Безопасные риски и меры предосторожности при слепой подписи eth_sign

В последнее время метод мошенничества, использующий слепую подпись eth_sign, становится все более распространенным. Многие пользователи, не подозревая об этом, были вынуждены подписывать, казалось бы, безобидные подписи eth_sign на некоторых подозрительных сайтах, в результате чего их активы были украдены из кошельков. Чтобы помочь всем лучше понять механизм работы этого мошеннического метода, нам необходимо сначала объяснить суть подписи eth_sign.

Суть подписи eth_sign

В экосистеме Ethereum eth_sign является широко используемым методом подписи. Он позволяет пользователям использовать закрытый ключ для подписания информации. Этот механизм подписи является ключевым элементом блокчейн-транзакций, поскольку он может доказать, что конкретный аккаунт является инициатором транзакции. Проще говоря, это похоже на подпись на документе, что означает, что вы одобряете или поддерживаете содержание документа.

Однако в процессе использования eth_sign существует легко упускаемая проблема, так называемая "слепая подпись". Когда вы используете eth_sign для подписи информации, вы, возможно, не полностью понимаете, что вы подписываете, и не можете обратным образом проверить, что именно представляет эта подпись. Это связано с тем, что входные данные eth_sign — это необработанная строка, а не формат, читаемый человеком. Это похоже на то, как если бы вы подписали контракт, написанный на языке, который вы не понимаете, и именно поэтому это называется "слепая подпись".

Распространенные методы мошенничества

Понимая концепцию подписания eth_sign и слепых подписей, мы можем дополнительно обсудить потенциальные риски eth_sign и способы предотвращения мошенничества с такими слепыми подписями.

Поскольку eth_sign можно использовать для подписания любых типов сообщений, включая транзакции и инструкции смарт-контрактов, злоумышленники могут заставить вас подписать сообщение, которое вы не полностью понимаете, что может привести к переводу ваших активов на их счета. Более того, они могут предоставить вам сообщение, которое кажется безобидным, чтобы вы его подписали, но на самом деле это может быть операционная инструкция, и как только вы подпишете, ваши активы будут переведены на их счета.

В условиях такой ситуации, как нам следует защищаться? В связи с такими мошенническими действиями новая версия известного кошелька прошла обновление системы управления рисками. Когда пользователи обращаются к стороннему DApp для подписи сообщений с помощью eth_sign, кошелек выдает всплывающее окно с предупреждением о риске, уведомляя пользователя о том, что текущая транзакция может иметь потенциальный риск, и запускает 15-секундный таймер ожидания. Такая настройка предназначена для того, чтобы предоставить пользователю достаточно времени для оценки необходимости и безопасности операции подписи.

Рекомендации по безопасности

Эксперты по безопасности напоминают всем:

• Будьте особенно осторожны с запросами, которые требуют подписи с помощью eth_sign, особенно если они поступают из неизвестных или ненадежных источников. Если у вас есть сомнения в подлинности или цели запроса, ни в коем случае не подписывайте его.
• Убедитесь, что обрабатываемые сообщения или запросы на транзакции поступают из надежных источников, таких как официальные веб-сайты, официальные социальные сети или подтвержденные каналы связи. Никогда не доверяйте ссылкам, письмам или личным сообщениям из ненадежных источников.

Повышая бдительность и укрепляя осознание безопасности, мы можем лучше защитить свои цифровые активы и избежать того, чтобы стать жертвой мошенничества через слепую подпись eth_sign. Перед выполнением любых операций с подписями обязательно тщательно проверяйте информацию, чтобы обеспечить безопасность.