در این پست قصد دارم در مورد اینکه چطور اسکم شدم و چطور ولتم رو برای اتفاقات آینده ایمن کردم صحبت کنم. ایمنی ولتها به سه صورت نقض میشه:
این پست، داستان و سیر جالبی داره؛ از لحظهای که من اولین پیام این اسکمر رو دیدم تا لحظهای که در دامش افتادم؛ سیری که شاید برای هرکسی بتونه به سادگی رخ بده.
من حدود شش سال سابقهی فعالیت در این بازار رو دارم و همونطور که میدونید من در پروژههای ایردراپی زیادی شرکت میکنم و عموم اینها از شما میخوان که در ازای دریافت امتیاز، مجموعهای از کانالها و صفحهها رو در شبکههای مختلف اجتماعی فالوو کنید. یکی از این ایردراپها مربوط به پروژه Cookie بود.
اشتباه اول
یکی از چندین و چند تسک این پروژه، دنبال کردن کانال و گروه تلگرامی این پروژه بود. من هم طبق عادت سایتی که در تسک پروژه اعلام شده بود رو باز کردم، صفحهی کانال تلگرامی پروژه در تلگرام اصلی و شخصی خودم باز شد و من هم بدون هیچ مشکلی کانال رو دنبال کردم.
اولین اشتباه من به عنوان یک فعال در بازار پرریسکی مثل کریپتو، استفاده از اکانت شخصی تلگرامی خودم برای پروژههای ایردراپی بود؛ حالا من حساب تلگرامیای دارم که دهها و شاید صدها کانال رسمی و حتی غیررسمی کریپتویی در لابهلای کانالها، پیامها و اطلاعات شخصی و شاید حساس خودم رو داره؛ به عبارتی همه چی درهم و برهم شده!
توصیه مهم: برای شرکت در پروژههای کریپتویی و حتی دنبال کردن پیچها و صفحههای خبری، حتما از حساب دیگری، به جز حساب شخصی خودتون استفاده کنید.
بعد از چند روز پس از اینکه کانال پروژه رو جوین شدم، از گروهی دقیقا هماسم و با لوگویی کاملا مشابه و حتی با پستهایی با دیزاین و گرافیک مشابه، برای من پیغامی ارسال شد که شما شامل ایردراپ شدید و برای دریافت اون نیازه که روی لینک پست کلیک کنید.
چرا این پیغام برای من مشکوک نبود؟
به این دلیل که روز قبل، سایت رسمی پروژه اعلام کرد که افرادی که فعالیت زیادی تابهحال در پروژه نداشتن، میتونن با مینت کردن یک NFT، شانس خودشون رو برای دریافت ایردراپ افزایش بدن.
پیغامی که برای من ارسال شد این بود:
آیدی من در پست تگ شده بود و در متن پست نوشته شده بود که برای برداشت، نیازی به پرداخت پول نیست و صرفا باید فی شبکه پرداخت بشه؛ از اونجایی که همه میدونیم پول مفت توی تله موشه، این جمله باعث شد که من نسبت به این پیغام کمترین تردیدی نداشته باشم؛ علیالخصوص اینکه بنظر خودم، این گروه، دقیقا همون گروهی بود که خودم توسط یکی از تسکهای پروژهی اصلی، اون رو دنبال کرده بودم.
اشتباه دوم
من هم خیلی خوشحال و خندان روی لینک کلیک کردم و وارد سایت شدم؛ بدون اینکه وارد کامیونیتی بشم و خبر رو راستیآزمایی کنم؛ و بدون اینکه وارد سایت اصلی و یا دستکورد رسمی پروژه بشم و ببیبنم آیا چنین ایردراپی اصلا اعلام شده یا نه!
توصیه مهم: به هیچوجه قبل از اینکه اخبار کریپتویی رو راستیآزمایی نکردید، هیچ خبری رو باور نکنید؛ اگر یادتون باشه کانال بزرگی به اسم Coin Telegram رسما در روز روشن در مورد تایید Spot ETFهای بیتکوین دروغ گفت تا خودش یک پوزیشن ۲ میلیون دلاری با ضریب ۲۰ روی بیتکوین بگیره! خبرهای این مدلی رو هم تا راستی آزمایی نکردید باور نکنید؛ ایردراپهایی که نه سرشون و نه تهشون مشخصه که دیگه جای خود!!!
