Остерігайтеся безпекових ризиків, пов'язаних із підписом eth_sign: принцип, поширені замилювання очей та заходи захисту

Останнім часом пов’язані з eth_sign підписи шахрайства відбуваються з великою частотою, і багато користувачів, не знаючи цього, підписали на деяких сайтах на перший погляд безпечні eth_sign підписи, що призвело до втрати активів у гаманцях. Щоб допомогти всім краще зрозуміти механізм роботи таких шахрайств, нам слід спочатку пояснити суть eth_sign підписів.

суть підпису eth_sign

У екосистемі Ethereum, eth_sign є широко використовуваним методом підпису, який дозволяє користувачам підписувати певні повідомлення за допомогою приватного ключа. Цей механізм підпису є важливою частиною транзакцій у блокчейні, оскільки він може підтвердити, що певний рахунок є ініціатором транзакції. Простими словами, це схоже на підпис на документі, що свідчить про вашу згоду або підтримку змісту документа.

Однак під час використання eth_sign існує проблема, яка може бути легко проігнорована, а саме так зване "сліпе підписання". Коли користувачі підписують повідомлення за допомогою eth_sign, вони часто не можуть повністю зрозуміти, що саме підписується, і не можуть перевірити, що конкретно представляє підпис. Це пов'язано з тим, що вхідні дані eth_sign є сирим рядком, а не форматом, зрозумілим людині. Це можна порівняти з підписанням контракту, написаного незнайомою мовою, і саме тому це називається "сліпе підписання".

Загальні методи замилювання очей

Зрозумівши концепції підпису eth_sign і сліпого підпису, ми можемо далі обговорити потенційні ризики eth_sign та способи запобігання таким шахрайствам зі сліпим підписом.

Оскільки eth_sign може використовуватися для підписання різних типів повідомлень, включаючи транзакції та команди смарт-контрактів, зловмисні треті сторони можуть спонукати користувачів підписати повідомлення, зміст якого вони не зовсім розуміють, що може призвести до передачі активів. Ще серйозніше, вони можуть надати на перший погляд безпечне повідомлення для підписання, але насправді це повідомлення може бути командою, і як тільки його підпишуть, активи користувача можуть бути передані на рахунок зловмисника.

У цій ситуації, як ми повинні захиститися? Для запобігання таким шахрайським діям, певний відомий гаманець оновив свою версію з покращенням системи управління ризиками. Коли користувачі відвідують третій DApp для виклику eth_sign для підписання повідомлень, гаманець надає сповіщення про ризики, попереджаючи користувача, що поточна транзакція може містити потенційні ризики, і запускає 15-секундний таймер охолодження. Ці налаштування покликані надати користувачу достатньо часу для оцінки необхідності та безпечності підпису.

Рекомендації з безпеки

Експерти з безпеки нагадують користувачам:

1. Будьте особливо обережні з усіма запитами, які вимагають підпису за допомогою eth_sign, особливо якщо запити походять з невідомих або ненадійних джерел. Якщо у вас є сумніви щодо достовірності або мети запиту, ніколи не підписуйте його легковажно.

2. Переконайтеся, що оброблені повідомлення або запити на транзакції надходять з надійних каналів, таких як офіційний веб-сайт, офіційні соціальні мережі або перевірені комунікаційні канали. Ніколи не довіряйте посиланням, електронним листам або приватним повідомленням з ненадійних джерел.

3. Перед виконанням будь-якої підписної операції уважно прочитайте та зрозумійте зміст підпису. Якщо ви не можете повністю зрозуміти, краще звернутися за допомогою до професіоналів або просто відмовитися від цієї операції.

4. Регулярно оновлюйте своє програмне забезпечення гаманця, щоб забезпечити отримання останніх заходів безпеки.

5. Розгляньте можливість використання апаратних гаманців та інших більш безпечних способів зберігання для захисту активів високої вартості.

Завдяки підвищенню пильності, розумінню потенційних ризиків та вжиттю відповідних заходів захисту, ми можемо краще захистити свої цифрові активи та уникнути того, щоб стати жертвою афери eth_sign. У світі блокчейн безпека завжди є однією з найважливіших тем.