Будьте обережні з骗局 підписами Ethereum: розуміння принципів та заходів запобігання

Нещодавно схема замилювання очей, що використовує механізм підпису Ethereum, привернула широку увагу. Багато користувачів, не підозрюючи про це, були спонуковані підписати, здавалося б, безневинні підписи на деяких сайтах, що в результаті призвело до крадіжки активів з їхніх гаманців. Щоб допомогти всім краще зрозуміти, як працює ця схема, спочатку потрібно пояснити принципи механізму підпису Ethereum.

Вступ до механізму підпису Ethereum

У мережі Ethereum підпис є широко використовуваним методом верифікації, який дозволяє користувачам підписувати повідомлення за допомогою приватного ключа. Ця механіка є основною частиною блокчейн-транзакцій, оскільки вона може підтвердити, що певний рахунок є ініціатором транзакції. Простими словами, це схоже на підпис на документі в реальному житті, щоб підтвердити, що ви погоджуєтеся або підтримуєте зміст документа.

Однак під час використання існує одна проблема, яка легко може бути проігнорована, а саме так звана "сліпа підпис". Коли користувач підписує повідомлення, він може не зовсім розуміти, що саме він підписує, і не може перевірити, що конкретно представляє цей підпис. Це пов'язано з тим, що вхідні дані підпису зазвичай є сирими символами, а не форматами, зрозумілими людині. Це подібно до підпису на контракті на іноземній мові, яку не можливо зрозуміти, саме тому його називають "сліпою підпис".

Поширені методи шахрайства

Зрозумівши механізм підпису Ethereum та концепцію сліпих підписів, ми можемо поглиблено розглянути їх потенційні ризики та способи запобігання таким шахрайствам.

Оскільки підпис може використовуватися для будь-якого типу повідомлень, включаючи транзакції та команди смарт-контрактів, зловмисні треті сторони можуть спонукати користувачів підписати повідомлення, яке вони не зовсім розуміють, що може призвести до переміщення активів. Ще гірше, вони можуть надати повідомлення, яке виглядає безпечним, щоб користувач підписав, але насправді це може бути команда, і як тільки підписано, активи користувача можуть бути переведені на рахунок шахрая.

Заходи безпеки

У такій ситуації як ми повинні захистити себе? Деякі гаманці вже почали оновлювати свої системи управління ризиками. Наприклад, коли користувачі отримують доступ до функції підпису через сторонні додатки, гаманець надає сповіщення про ризики, попереджаючи користувача, що поточна дія може нести потенційні ризики, і запускає таймер охолодження. Це налаштування призначене для того, щоб дати користувачеві достатньо часу для оцінки необхідності та безпеки підпису.

Нагадування про безпеку

Щодо таких шахрайських дій, ми нагадуємо всім:

• Будьте уважні до всіх запитів, що вимагають підпису, особливо якщо вони походять з ненадійних або невідомих джерел. Якщо у вас є сумніви щодо правомірності або мети запиту, ні в якому разі не підписуйте його.
• Переконайтеся, що оброблювані повідомлення або запити на транзакції надходять з надійних джерел, таких як офіційний вебсайт, офіційні соціальні медіа або перевірені канали зв'язку. Ніколи не довіряйте посиланням, електронним листам або приватним повідомленням з ненадійних джерел.

Підвищуючи обізнаність і розуміючи потенційні ризики, ми можемо краще захистити свої цифрові активи та уникнути того, щоб стати жертвами таких схем замилювання очей.