Riesgos de seguridad y medidas de prevención del blind signing eth_sign

Recientemente, un método de estafa que utiliza la firma ciega eth_sign se ha vuelto cada vez más rampante. Muchos usuarios, sin saberlo, son inducidos a firmar firmas eth_sign que parecen inofensivas en algunos sitios web sospechosos, lo que resulta en el robo de activos en sus billeteras. Para ayudar a todos a entender mejor el mecanismo de funcionamiento de este método de estafa, es necesario explicar primero la naturaleza de la firma eth_sign.

La esencia de eth_sign

En el ecosistema de Ethereum, eth_sign es un método de firma ampliamente utilizado. Permite a los usuarios firmar información utilizando su clave privada. Este mecanismo de firma es un componente clave de las transacciones en blockchain, ya que puede demostrar que una cuenta específica es el iniciador de la transacción. En términos simples, es como firmar un documento, lo que indica que reconoces o apoyas el contenido del documento.

Sin embargo, hay un problema que a menudo se pasa por alto en el uso de eth_sign, conocido como "firma ciega". Cuando usas eth_sign para firmar información, es posible que no comprendas completamente el contenido que estás firmando y que no puedas verificar de manera inversa qué representa exactamente esa firma. Esto se debe a que la entrada de eth_sign es una cadena en bruto, en lugar de un formato legible por humanos. Es como firmar un contrato escrito en un idioma que no entiendes, y esta es la razón por la que se le llama "firma ciega".

Métodos comunes de estafa

Después de entender el concepto de la firma eth_sign y la firma ciega, podemos explorar más a fondo los riesgos potenciales de eth_sign y cómo prevenir este tipo de fraudes de firma ciega.

Dado que eth_sign se puede usar para firmar cualquier tipo de mensaje, incluidas transacciones e instrucciones de contratos inteligentes, un tercero malintencionado podría inducirte a firmar un mensaje que no entiendes completamente, lo que podría provocar que tus activos se transfieran a su cuenta. Más grave aún, podrían darte un mensaje que parece inofensivo para que lo firmes, pero en realidad, ese mensaje podría ser una instrucción de operación, y una vez que lo firmes, tus activos se transferirán a su cuenta.

¿Cómo deberíamos prevenirnos ante esta situación? En respuesta a este tipo de fraudes, una conocida billetera ha realizado una actualización del sistema de control de riesgos en su nueva versión. Cuando los usuarios acceden a un DApp de terceros y utilizan eth_sign para firmar un mensaje, la billetera mostrará una ventana de advertencia de riesgo, informando al usuario que la transacción actual puede tener riesgos potenciales y comenzará una cuenta regresiva de 15 segundos. Esta configuración está diseñada para dar al usuario suficiente tiempo para evaluar la necesidad y la seguridad de la operación de firma.

Sugerencias de seguridad

Los expertos en seguridad recuerdan a todos:

• Mantén una alta vigilancia sobre todas las solicitudes que requieran la firma eth_sign, especialmente aquellas de origen desconocido o no confiable. Si tienes dudas sobre la autenticidad o el propósito de la solicitud, nunca firmes fácilmente.
• Asegúrate de que los mensajes o solicitudes de transacción que manejas provienen de canales confiables, como el sitio web oficial, las redes sociales oficiales o canales de comunicación verificados. Nunca confíes en enlaces, correos electrónicos o mensajes privados de origen desconocido.

Al estar alerta y aumentar la conciencia de seguridad, podemos proteger mejor nuestros activos digitales y evitar convertirnos en víctimas de fraudes de firma ciega eth_sign. Antes de realizar cualquier operación de firma, asegúrese de verificar la información cuidadosamente para garantizar la seguridad.