eth_sign lavar os olhos: princípio, armadilha e medidas de prevenção

Recentemente, os esquemas de lavagem os olhos de assinatura cega eth_sign têm aparecido com frequência, e muitos usuários foram induzidos a assinar assinaturas eth_sign aparentemente inofensivas em sites desconhecidos, resultando no roubo dos ativos das carteiras. Para ajudar todos a entender melhor como funciona esse esquema, precisamos primeiro explicar a essência da assinatura eth_sign.

visão geral da assinatura eth_sign

No ecossistema Ethereum, eth_sign é um método de assinatura amplamente utilizado, que permite aos usuários assinar mensagens com a sua chave privada. Este mecanismo de assinatura é uma parte fundamental das transações em blockchain, utilizado para provar que uma conta específica é a iniciadora da transação. Simplificando, é como assinar em papel, indicando que você concorda ou apoia o conteúdo do documento.

No entanto, existe um problema que pode ser facilmente ignorado durante o uso do eth_sign, conhecido como "assinatura cega". Quando se assina uma mensagem com eth_sign, o usuário pode não entender completamente o conteúdo da assinatura e não consegue verificar o significado específico da assinatura. Isso ocorre porque a entrada do eth_sign é uma sequência de caracteres brutos, e não um formato legível por humanos. É como assinar um contrato escrito em uma língua desconhecida, e é por isso que é chamado de "assinatura cega".

Métodos comuns de lavagem dos olhos

Após compreender os conceitos de assinatura eth_sign e assinatura cega, podemos explorar os potenciais riscos do eth_sign e como prevenir fraudes desse tipo de assinatura cega.

Como eth_sign pode ser usado para assinar vários tipos de mensagens, incluindo transações e instruções de contratos inteligentes, partes maliciosas podem induzir os usuários a assinar uma mensagem que eles não entendem completamente, resultando na transferência de ativos. Mais grave ainda, eles podem fornecer uma mensagem aparentemente inofensiva para o usuário assinar, mas na verdade isso pode ser uma instrução de operação; uma vez assinada, os ativos do usuário serão transferidos para a conta do atacante.

Medidas de prevenção

Diante dessa situação, como devemos nos proteger? Em resposta a esse tipo de lavagem os olhos, uma nova versão de uma carteira conhecida fez uma atualização no sistema de gestão de riscos. Quando os usuários acessam DApps de terceiros e chamam eth_sign para assinar mensagens, a carteira irá exibir uma janela de alerta de risco, informando aos usuários que a transação atual pode ter riscos potenciais, e iniciará uma contagem regressiva de 15 segundos. Esse design visa dar aos usuários tempo suficiente para avaliar a necessidade e a segurança da operação de assinatura.

Sugestões de Segurança

Os especialistas em segurança alertam a todos:

• Mantenha uma alta vigilância sobre todos os pedidos que utilizam eth_sign para assinatura, especialmente aqueles de origem desconhecida ou não confiável. Se houver dúvidas sobre a autenticidade ou o propósito do pedido, nunca assine levianamente.
• Assegure-se de que as mensagens ou pedidos de transação que está a processar provêm de canais de confiança, como o site oficial, redes sociais oficiais ou canais de comunicação verificados. Nunca confie em links, e-mails ou mensagens privadas de origem desconhecida.

Ao entender os princípios e métodos comuns da armadilha de assinatura cega eth_sign, e ao tomar as devidas precauções, podemos proteger melhor a segurança dos nossos ativos digitais. É fundamental manter-se alerta e cauteloso ao realizar qualquer operação de assinatura.