اكتشف كيف تعالج محفظة Trust مخاطر الموافقة على التوكن من خلال تجربة مستخدم أكثر أمانًا وأدوات لأكثر من 200 مليون مستخدم. بقلم إيف لام، مسؤولة أمن المعلومات في Trust Wallet.
المخاطر الخفية الكامنة في محفظتك
تعد الموافقات على التوكن من أكثر التهديدات التي يتم تجاهلها في Web3. في كل مرة تقوم فيها بتوصيل محفظتك والسماح لتطبيق لامركزي (DApp) بالوصول إلى توكناتك، فإنك غالبًا تمنح وصولاً غير محدود. مع مرور الوقت، تتراكم هذه الموافقات بهدوء في الخلفية. معظم المستخدمين لا يعرفون حتى أنها موجودة، وفي الواقع، تم سرقة أكثر من 475 مليون دولار منذ عام 2020 في عمليات اختراق واستغلال الموافقات المبلغ عنها وفقًا لـ Revoke. هذا أكثر من مجرد فجوة تقنية في نظرنا. إنه أقرب إلى فشل في تجربة المستخدم ونقطة عمياء أمنية، وبالنسبة للموجة التالية من المستخدمين الذين يدخلون Web3، فهي مخاطرة لا ينبغي أن يتحملوها.
الريادة في مجال السلامة هي مسؤولية أساسية لأي مزود محفظة - ومع أكثر من 15 مليون مستخدم نشط شهريًا وأكثر من 200 مليون تنزيل، إنها مسؤولية تتبناها Trust Wallet بالكامل. إن إصلاح مشكلة الموافقات على التوكن هو جزء من هذا الالتزام، مما يضمن حماية أقوى لكل من يعتمد علينا ويساعد في بناء نظام بيئي أكثر أمانًا لـ Web3.
لماذا أصبحت الموافقات غير المحدودة هي القاعدة
عندما تستخدم تطبيق لامركزي (DApp)، لا يمكنه نقل توكناتك ما لم تمنح إذنًا من خلال معاملة الموافقة على التوكن. تسمح الموافقات للعقد الذكي بإنفاق توكناتك نيابة عنك. تطلب معظم التطبيقات اللامركزية موافقة غير محدودة حتى لا تضطر إلى الموافقة في كل مرة. بمجرد منحها، تظل هذه الموافقات نشطة على السلسلة حتى تقوم بإلغائها.
تأتي هذه الراحة بتكلفة: موافقات التوكن صامتة ودائمة ومحفوفة بالمخاطر بشكل افتراضي. يمنح المستخدمون التطبيقات اللامركزية وصولاً غير محدود دون إدراك ذلك. نادرًا ما تُظهر المحافظ أو تشرح هذه الأذونات. يستغلها المهاجمون - غالبًا بعد فترة طويلة من منح الموافقة.
كيف تتراكم مخاطر الموافقة مع مرور الوقت
غالبًا ما تتبع التهديدات في العالم الحقيقي هذه الأنماط. قد يخدعك فاعل خبيث لمنح موافقة غير محدودة لعقد ضار. قد لا ترى أي مشكلة إذا كانت محفظتك فارغة في ذلك الوقت. لاحقًا، عندما تودع الأموال، يستنزفها العقد على الفور. أو قد يتم اختراق عقد كان موثوقًا به سابقًا، مما يحول إذنًا آمنًا إلى ثغرة خطيرة.
والأكثر إثارة للقلق هو أنه في معظم المحافظ اليوم، ليس من السهل عرض أو إدارة موافقات التوكن. سيواجه المستخدم العادي صعوبة في معرفة العقود التي لديها حق الوصول إلى أصولهم، ناهيك عن تقييم أيها عالي المخاطر.
الفرصة: أدوات أصلية، مبنية بالطريقة الصحيحة
تفتقر معظم المحافظ إلى واجهة أصلية سهلة الاستخدام لمراجعة وإدارة موافقات التوكن. يعتمد البعض على أدوات الطرف الثالث أو يدفن الأذونات عميقًا في الإعدادات - إن وجدت. نتيجة لذلك، غالبًا ما يكون المستخدمون غير مدركين للعقود التي لديها وصول مستمر.
