eth_sign замилювання очей: принцип, пастка та заходи запобігання

Останнім часом часто виникають пастки з盲签 eth_sign, багато користувачів на невідомих сайтах були введені в оману підписати, здавалося б, безпечний підпис eth_sign, що призвело до крадіжки активів з гаманців. Щоб допомогти всім краще зрозуміти механізм роботи цього замилювання очей, спочатку потрібно пояснити суть підпису eth_sign.

огляд підпису eth_sign

У екосистемі Ethereum, eth_sign є широко використовуваним методом підпису, який дозволяє користувачам підписувати повідомлення за допомогою приватного ключа. Ця механіка підпису є ключовим компонентом транзакцій у блокчейні, що використовується для підтвердження того, що певний рахунок є ініціатором транзакції. Простими словами, це схоже на підпис на папері, що вказує на вашу згоду або підтримку змісту документу.

Однак, під час використання eth_sign існує проблема, яку легко ігнорувати, а саме "сліпа підпис". Коли використовується eth_sign для підпису повідомлення, користувач може не зовсім розуміти зміст підпису та не може зворотно перевірити конкретне значення підпису. Це пов'язано з тим, що вхід eth_sign є сирими символами, а не у форматі, зрозумілому людині. Це схоже на підписання контракту, написаного незнайомою мовою, тому його також називають "сліпою підписю".

Загальні методи шахрайства

Зрозумівши концепції eth_sign підпису та сліпого підпису, ми можемо глибше дослідити потенційні ризики eth_sign та способи запобігання таким шахрайствам зі сліпими підписами.

Оскільки eth_sign може використовуватися для підписання різних типів повідомлень, включаючи транзакції та команди смарт-контрактів, зловмисники можуть спонукати користувачів підписати повідомлення, яке вони не зовсім розуміють, в результаті чого активи можуть бути переведені. Ще серйозніше, вони можуть надати, здавалося б, безпечне повідомлення для підпису користувача, але насправді це може бути команда дій, і після підписання активи користувача будуть переведені на рахунок нападника.

Заходи безпеки

У ситуації, що склалася, як ми повинні захистити себе? У зв'язку з такими шахрайськими діями нова версія відомого гаманця була оновлена в частині системи управління ризиками. Коли користувач відвідує сторонній DApp і викликає eth_sign для підписання повідомлення, гаманець відображає вікно попередження про ризики, що нагадує користувачу, що поточна транзакція може містити потенційні ризики, і запускає 15-секундна зворотний відлік. Такий дизайн має на меті дати користувачеві достатньо часу для оцінки необхідності та безпеки операції підписання.

Рекомендації з безпеки

Експерти з безпеки нагадують всім:

• Будьте надзвичайно обережні з усіма запитами, які вимагають підпису за допомогою eth_sign, особливо якщо запити походять з ненадійних або невідомих джерел. Якщо у вас є сумніви щодо справжності або мети запиту, ні в якому разі не підписуйте його.
• Переконайтесь, що оброблюване повідомлення або запит на транзакцію походить з надійних джерел, таких як офіційний веб-сайт, офіційні соціальні мережі або перевірені канали зв'язку. Ніколи не довіряйте підозрілим посиланням, електронним листам або особистим повідомленням.

Зрозумівши принципи та поширені методи замилювання очей eth_sign, а також вживаючи відповідних запобіжних заходів, ми можемо краще захистити свою цифрову власність. Під час виконання будь-якої операції підпису важливо зберігати пильність і обережність.