وارد لینک شدم و به این سایت مواجه شدم:
در نگاه اول همهچیز عادی بود؛ از فونت و رنگ و حتی گرافیک و دیزاینِ دکمهای “Claim $COOKIE” تا بقیه موارد.
اشتباه سوم
اولین چیزی که در سایت دیده میشد، لود نشدن عکس بکگراند سایت بود؛ چطور میشه پروژهای به این بزرگی، سایتشون درست لود نشده باشه؛ این موضوع خیلی واضحه! اما چرا من به این مورد هم مشکوک نشدم؟ تصور کردم اینترنتم مشکل داره و به این دلیله که سایت درست لود نشده!
توصیه مهم: ایردراپهای اساسی و مهم، برای جذب کاربر، به اولین چیزی که توجه میکنند، ساختن یک سایت با دیزان و گرافیک بالا و بهینه بودن سایته؛ سایتی که حتی این موارد ساده رو هم رعایت نکرده، باید راستیآزمایی بشه!
بدون کمترین شکی، روی دکمهی Claim کلیک کردم و اکستنشن متامسک از من خواست که تراکنشی با فی تنها ۳ دلار رو تایید کنم تا تعداد قابل توجهی توکن $COOKIE دریافت کنم؛ تراکنش رو تایید کردم و فی از من کم شد و توکن رو دریافت کردم، اما بلافاصله بعد از اون Metamask دوباره باز شد و چندین تراکنش به صورت pending به من نشون داد؛ تراکنشهایی که صرفا تایید کردن قرارداد هوشمند بودن و نیازی به پرداخت فی نداشتند!
اشتباه چهارم
بماند که همون تراکنش اول بخشی از دارایی من رو از ولتم خارج کرد؛ اما تراکنشهای دوم و سوم و … چهاردم که من پشت سر هم بدون خوندن پیغام و اخطار Metamask پشت سر هم و تندتند تایید میکردم، با اشتباه خودم رخ داد. ولت Metamask به شما در مورد هر تراکنش اخطار میده و از شما میخواد که source تراکنش رو چک کنید؛ که من مثل نصب نرمافزار روی ویندوز که همینجوری next next میزنیم و میریم، تراکنشها رو تایید میکردم!
بعد از تراکنش دهم بود که متامسک از من خواست تا شبکه رو از شبکه ERC20 به MODE تغیر بدم؛ اول برام سوال شد که $COOKIE که روی اتریوم هست، چه ارتباطی با شبکهی MODE داره! اما مدام در ذهن خودم، همه چیز رو به نوعی توجیه میکردم.
اگر این پروسه ادامه داشت، احتمالا تمامی تراکنشها رو تایید میکردم و ولتم به طور کل خالی میشد! اما در میانهی این تایید کردنهای پشت سر هم، احساس کردم این همه تراکنشی که pending شده و تایم زیادی نیاز داره تا انجام بشه، به دلیل ترافیک بالای سایته؛ اتفاقی که در زمان برداشت ایردراپ در بسیاری از سایتهای معتبر هم میوفته.
توصیه مهم: ولت Metamask تمام تراکنشها رو با یک اخطار مبنی بر اینکه مقصد تراکنش رو چک کنید و بعد اون تایید کنید، به شما نشون میده؛ بیتوجه به این اخطار، تراکنش رو تایید نکنید!
این موارد رو گفتم که بگم با شش سابقه در این بازار، در دام یک اسکم کاملا ابتدایی افتادم و دونه دونه توکنها و NFTهای خودم رو، دو دستی، خودم تقدیم کردم و رفت! و همینطور این رو گفتم که بگم چطور برای خودم، برای هر مورد مشکوکی، یه توجیه میووردم تا بیتوجه به همه موارد مشکوک، تراکنشها رو تایید کنم!
آیا میشه الان کاری کرد؟ خیر! کار تمام شده و توکنها به طور کامل از دست من خارج شده! پس اگر اسکم شدید، ۹۹٪ کار تمامه و دیگه نمیشه اقدامی برای برگردوندن داراییتون کرد…
برای جلوگیری از چنین اتفاقاتی، حتما به توصیههایی که در این پست مطرح کردیم دقت کنید:
۱- اخبار رو — از هر نوعی که هست — تنها از منابع رسمی اون دنبال کنید.
۲- روی لینکهای ناشناس کلیک نکنید.
۳- مقصد تراکنشها رو کاملا شناسایی و بررسی کنید.
