احذر من المخاطر الأمنية الناتجة عن توقيع eth_sign: المبدأ، الحيل الشائعة ووسائل الحماية

مؤخراً، تكررت حالات تضليل تتعلق بتوقيع eth_sign، حيث قام العديد من المستخدمين بتوقيع توقيعات eth_sign التي تبدو غير ضارة على بعض المواقع دون علمهم، مما أدى إلى فقدان الأصول في محافظهم. لمساعدتنا على فهم آلية عمل هذه الأنواع من التضليل بشكل أفضل، من الضروري أن نشرح جوهر توقيع eth_sign أولاً.

جوهر توقيع eth_sign

في نظام إيثريوم البيئي، تعتبر eth_sign طريقة توقيع مستخدمة على نطاق واسع، حيث تسمح للمستخدمين بتوقيع رسائل معينة باستخدام المفتاح الخاص. هذه الآلية التوقيعية هي جزء مهم من معاملات البلوكتشين، لأنها قادرة على إثبات أن حساب معين هو المبادر بالمعاملة. ببساطة، يشبه ذلك التوقيع على مستند للإشارة إلى أنك توافق على محتوى المستند أو تدعمه.

ومع ذلك، هناك مشكلة يمكن تجاهلها بسهولة في استخدام eth_sign، وهي ما يسمى "التوقيع الأعمى". عندما يقوم المستخدمون بتوقيع الرسائل باستخدام eth_sign، فإنهم غالبًا لا يفهمون تمامًا المحتوى الذي يقومون بتوقيعه، ولا يمكنهم التحقق من التوقيع بشكل عكسي لمعرفة ما يمثله بالضبط. ويرجع ذلك إلى أن مدخلات eth_sign هي سلسلة نصية خام، وليست بتنسيق قابل للقراءة البشرية. يشبه هذا التوقيع على عقد مكتوب بلغة غير مألوفة، ولهذا السبب يُطلق عليه "التوقيع الأعمى".

أساليب التضليل الشائعة

بعد فهم مفهوم توقيع eth_sign والتوقيع الأعمى، يمكننا استكشاف المخاطر المحتملة لتوقيع eth_sign وكيفية الوقاية من هذا النوع من الاحتيال بالتوقيع الأعمى.

نظرًا لأن eth_sign يمكن استخدامه لتوقيع أنواع مختلفة من الرسائل، بما في ذلك المعاملات وتعليمات العقود الذكية، قد يقوم طرف ثالث خبيث بإغراء المستخدمين لتوقيع رسالة لا يفهمونها تمامًا، مما يؤدي إلى نقل الأصول. والأكثر خطورة هو أنهم قد يقدمون رسالة تبدو غير ضارة ليقوم المستخدم بالتوقيع عليها، ولكن في الواقع قد تكون هذه الرسالة أمرًا تشغيليًا، وبمجرد التوقيع، سيتم نقل أصول المستخدم إلى حساب المهاجم.

في مواجهة هذا الوضع، كيف يمكننا الحماية؟ في ضوء هذه الأنشطة الاحتيالية، قام إصدار جديد من محفظة معروفة بترقية نظام إدارة المخاطر. عند زيارة المستخدمين لتطبيقات DApp الطرف الثالث وطلب توقيع رسالة باستخدام eth_sign، ستظهر نافذة تحذير من المخاطر من المحفظة، مما ينبه المستخدم إلى أن المعاملة الحالية قد تحتوي على مخاطر محتملة، وتبدأ عد تنازلي لمدة 15 ثانية. تهدف هذه الإعدادات إلى منح المستخدمين الوقت الكافي لتقييم ضرورة وأمان عملية التوقيع.

نصائح السلامة

يُذكّر خبراء الأمان المستخدمين الكرام:

1. كن حذرًا للغاية من جميع الطلبات التي تتطلب استخدام eth_sign لتوقيعها، خاصة تلك التي تأتي من مصادر غير موثوقة أو غير معروفة. إذا كانت لديك شكوك حول صحة الطلب أو هدفه، فلا توقع عليه بسهولة.

2. تأكد من أن الرسائل أو طلبات المعاملات التي يتم معالجتها تأتي من قنوات موثوقة، مثل الموقع الرسمي، وسائل التواصل الاجتماعي الرسمية، أو قنوات الاتصال المعتمدة. لا تثق أبداً في الروابط أو الرسائل الإلكترونية أو المعلومات الخاصة التي تأتي من مصادر غير معروفة.

3. قبل إجراء أي عملية توقيع، اقرأ بعناية وفهم محتوى التوقيع. إذا لم تتمكن من فهمه بالكامل، فمن الأفضل طلب المساعدة من محترف أو التخلي عن هذه العملية.

4. قم بتحديث برنامج المحفظة الخاص بك بانتظام لضمان الحصول على أحدث تدابير الحماية الأمنية.

5. النظر في استخدام محافظ الأجهزة وطرق التخزين الأكثر أمانًا لحماية الأصول ذات القيمة العالية.

من خلال زيادة الوعي، وفهم المخاطر المحتملة، واتخاذ تدابير الحماية المناسبة، يمكننا حماية أصولنا الرقمية بشكل أفضل، وتجنب أن نصبح ضحايا لعملية تضليل eth_sign. في عالم blockchain، تظل الأمان واحدة من أهم القضايا.