في Trust Wallet، ندرك هذه الفجوة - ونعمل على سدها. لهذا السبب تعد إدارة الموافقة على التوكن جزءًا من خارطة طريقنا للربع الرابع من هذا العام: مبنية للتوسع، مصممة بعناية، وتم إصدارها بدقة تضع الأمان أولاً. رؤيتنا هي لوحة تحكم ذكية تركز على المستخدم تبسط أذونات البلوكتشين المعقدة إلى رؤى واضحة وقابلة للتنفيذ.
كيف يساعد EIP-7702 في تقليل مخاطر الموافقة
يمكن أن يكون تقليل عدد الموافقات التي يحتاج المستخدم إلى إجرائها بنفس أهمية إدارتها بشكل جيد. تم تصميم EIP-7702 للمساعدة في ذلك من خلال السماح للمحفظة بمحاكاة والموافقة المسبقة على جميع الإجراءات الضرورية في جلسة آمنة واحدة. توقع مرة واحدة، ويتعامل المرحل مع كل من الموافقة والمعاملة المقصودة في الخلفية.
مع 7702:
- تحاكي المحفظة جميع الموافقات والمعاملات المطلوبة.
- يوقع المستخدم نية جلسة واحدة.
- يتم تنفيذ كل من الموافقة والإجراء معًا.
- نوافذ منبثقة أقل للموافقة، وموافقات غير محدودة أقل استمرارًا.
باختصار، يبسط 7702 تجربة المستخدم مع تقليل الحاجة إلى أذونات دائمة محفوفة بالمخاطر.
إعادة التفكير في نظافة الموافقة كجزء من تجربة المستخدم اليومية
يجب أن يشعر الحفاظ على موافقات التوكن تحت السيطرة بأنه طبيعي مثل الفحوصات الروتينية الأخرى التي يقوم بها الناس للبقاء آمنين عبر الإنترنت. تعمل العملية بشكل أفضل عندما يتم دمجها في استخدام المحفظة العادي، بدلاً من تركها كمهمة منفصلة يجب على المستخدم تذكرها.
تقوم Trust Wallet ببناء ميزات لجعل هذه الصيانة سهلة: تذكيرات غير متطفلة لمراجعة الموافقات النشطة، وإشارات مرئية للعقود التي قد تكون محفوفة بالمخاطر أو قديمة، وخيارات لانتهاء صلاحية الوصول تلقائيًا بعد عدم النشاط، ولوحة تحكم تسرد بوضوح كل إذن نشط في مكان واحد. عندما تكون هذه الضمانات جزءًا من التدفق المنتظم، يمكن للمستخدمين البقاء محميين دون بذل جهد إضافي.
المحافظ كحراس، وليس مجرد واجهات
موافقات التوكن هي جزء من سؤال أكبر: كيف يمكن للمحافظ أن تفعل المزيد لحماية المستخدمين؟
في Trust Wallet، الأمان مدمج في كل ما نبنيه. يكتشف ماسح الأمان لدينا بشكل استباقي عمليات الاحتيال والعقود الخبيثة المعروفة، ويمنع الموافقات الخطرة واتصالات التطبيقات اللامركزية قبل حدوثها. منذ عام 2023، منعنا أكثر من 458 مليون دولار من الوصول إلى العقود الخبيثة وساعدنا في استرداد أكثر من 2 مليون دولار من الأموال المسروقة.
كنا أول محفظة ذاتية الحفظ رئيسية تحصل على شهادة ISO/IEC 27001 و 27701، مما يلبي المعايير المعترف بها دوليًا للأمان والخصوصية.
سيوجه نفس المبدأ أدوات الموافقة على التوكن لدينا: حماية مدمجة، وليست مضافة.
التطلع إلى المستقبل: البناء للـ 200 مليون القادمين
تتجاوز مسؤوليتنا الحفاظ على ما بنيناه بالفعل - إنها تتعلق بالاستعداد للموجة التالية من مستخدمي Web3 والتحديات التي سيواجهونها. هذا يعني الاستمرار في طرح ميزات تزيل الاحتكاك وتعزز السلامة، مثل الإعدادات الافتراضية الأفضل والأتمتة الأكثر ذكاءً، وتسجيل الدخول البيومتري في ملحقنا، وبساطة التبادل العابر للسلاسل مع FlexGas بحيث يمكن دفع الغاز بالتوكنات التي يمتلكها المستخدمون بالفعل وما إلى ذلك.
مع كل ما تناولناه، من البديهي أن أحد أهم التطورات في الأفق هو إدارة الموافق
