опасности и меры предосторожности, связанные с мошенничеством blind sign eth_sign

В последнее время часто появляются мошенничества с blind signing eth_sign, многие пользователи, не подозревая об этом, подписали на некоторых сайтах кажущиеся безобидными подписи eth_sign, что привело к краже активов из кошельков. Чтобы помочь всем лучше понять механизм работы этого мошенничества, нам необходимо сначала объяснить суть подписи eth_sign.

Введение в подпись eth_sign

В экосистеме Ethereum eth_sign является широко используемым методом подписи, который позволяет пользователям подписывать сообщения с помощью закрытого ключа. Этот механизм подписи является ключевым компонентом блокчейн-транзакций, так как он может подтвердить, что определенный аккаунт является инициатором транзакции. Проще говоря, это похоже на подпись на бумажном документе, чтобы выразить свое согласие или поддержку содержания документа.

Однако в процессе использования eth_sign существует одна легко упускаемая проблема, а именно его часто называют "слепая подпись". Это связано с тем, что когда вы используете eth_sign для подписания сообщения, вы, возможно, не полностью понимаете конкретное содержание подписи и не можете обратным образом проверить фактическое значение этой подписи. Это происходит потому, что входные данные eth_sign являются сырыми символами, а не читаемым человеком форматом. Это похоже на то, как если бы вы подписали контракт, написанный на незнакомом языке, и именно поэтому его называют "слепая подпись".

Анализ методов промывания глаз

После того как мы поняли концепцию подписи eth_sign и слепой подписи, мы можем углубиться в потенциальные риски eth_sign и способы предотвращения таких мошенничеств со слепыми подписями.

Поскольку eth_sign может использоваться для подписания различных типов сообщений, включая транзакции и инструкции смарт-контрактов, злоумышленные третьи лица могут побудить вас подписать сообщение, которое вы не полностью понимаете, что приведет к тому, что ваши активы будут переведены на их счета. Более того, они могут предоставить вам на вид безобидное сообщение для подписи, но на самом деле это сообщение может быть командой на действие, и как только вы подпишете, ваши активы будут переведены на их счета.

Меры предосторожности

В данной ситуации какие меры предосторожности мы должны предпринять? В связи с такими мошенническими действиями, один известный кошелек уже обновил свою систему управления рисками в новой версии. Когда пользователи обращаются к сторонним DApp для вызова eth_sign для подписи сообщений, этот кошелек будет отображать всплывающее окно с предупреждением о рисках, информируя пользователей о том, что текущая транзакция может представлять потенциальный риск, и запускает 15-секундный таймер охлаждения. Такой дизайн направлен на то, чтобы дать пользователям достаточно времени для оценки необходимости и безопасности операции подписи.

Рекомендации по безопасности

Эксперты по безопасности напоминают всем:

1. Будьте особенно осторожны с любыми запросами, которые требуют подписи с помощью eth_sign, особенно если они исходят из ненадежных или неизвестных источников. Если у вас есть сомнения в подлинности или цели запроса, никогда не подписывайте его легкомысленно.

2. Убедитесь, что обрабатываемые сообщения или запросы на транзакции поступают из надежных источников, таких как официальный веб-сайт, официальные социальные сети или проверенные каналы связи. Никогда не доверяйте ссылкам, электронной почте или личным сообщениям из ненадежных источников.

Путем повышения бдительности и принятия соответствующих мер предосторожности мы можем эффективно снизить риск стать жертвой промывания глаз eth_sign. В мире блокчейна безопасность и осторожность имеют решающее значение.