Les risques de sécurité et les mesures de prévention de la signature aveugle eth_sign

Récemment, une méthode d'escroquerie utilisant la signature aveugle eth_sign est devenue de plus en plus répandue. De nombreux utilisateurs ont été induits en erreur sur des sites douteux pour signer des signatures eth_sign apparemment inoffensives, ce qui a entraîné le vol des actifs dans leurs portefeuilles. Pour aider tout le monde à mieux comprendre le mécanisme de fonctionnement de cette méthode d'escroquerie, il est nécessaire d'expliquer d'abord la nature de la signature eth_sign.

L'essence de la signature eth_sign

Dans l'écosystème Ethereum, eth_sign est une méthode de signature largement utilisée. Elle permet aux utilisateurs de signer des informations en utilisant leur clé privée. Ce mécanisme de signature est un élément clé des transactions sur la blockchain, car il peut prouver qu'un compte spécifique est l'initiateur de la transaction. En termes simples, c'est comme signer un document, ce qui indique que vous reconnaissez ou soutenez le contenu du document.

Cependant, il existe un problème souvent négligé lors de l'utilisation d'eth_sign, à savoir ce que l'on appelle la "signature aveugle". Lorsque vous signez des informations avec eth_sign, vous ne comprenez peut-être pas complètement le contenu que vous signez et vous ne pouvez pas vérifier rétroactivement ce que représente cette signature. Cela s'explique par le fait que l'entrée de eth_sign est une chaîne brute, et non un format lisible par l'homme. C'est un peu comme signer un contrat rédigé dans une langue que vous ne comprenez pas, c'est aussi pour cela qu'on l'appelle "signature aveugle".

Méthodes de fraude courantes

Après avoir compris le concept de la signature eth_sign et de la signature aveugle, nous pouvons explorer davantage les risques potentiels associés à eth_sign et comment prévenir ce type de fraude par signature aveugle.

Puisque eth_sign peut être utilisé pour signer tout type de message, y compris des transactions et des instructions de contrats intelligents, des tiers malveillants peuvent vous inciter à signer un message que vous ne comprenez pas complètement, ce qui peut entraîner le transfert de vos actifs vers leur compte. Plus grave encore, ils peuvent vous fournir un message apparemment inoffensif pour que vous le signiez, mais en réalité, ce message pourrait être une instruction d'opération, et une fois que vous le signez, vos actifs seront transférés vers leur compte.

Face à cette situation, comment devrions-nous nous protéger ? Pour faire face à ce type de fraude, une nouvelle version d'un portefeuille bien connu a procédé à une mise à jour de son système de gestion des risques. Lorsque les utilisateurs accèdent à un DApp tiers et appellent eth_sign pour signer un message, ce portefeuille affichera une fenêtre d'alerte de risque, avertissant l'utilisateur que la transaction actuelle pourrait comporter des risques potentiels, et lancera un compte à rebours de 15 secondes. Ce paramètre vise à donner aux utilisateurs suffisamment de temps pour évaluer la nécessité et la sécurité de l'opération de signature.

Conseils de sécurité

Les experts en sécurité rappellent à tous :

• Restez très vigilant face à toutes les demandes utilisant eth_sign pour la signature, en particulier celles provenant de sources inconnues ou non fiables. Si vous avez des doutes sur l'authenticité ou l'objectif de la demande, ne signez absolument pas à la légère.
• Assurez-vous que les messages ou demandes de transaction traités proviennent de canaux fiables, tels que le site officiel, les réseaux sociaux officiels ou des canaux de communication vérifiés. Ne croyez jamais les liens, e-mails ou messages privés d'origine inconnue.

En restant vigilant et en renforçant notre conscience de la sécurité, nous pouvons mieux protéger nos actifs numériques et éviter de devenir des victimes de l'escroquerie de signature aveugle eth_sign. Avant d'effectuer toute opération de signature, veuillez vérifier attentivement les informations pour garantir la sécurité.