eth_sign промывание глаз: принцип, ловушка и меры предосторожности

В последнее время часто появляются мошенничества с blind signing через eth_sign, и многие пользователи на непонятных сайтах были соблазнены подписать казалось бы безобидные подписи eth_sign, что привело к краже активов из кошельков. Чтобы помочь всем лучше понять механизм работы этого мошенничества, нам нужно сначала объяснить суть подписи eth_sign.

eth_sign Обзор подписи

В экосистеме эфириума eth_sign является широко используемым методом подписи, который позволяет пользователям подписывать сообщения с помощью закрытого ключа. Этот механизм подписи является ключевым компонентом блокчейн-транзакций и используется для подтверждения того, что конкретный аккаунт является инициатором транзакции. Проще говоря, это похоже на подпись на бумаге, которая означает, что вы соглашаетесь с содержанием документа.

Однако в процессе использования eth_sign существует одна проблема, которую легко игнорировать, а именно так называемая "слепая подпись". Когда используется eth_sign для подписи сообщения, пользователь может не полностью понимать содержание подписи и не может обратным образом проверить конкретное значение подписи. Это связано с тем, что ввод eth_sign - это исходные символы, а не формат, удобный для чтения человеком. Это похоже на подписание контракта, написанного на незнакомом языке, именно поэтому это называется "слепая подпись".

Распространенные методы мошенничества

Поняв концепцию подписи eth_sign и слепой подписи, мы можем углубиться в потенциальные риски eth_sign и в то, как предотвратить такие мошенничества со слепыми подписями.

Поскольку eth_sign может использоваться для подписания различных типов сообщений, включая транзакции и инструкции смарт-контрактов, злоумышленники могут заставить пользователей подписывать сообщение, которое они не совсем понимают, что может привести к передаче активов. Более того, они могут предоставить сообщение, которое на первый взгляд выглядит безобидным, чтобы заставить пользователя подписать его, но на самом деле это может быть команда, и как только подпись будет поставлена, активы пользователя будут переведены на счет злоумышленника.

Меры предосторожности

Как нам защитить себя в такой ситуации? В связи с такими мошенническими действиями, новая версия известного кошелька обновила систему управления рисками. Когда пользователи обращаются к стороннему DApp для вызова eth_sign для подписи сообщения, кошелек будет отображать окно предупреждения о рисках, информируя пользователей о том, что текущая транзакция может представлять потенциальный риск, и запускается 15-секундный таймер охлаждения. Такой дизайн предназначен для того, чтобы дать пользователям достаточно времени для оценки необходимости и безопасности операции подписи.

Рекомендации по безопасности

Эксперты по безопасности напоминают всем:

• Будьте крайне осторожны с любыми запросами, требующими подписи с помощью eth_sign, особенно если они поступают из неизвестных или ненадежных источников. Если у вас есть сомнения относительно подлинности или цели запроса, никогда не подписывайте его легкомысленно.
• Убедитесь, что сообщения или запросы на транзакции поступают из надежных источников, таких как официальные веб-сайты, официальные социальные сети или проверенные каналы связи. Никогда не доверяйте неизвестным ссылкам, электронным письмам или личным сообщениям.

Понимая принципы и распространенные методы промывания глаз, связанные с blind signing eth_sign, и принимая соответствующие меры предосторожности, мы можем лучше защитить безопасность наших цифровых активов. Важно оставаться бдительными и осторожными при выполнении любых операций подписания.