eth_sign Lavado de ojos: principio, trampa y medidas de prevención

Recientemente, ha surgido con frecuencia la trampa de la firma ciega eth_sign, y muchos usuarios han sido inducidos a firmar firmas eth_sign que parecen inofensivas en sitios web desconocidos, lo que ha llevado al robo de activos de sus billeteras. Para ayudar a todos a entender mejor el mecanismo de funcionamiento de esta Lavado de ojos, primero necesitamos explicar la esencia de la firma eth_sign.

Resumen de firma eth_sign

En el ecosistema de Ethereum, eth_sign es un método de firma ampliamente utilizado que permite a los usuarios firmar mensajes con su clave privada. Este mecanismo de firma es una parte clave de las transacciones en blockchain, utilizado para demostrar que una cuenta específica es el iniciador de la transacción. En pocas palabras, es como firmar en papel, lo que indica que estás de acuerdo o apoyas el contenido del documento.

Sin embargo, hay un problema fácil de pasar por alto en el proceso de uso de eth_sign, conocido como "firma ciega". Cuando se utiliza eth_sign para firmar un mensaje, el usuario puede no entender completamente el contenido de la firma y no puede verificar el significado específico de la firma de manera inversa. Esto se debe a que la entrada de eth_sign es texto en bruto y no un formato legible por humanos. Es como firmar un contrato escrito en un idioma desconocido, que es también la razón por la que se le llama "firma ciega".

Métodos de fraude comunes

Una vez que entendamos el concepto de firma eth_sign y de firma ciega, podemos profundizar en los riesgos potenciales de eth_sign y en cómo prevenir este tipo de fraudes de firma ciega.

Dado que eth_sign se puede utilizar para firmar varios tipos de mensajes, incluidos transacciones e instrucciones de contratos inteligentes, un tercero malintencionado podría inducir a los usuarios a firmar un mensaje que no comprenden completamente, lo que podría resultar en la transferencia de activos. Más grave aún, podrían proporcionar un mensaje que parece inofensivo para que el usuario lo firme, pero en realidad podría ser una instrucción de operación, y una vez firmado, los activos del usuario se transferirían a la cuenta del atacante.

Medidas de prevención

Ante esta situación, ¿cómo debemos protegernos? En respuesta a este tipo de Lavado de ojos, una conocida billetera ha realizado una actualización en su sistema de control de riesgos. Cuando los usuarios acceden a una DApp de terceros que llama a eth_sign para firmar un mensaje, la billetera mostrará una ventana de advertencia de riesgo, alertando a los usuarios que la transacción actual puede presentar un riesgo potencial, y activará un temporizador de enfriamiento de 15 segundos. Este diseño tiene como objetivo dar a los usuarios tiempo suficiente para evaluar la necesidad y la seguridad de la operación de firma.

Sugerencias de seguridad

Los expertos en seguridad recuerdan a todos:

• Mantenga una alta vigilancia sobre todas las solicitudes que requieren la firma de eth_sign, especialmente aquellas de origen desconocido o no confiable. Si tiene dudas sobre la autenticidad o el propósito de la solicitud, nunca firme a la ligera.
• Asegúrate de que los mensajes o solicitudes de transacción que procesas provengan de canales de confianza, como el sitio web oficial, las redes sociales oficiales o los canales de comunicación verificados. Nunca confíes en enlaces, correos electrónicos o mensajes privados de origen desconocido.

Al comprender los principios y métodos comunes de la trampa de firma ciega eth_sign, y al tomar las medidas de precaución adecuadas, podemos proteger mejor la seguridad de nuestros activos digitales. Es crucial mantener la vigilancia y la cautela al realizar cualquier operación de firma.