Riscos de segurança e medidas de prevenção da assinatura cega eth_sign

Recentemente, uma técnica de fraude que utiliza a assinatura cega eth_sign tornou-se cada vez mais comum. Muitos usuários, sem saber, foram induzidos a assinar assinaturas eth_sign aparentemente inofensivas em alguns sites suspeitos, resultando no roubo de ativos em suas carteiras. Para ajudar todos a entender melhor o mecanismo de operação dessa técnica de fraude, é necessário explicar primeiro a essência da assinatura eth_sign.

A essência da assinatura eth_sign

No ecossistema Ethereum, eth_sign é um método de assinatura amplamente utilizado. Ele permite que os usuários assinem informações usando sua chave privada. Este mecanismo de assinatura é uma parte fundamental das transações em blockchain, pois pode provar que uma conta específica é a originadora da transação. Simplificando, é como assinar um documento, indicando que você reconhece ou apoia o conteúdo do documento.

No entanto, existe um problema que pode ser facilmente ignorado durante o uso do eth_sign, conhecido como "assinatura cega". Quando você usa o eth_sign para assinar informações, pode não compreender totalmente o que está assinando, e não consegue verificar o que essa assinatura representa. Isso acontece porque a entrada do eth_sign é uma string bruta, e não um formato legível por humanos. É como assinar um contrato escrito em uma língua que você não entende, e é por isso que é chamado de "assinatura cega".

Métodos comuns de fraude

Após entender os conceitos de assinatura eth_sign e assinatura cega, podemos explorar os potenciais riscos da eth_sign e como prevenir fraudes desse tipo de assinatura cega.

Como eth_sign pode ser usado para assinar qualquer tipo de mensagem, incluindo transações e instruções de contratos inteligentes, terceiros maliciosos podem induzi-lo a assinar uma mensagem que você não compreende completamente, resultando na transferência de seus ativos para as contas deles. Mais grave ainda, eles podem lhe enviar uma mensagem que parece inofensiva para você assinar, mas na verdade, essa mensagem pode ser uma instrução de operação; uma vez que você assine, seus ativos serão transferidos para as contas deles.

Diante dessa situação, como devemos nos proteger? Em resposta a esse tipo de fraude, uma conhecida carteira lançou uma nova versão com uma atualização do sistema de gerenciamento de riscos. Quando os usuários acessam um DApp de terceiros e chamam eth_sign para assinar mensagens, a carteira exibirá uma janela de alerta de risco, informando que a transação atual pode ter riscos potenciais, e iniciará uma contagem regressiva de 15 segundos. Essa configuração visa dar aos usuários tempo suficiente para avaliar a necessidade e a segurança da operação de assinatura.

Sugestões de Segurança

Os especialistas em segurança lembram a todos:

• Mantenha uma vigilância elevada sobre todos os pedidos que utilizam a assinatura eth_sign, especialmente aqueles de origem desconhecida ou não confiável. Se houver dúvidas sobre a autenticidade ou o propósito do pedido, nunca assine facilmente.
• Certifique-se de que as mensagens ou solicitações de transação que está a tratar provêm de canais confiáveis, como o site oficial, redes sociais oficiais ou canais de comunicação verificados. Nunca confie em links, e-mails ou informações pessoais de origem desconhecida.

Ao aumentar a vigilância e a consciência de segurança, podemos proteger melhor os nossos ativos digitais e evitar tornar-nos vítimas de fraudes de assinatura cega eth_sign. Antes de realizar qualquer operação de assinatura, verifique cuidadosamente as informações para garantir que está seguro.