معمولا اگر این سه مورد رو رعایت کنید، مشکل امنیتی برای ولتتون نخواهید داشت؛ اما برای بررسی دقیقتر ولتتون میتونید از سایت Revoke.cash استفاده کنید. این سایت به شما این امکان رو میده تا ولتهای نوع EVM خودتون رو کاملا بررسی کنید و ببینید چه قراردادهایی هنوز اجازه دسترسی به ولت شما رو دارند. به تصویر زیر دقت کنید:
تصویر بالا از سایت Revoke.cash هست؛ وارد سایت بشید، ولتتون رو متصل کنید و خواهید دید که چه تراکنشهایی انجام شده و چه تراکنشهایی هنوز در حالت pending مونده. اصولا شما نباید تراکنش Pendingی داشته باشید؛ و اگر چنین موردی رو دیدید، علتش رو بررسی کنید؛ چرا تراکنش به حالت Pending مونده؟ آیا به این علته که شبکه شلوغه؟ و یا به این علته که فی پرداختی از سمت مبدا (یعنی شما) به میزان کافی نبوده؟ و یا این یک تراکنش مشکوک و نا شناس برای شماست؟
در تصویر بالا میبینید که آخرین تراکنش، مربوط به توکن ironWeETHMode بوده که در واقع یک توکن پاداش، به دلیل ساخت یک استخر نقدینگی توسط خود من بوده که توسط اسکمر از ولت من به سرقت رفته.
موضوع اینجا خطرناک میشه که نوع دسترسی قرارداد این تراکنش رو میبینیم؛ این تراکنش به صورت Unlimited و نامحدود مجازه که به ولت دسترسی داشته باشه؛ به این معنی که به محض شارژ شدن ولت من با توکن ironWeETHMode، مجددا موجودی شارژ شده، توسط این قرارداد به صورت آنی به سرقت میره!
البته هر نوع دسترسی به ولت شما که از نوع Unlimited باشه، لزوما یک تراکنش اکسم نیست؛ گاهی استخرها و یا مقصدهایی مثل سایت OpenSea و یا Uniswap به جهت بازپرداخت مبلغی در قابل هزینههای تراکنش برگشتی به کاربر و یا امثال اینها، به ولت شما دسترسی نامحدود خواهند داشت؛ به تصویر زیر دقت کنید:
تراکنشی که روی توکن EZETH ثبت شده، یک تراکنش با سطح دسترسی Unlimited هست که توسط خود من برای ساخت استخر نقدینگی ایجاد شده؛ این استخر به دلیل بازپرداخت سود لحظهای، دسترسی همیشگی با ولت من رو داره؛ اما:
این دسترسی به صورت دو هفته درمیان باید توسط من امضا و تمدید بشه؛ در واقع استخر، مجاز به دسترسی بیقید و شرط به ولت من نیست و من به عنوان صاحب حساب، باید نهایتا بعد از دو هفته، مجوز این استخر رو تمدید کنم؛ در غیر این صورت ارتباط استخر با ولت من، تا زمان اتصال مجدد، قطع خواهد شد.
پس: نوع دسترسی Unlimitedی که تاریخ انقضا داشته باشه، یک دسترسی نسبتا ایمنه؛ اما به این شرط که این تراکنش توسط شما شناسایی شده باشه؛ به زبان ساده، شما بدونید این تراکنش با چنین سطح دسترسیای، مربوط به چه مقصدیه.
حالا به تصویر قبل دقت کنید؛ تراکنشی که توسط اسکمر با سطح دسترسی Unlimited ثبت شده، بدون تاریخ انقضاست؛ در واقع این سطح، بالاترین سطح دسترسی یک مقصد، به ولت شماست و در صورتی که توکنِ اون قرار (در این مثال ironWeETHMode) مجددا توسط من خرید و به ولتم واریز بشه، مقصد این امکان رو داره که به صورت آنی این توکن رو مجددا از ولت خارج کنه!
سایت Revoke.cash این امکان رو به شما میده تا قراردادهایی که به صورت Unlimited به ولت شما دسترسی دارند رو Revoke Access یا سلب اختیار کنید؛ البته با پرداخت کمی فی؛ برای این کار کافیه گزینهی Revoke رو انتخاب کنید و فی این تراکنش رو پرداخت کنید تا سطح دسترسی اون قرار داد به ولت شما سلب اختیار بشه.
در پست بعدی دربارهی مورد شماره (۳) که در ابتدای این پست به اون اشاره کردیم هم خواهیم نوشت.