار میده و از شما می‌خواد که source تراکنش رو چک کنید؛ که من مثل نصب نرم‌افزار روی ویندوز که همینجوری next next میزنیم و میریم، تراکنش‌ها رو تایید می‌کردم!

بعد از تراکنش دهم بود که متامسک از من خواست تا شبکه‌ رو از شبکه ERC20 به MODE تغیر بدم؛ اول برام سوال شد که $COOKIE که روی اتریوم هست، چه ارتباطی با شبکه‌ی MODE داره! اما مدام در ذهن خودم، همه چیز رو به نوعی توجیه می‌کردم.

اگر این پروسه ادامه داشت، احتمالا تمامی تراکنش‌ها رو تایید میکردم و ولتم به طور کل خالی میشد! اما در میانه‌ی این تایید کردن‌های پشت سر هم، احساس کردم این همه تراکنشی که pending شده و تایم زیادی نیاز داره تا انجام بشه، به دلیل ترافیک بالای سایته؛ اتفاقی که در زمان برداشت ایردراپ در بسیاری از سایت‌های معتبر هم میوفته.

توصیه مهم: ولت Metamask تمام تراکنش‌ها رو با یک اخطار مبنی بر اینکه مقصد تراکنش رو چک کنید و بعد اون تایید کنید، به شما نشون میده؛ بی‌توجه به این اخطار، تراکنش رو تایید نکنید!

این موارد رو گفتم که بگم با شش سابقه در این بازار، در دام یک اسکم کاملا ابتدایی افتادم و دونه دونه توکن‌ها و NFT‌های خودم رو، دو دستی، خودم تقدیم کردم و رفت! و همین‌طور این رو گفتم که بگم چطور برای خودم، برای هر مورد مشکوکی، یه توجیه میووردم تا بی‌توجه به همه موارد مشکوک، تراکنش‌ها رو تایید کنم!

آیا میشه الان کاری کرد؟ خیر! کار تمام شده و توکن‌ها به طور کامل از دست من خارج شده! پس اگر اسکم شدید، ۹۹٪ کار تمامه و دیگه نمیشه اقدامی برای برگردوندن دارایی‌تون کرد…

چطور از اتفاقات مشابه جلوگیری کردم؟

برای جلوگیری از چنین اتفاقاتی، حتما به توصیه‌هایی که در این پست مطرح کردیم دقت کنید:

۱- اخبار رو — از هر نوعی که هست — تنها از منابع رسمی اون دنبال کنید.

۲- روی لینک‌های ناشناس کلیک نکنید.

۳- مقصد تراکنش‌ها رو کاملا شناسایی و بررسی کنید.

معمولا اگر این سه مورد رو رعایت کنید، مشکل امنیتی برای ولتتون نخواهید داشت؛ اما برای بررسی دقیق‌تر ولتتون میتونید از سایت Revoke.cash استفاده کنید. این سایت به شما این امکان رو میده تا ولت‌های نوع EVM خودتون رو کاملا بررسی کنید و ببینید چه قراردادهایی هنوز اجازه دسترسی به ولت شما رو دارند. به تصویر زیر دقت کنید:

تصویر بالا از سایت Revoke.cash هست؛ وارد سایت بشید، ولتتون رو متصل کنید و خواهید دید که چه تراکنش‌هایی انجام شده و چه تراکنش‌هایی هنوز در حالت pending مونده. اصولا شما نباید تراکنش Pendingی داشته باشید؛ و اگر چنین موردی رو دیدید، علتش رو بررسی کنید؛ چرا تراکنش به حالت Pending مونده؟ آیا به این علته که شبکه شلوغه؟ و یا به این علته که فی پرداختی از سمت مبدا (یعنی شما) به میزان کافی نبوده؟ و یا این یک تراکنش مشکوک و نا شناس برای شماست؟

در تصویر بالا می‌بینید که آخرین تراکنش، مربوط به توکن ironWeETHMode بوده که در واقع یک توکن پاداش، به دلیل ساخت یک استخر نقدینگی توسط خود من بوده که توسط اسکمر از ولت من به سرقت رفته.

موضوع اینجا خطرناک میشه که نوع دسترسی قرارداد این تراکنش رو میبینیم؛ این تراکنش به صورت Unlimited و نامحدود مجازه که به ولت دسترسی داشته باشه؛ به این معنی که به محض شارژ شدن ولت من با توکن ironWeETHMode، مجددا موجودی شارژ شده، توسط این قرارداد به صورت آنی به سرقت میره!

البته هر نوع دسترسی به ولت شما که از نوع Unlimited باشه، لزوما یک تراکنش اکسم نیست؛ گاهی استخرها و یا مقصدهایی مثل سایت OpenSea و یا Uniswap به جهت بازپرداخت مبلغی در قابل هزینه‌های تراکنش برگشتی به کاربر و یا امثال این‌ها، به ولت شما دسترسی نامحدود خواهند داشت؛ به تصویر زیر دقت کنید:

تراکنشی که روی توکن EZETH ثبت شده، یک تراکنش با سطح دسترسی Unlimited هست که توسط خود من برای ساخت استخر نقدینگی ایجاد شده؛ این استخر به دلیل بازپرداخت سود لحظه‌ای، دسترسی همیشگی با ولت من رو داره؛ اما:

این دسترسی به صورت دو هفته درمیان باید توسط من امضا و تمدید بشه؛ در واقع استخر، مجاز به دسترسی بی‌قید و شرط به ولت من نیست و من به عنوان صاحب حساب، باید نهایتا بعد از دو هفته، مجوز این استخر رو تمدید کنم؛ در غیر این صورت ارتباط استخر با ولت من، تا زمان اتصال مجدد، قطع خواهد شد.

پس: نوع دسترسی Unlimitedی که تاریخ انقضا داشته باشه، یک دسترسی نسبتا ایمنه؛ اما به این شرط که این تراکنش توسط شما شناسایی شده باشه؛ به زبان ساده، شما بدونید این تراکنش با چنین سطح دسترسی‌ای، مربوط به چه مقصدیه.

حالا به تصویر قبل دقت کنید؛ تراکنشی که توسط اسکمر با سطح دسترسی Unlimited ثبت شده، بدون تاریخ انقضاست؛ در واقع این سطح، بالاترین سطح دسترسی یک مقصد، به ولت شماست و در صورتی که توکنِ اون قرار (در این مثال ironWeETHMode) مجددا توسط من خرید و به ولتم واریز بشه، مقصد این امکان رو داره که به صورت آنی این توکن رو مجددا از ولت خارج کنه!

سایت Revoke.cash این امکان رو به شما میده تا قراردادهایی که به صورت Unlimited به ولت شما دسترسی دارند رو Revoke Access یا سلب اختیار کنید؛ البته با پرداخت کمی فی؛ برای این کار کافیه گزینه‌ی Revoke رو انتخاب کنید و فی این تراکنش رو پرداخت کنید تا سطح دسترسی اون قرار داد به ولت شما سلب اختیار بشه.

در پست بعدی درباره‌ی مورد شماره (۳) که در ابتدای این پست به اون اشاره کردیم هم خواهیم نوشت.