#EthereumWarnsonAddressPoisoning

حادثة الاحتيال $50M USDT الناتجة عن عناوين Ethereum المماثلة كشفت عن مشكلة نظامية في أمان العملات الرقمية تتجاوز مجرد خطأ المستخدم: عناوين المحفظة المقطوعة غير آمنة بطبيعتها في بيئات عدائية، وقد اعتمد النظام البيئي على هذه الممارسة الخطيرة لفترة طويلة جداً. تعرض معظم المحافظ فقط أول بضع شخصيات وآخر بضع شخصيات من العنوان، مما يشبه تدريب المستخدمين ضمنياً على افتراض أن التحقق من الأجزاء المرئية فقط يكفي. يستغل المهاجمون هذه القابلية للتنبؤ من خلال إنشاء عناوين تشترك في نفس البادئات واللاحقات بينما تختلف فقط في الوسط المخفي، وهي مهمة رخيصة حسابياً وممكنة تماماً على نطاق واسع. بمجرد إدخال مثل هذا العنوان المماثل في سير العمل - سواء من خلال رسائل مخترقة أو روابط تصيد أو سجلات معاملات منسوخة أو قوائم اتصال معدلة بشكل خبيث - لا تقدم واجهة المستخدم لمحفظة عادةً أي إشارة ذات مغزى للمستخدم تفيد بأن الوجهة غير صحيحة، ويمكن أن يؤدي نقرة واحدة إلى نقل ملايين الدولارات بشكل لا يمكن عكسه. وهذا يخلق فخاً معرفياً خطيراً: يُتوقع من المستخدمين التحقق من سلاسل سداسية عشرية طويلة لا يمكنهم فحصها بشكل معقول، وتعمل الواجهة على تشجيع الاختصارات التي يعرف المهاجمون كيفية استغلالها. معظم الناس لا يتحققون من العناوين الكاملة ليس بدافع الإهمال، ولكن لأن الأدوات نفسها تعود إلى التحقق الجزئي، مما يفضل الراحة أو الحد الأدنى أو قابلية القراءة بدلاً من الأمان في بيئة عدائية. يتطلب منع هذه الحوادث إعادة تفكير أساسية في تجربة المستخدم وأمان المحفظة: يجب أن تكون العناوين الكاملة مرئية بشكل افتراضي، وأي عنوان يتم لصقه أو تحديده يجب أن يتم تمييزه بصرياً مع توضيح واضح للاختلافات، ويجب على المحافظ تحذير المستخدمين عندما تكون الوجهة جديدة أو تشبه بشكل وثيق عنواناً تم استخدامه مسبقاً، ويجب حماية جهات الاتصال المحفوظة ضد التعديل أو الاستبدال الصامت. يمكن أن تساعد أنظمة التسمية القابلة للقراءة مثل ENS، ولكن فقط عندما يتم التحقق من الأسماء عبر قنوات موثوقة وتعرض العناوين المحلولة بوضوح جنباً إلى جنب مع الاسم، بدلاً من إخفائها خلفه. حتى يتم تنفيذ هذه الضمانات على نطاق واسع، يجب على المستخدمين وDAOs ومديري الخزائن اعتماد انضباط تشغيلي صارم، بما في ذلك التحقق يدوياً من العنوان بالكامل على الأقل مرة واحدة لكل مستلم جديد، وتأكيد التحويلات عبر قنوات اتصال آمنة خارج الشبكة، وإجراء معاملات اختبار للتحويلات عالية القيمة، وفرض سياسات موافقة متعددة الأشخاص لمحافظ الخزينة أو التنظيم. تتجاوز هذه الخطوات الفورية الدرس الأوسع للنظام البيئي Ethereum وعالم العملات الرقمية بشكل عام: يمكن أن تؤدي قرارات تجربة المستخدم التي تعطي الأولوية للراحة على الأمان إلى إنشاء مسارات هجوم قابلة للتنبؤ، والرهانات الآن مرتفعة بما يكفي بحيث أن خيارات التصميم التي كانت تعتبر مقبولة في السابق أصبحت خطيرة بشكل نشط. هذه ليست حالة هامشية، وليست مجرد مسألة "خطأ المستخدم"؛ إنها نتيجة متوقعة لنماذج التصميم التي تفشل في حساب المهاجمين الأذكياء والمتحفزين. الدرس واضح وصريح: إذا لم يتم التحقق من العنوان الكامل، فإن المعاملة لم يتم التحقق منها حقاً أبداً، ويجب على النظام البيئي التعامل مع عرض العنوان والتحقق منه كسطح أمان حرج بدلاً من عنصر واجهة مستخدم تجميلي. حتى تتماشى المحافظ وأنظمة التسمية والممارسات التشغيلية مع هذه الحقيقة، ستظل هجمات التصيد التي تستغل العناوين المماثلة واحدة من أكثر أشكال السرقة كفاءة وتدميراً في العملات الرقمية، ويجب على المستخدمين والمنظمات عالية القيمة تحمل المسؤولية عن الممارسات التي تفشل المحافظ حالياً في فرضها.