eth_sign eyewash : principe, piège et mesures de prévention

Récemment, les arnaques de signatures aveugles eth_sign sont devenues fréquentes. De nombreux utilisateurs ont été incités à signer des signatures eth_sign apparemment inoffensives sur des sites douteux, ce qui a entraîné le vol de leurs actifs de portefeuille. Pour aider tout le monde à mieux comprendre le mécanisme de fonctionnement de cette arnaque, nous devons d'abord expliquer la nature de la signature eth_sign.

eth_sign aperçu de la signature

Dans l'écosystème Ethereum, eth_sign est une méthode de signature largement utilisée, permettant aux utilisateurs de signer des messages avec leur clé privée. Ce mécanisme de signature est une composante clé des transactions blockchain, utilisé pour prouver qu'un compte spécifique est l'initiateur de la transaction. En termes simples, c'est comme signer sur papier, indiquant que vous acceptez ou soutenez le contenu du document.

Cependant, il existe un problème souvent négligé lors de l'utilisation de eth_sign, à savoir ce que l'on appelle la "signature aveugle". Lorsque l'on signe un message avec eth_sign, l'utilisateur peut ne pas comprendre complètement le contenu de la signature et ne peut pas vérifier rétroactivement la signification précise de la signature. Cela est dû au fait que l'entrée de eth_sign est des caractères bruts et non un format lisible par l'homme. C'est comme signer un contrat rédigé dans une langue étrangère, ce qui explique pourquoi on l'appelle "signature aveugle".

Méthodes de fraude courantes

Après avoir compris le concept de signature eth_sign et de signature aveugle, nous pouvons approfondir les risques potentiels liés à eth_sign et comment prévenir ce type de fraude par signature aveugle.

Étant donné que eth_sign peut être utilisé pour signer divers types de messages, y compris des transactions et des instructions de contrat intelligent, un acteur malveillant peut inciter un utilisateur à signer un message qu'il ne comprend pas complètement, ce qui peut entraîner le transfert d'actifs. Plus grave encore, ils peuvent fournir un message apparemment inoffensif pour que l'utilisateur le signe, mais en réalité, cela pourrait être une instruction d'opération, et une fois signé, les actifs de l'utilisateur seront transférés sur le compte de l'attaquant.

Mesures de prévention

Face à cette situation, comment devrions-nous nous protéger ? Pour contrer ce type de comportement de fraude, une nouvelle version d'un portefeuille bien connu a amélioré son système de gestion des risques. Lorsque les utilisateurs accèdent à un DApp tiers pour effectuer une signature de message avec eth_sign, le portefeuille affichera une fenêtre d'avertissement de risque, informant l'utilisateur que la transaction actuelle pourrait comporter des risques potentiels, et un compte à rebours de 15 secondes sera lancé. Ce design vise à donner à l'utilisateur suffisamment de temps pour évaluer la nécessité et la sécurité de l'opération de signature.

Conseils de sécurité

Les experts en sécurité rappellent à tous :

• Restez extrêmement vigilant face à toutes les demandes nécessitant une signature eth_sign, en particulier celles provenant de sources inconnues ou non fiables. Si vous avez des doutes sur l'authenticité ou l'objectif de la demande, ne signez absolument pas à la légère.
• Assurez-vous que les messages ou demandes de transaction traités proviennent de canaux de confiance, tels que le site officiel, les réseaux sociaux officiels ou les canaux de communication vérifiés. Ne croyez jamais les liens, e-mails ou messages privés d'origine douteuse.

En comprenant les principes et les méthodes courantes du piège de la signature aveugle eth_sign, et en prenant des mesures de prévention appropriées, nous pouvons mieux protéger la sécurité de nos actifs numériques. Il est crucial de rester vigilant et prudent lors de toute opération de signature.