Los riesgos del lavado de ojos de eth_sign y las medidas de prevención

Recientemente, ha habido frecuentes casos de Lavado de ojos con eth_sign, donde muchos usuarios, sin saberlo, han firmado en algunos sitios web firmas eth_sign que parecen inofensivas, lo que ha llevado al robo de activos en sus billeteras. Para ayudar a todos a comprender mejor el mecanismo de funcionamiento de esta estafa, es necesario primero explicar la naturaleza de la firma eth_sign.

Introducción a eth_sign

En el ecosistema de Ethereum, eth_sign es un método de firma ampliamente utilizado que permite a los usuarios firmar mensajes con su clave privada. Este mecanismo de firma es una parte clave de las transacciones en blockchain, ya que puede confirmar que una cuenta específica es el iniciador de la transacción. En términos simples, esto es similar a firmar un documento en papel para indicar que estás de acuerdo o apoyas el contenido del documento.

Sin embargo, hay un problema que a menudo se pasa por alto en el uso de eth_sign, a saber, que a menudo se le llama "firma ciega". Esto se debe a que cuando usas eth_sign para firmar un mensaje, es posible que no entiendas completamente el contenido específico de la firma, ni puedas verificar de manera inversa el significado real que representa esta firma. Esto se debe a que la entrada de eth_sign son caracteres en bruto, y no un formato legible por humanos. Es como si firmaras un contrato escrito en un idioma desconocido, que es también la razón por la cual se le llama "firma ciega".

Análisis de las técnicas de Lavado de ojos

Después de entender el concepto de firma eth_sign y de la firma ciega, podemos profundizar en los riesgos potenciales de eth_sign y cómo prevenir este tipo de fraudes de firma ciega.

Debido a que eth_sign puede usarse para firmar varios tipos de mensajes, incluidas transacciones e instrucciones de contratos inteligentes, un tercero malicioso podría inducirte a firmar un mensaje que no entiendes completamente, lo que podría resultar en la transferencia de tus activos a sus cuentas. Más grave aún, podrían ofrecerte un mensaje aparentemente inofensivo para que lo firmes, pero en realidad, este mensaje podría ser una orden de operación; una vez que firmes, tus activos serán transferidos a sus cuentas.

Medidas de prevención

Ante esta situación, ¿qué medidas de prevención deberíamos tomar? En respuesta a este tipo de Lavado de ojos, una conocida billetera ha actualizado su sistema de gestión de riesgos en la nueva versión. Cuando un usuario accede a una DApp de terceros para llamar a eth_sign y firmar un mensaje, la billetera mostrará una ventana de advertencia de riesgo, informando al usuario que la transacción actual puede tener riesgos potenciales, y comenzará una cuenta regresiva de 15 segundos. Este diseño tiene como objetivo dar al usuario suficiente tiempo para evaluar la necesidad y seguridad de la operación de firma.

Sugerencias de seguridad

Los expertos en seguridad recuerdan a todos:

1. Mantenga una alta vigilancia sobre todas las solicitudes que requieran la firma eth_sign, especialmente aquellas de origen desconocido o no confiable. Si tiene dudas sobre la autenticidad o el propósito de la solicitud, no firme fácilmente.

2. Asegúrese de que los mensajes o solicitudes de transacción que maneje provengan de canales de confianza, como el sitio web oficial, redes sociales oficiales o canales de comunicación verificados. Nunca confíe en enlaces, correos electrónicos o mensajes privados de origen desconocido.

A través de aumentar la vigilancia y tomar las medidas de prevención adecuadas, podemos reducir eficazmente el riesgo de convertirnos en víctimas del Lavado de ojos de eth_sign. En el mundo blockchain, la conciencia de seguridad y actuar con cautela es crucial.