Esteja atento aos riscos de segurança associados à assinatura eth_sign: princípios, fraudes comuns e medidas de prevenção

Recentemente, os esquemas relacionados com a assinatura eth_sign têm ocorrido com frequência, e muitos usuários assinaram assinaturas eth_sign aparentemente inofensivas em certos sites sem estar cientes, resultando em perdas de ativos nas suas carteiras. Para ajudar todos a entender melhor o mecanismo de funcionamento desses esquemas, é necessário primeiro explicar a essência da assinatura eth_sign.

A essência da assinatura eth_sign

No ecossistema do Ethereum, eth_sign é um método de assinatura amplamente utilizado, que permite aos usuários assinar mensagens específicas com a chave privada. Este mecanismo de assinatura é uma parte importante das transações em blockchain, pois pode provar que uma conta específica é o iniciador da transação. Em termos simples, é como assinar um documento para mostrar que você concorda ou apoia o conteúdo do documento.

No entanto, existe um problema que pode ser facilmente ignorado no processo de utilização do eth_sign, conhecido como "assinatura cega". Quando os usuários utilizam o eth_sign para assinar mensagens, muitas vezes não conseguem entender completamente o conteúdo assinado, nem verificar de forma reversa o que a assinatura realmente representa. Isso ocorre porque a entrada do eth_sign é uma string bruta, e não um formato legível por humanos. Isso é semelhante a assinar um contrato escrito em uma língua desconhecida, e é por isso que é chamado de "assinatura cega".

Comportamentos comuns de lavar os olhos

Após entender os conceitos de assinatura eth_sign e assinatura cega, podemos explorar mais os riscos potenciais do eth_sign e como prevenir esse tipo de fraude de assinatura cega.

Como o eth_sign pode ser utilizado para assinar vários tipos de mensagens, incluindo transações e instruções de contratos inteligentes, terceiros maliciosos podem induzir os usuários a assinar uma mensagem que não compreendem completamente, resultando na transferência de ativos. Mais grave ainda, eles podem apresentar uma mensagem aparentemente inofensiva para o usuário assinar, mas na verdade essa mensagem pode ser uma instrução de operação; uma vez assinada, os ativos do usuário serão transferidos para a conta do atacante.

Diante dessa situação, como devemos nos proteger? Em resposta a esse tipo de fraude, uma carteira conhecida lançou uma nova versão com uma atualização do sistema de gerenciamento de risco. Quando os usuários acessam um DApp de terceiros e solicitam eth_sign para assinar mensagens, a carteira exibirá uma janela de aviso de risco, alertando os usuários de que a transação atual pode apresentar riscos potenciais, e iniciará uma contagem regressiva de 15 segundos. Essa configuração visa dar aos usuários tempo suficiente para avaliar a necessidade e a segurança da operação de assinatura.

Sugestões de segurança

Especialistas em segurança alertam os usuários em geral:

1. Mantenha uma vigilância elevada sobre todos os pedidos que utilizam eth_sign para assinatura, especialmente aqueles de fontes desconhecidas ou não confiáveis. Se houver dúvidas sobre a autenticidade ou o propósito do pedido, nunca assine facilmente.

2. Certifique-se de que as mensagens ou solicitações de transação que você está a tratar provêm de canais confiáveis, como o site oficial, redes sociais oficiais ou canais de comunicação verificados. Nunca confie em links, e-mails ou mensagens privadas de origem desconhecida.

3. Antes de realizar qualquer operação de assinatura, leia atentamente e compreenda o conteúdo da assinatura. Se não conseguir compreender completamente, é melhor procurar a ajuda de um profissional ou desistir da operação.

4. Atualize regularmente o seu software de carteira para garantir que você tenha as mais recentes medidas de segurança.

5. Considere usar carteiras de hardware e outros métodos de armazenamento mais seguros para proteger ativos de alto valor.

Através do aumento da vigilância, compreendendo os riscos potenciais e adotando as medidas de proteção adequadas, podemos proteger melhor os nossos ativos digitais e evitar sermos vítimas do esquema de assinatura cega eth_sign. No mundo da blockchain, a segurança é sempre um dos tópicos mais importantes.