Alerta sobre el Lavado de ojos: principios, métodos y medidas de prevención
Recientemente, ha aparecido con frecuencia un Lavado de ojos que utiliza el blind signing de eth_sign, muchos usuarios han sido inducidos a firmar firmas aparentemente inofensivas en sitios web desconocidos, lo que ha llevado a la pérdida de activos en sus billeteras. Para ayudar a todos a comprender mejor cómo funciona este Lavado de ojos, primero necesitamos entender la naturaleza de la firma eth_sign.
Introducción a eth_sign
En el ecosistema de Ethereum, eth_sign es un método de firma ampliamente utilizado que permite a los usuarios firmar mensajes con su clave privada. Este mecanismo de firma es una parte clave de las transacciones en la blockchain, utilizado para demostrar que una cuenta específica es la originadora de la transacción. En términos simples, esto es similar a firmar un documento para indicar que estás de acuerdo o apoyas el contenido del mismo.
Sin embargo, hay un problema que a menudo se pasa por alto en el uso de eth_sign, conocido como "firma ciega". Cuando los usuarios firman un mensaje con eth_sign, a menudo no pueden comprender completamente el contenido que están firmando, ni verificar de manera inversa el significado específico de la firma. Esto se debe a que la entrada de eth_sign es una cadena en bruto, y no un formato legible por humanos. Es como firmar un contrato escrito en un idioma desconocido, por lo que se le llama "firma ciega".
Métodos comunes de Lavado de ojos
Una vez que entendemos el concepto de la firma eth_sign y la firma ciega, podemos profundizar en sus riesgos potenciales y las medidas de prevención.
Debido a que eth_sign se puede utilizar para firmar varios tipos de mensajes, incluidas transacciones e instrucciones de contratos inteligentes, un tercero malintencionado podría inducir al usuario a firmar un mensaje que es difícil de entender, lo que podría resultar en la transferencia de activos. Más grave aún, podrían proporcionar un mensaje que parece inofensivo para que el usuario firme, pero en realidad podría ser una instrucción de operación; una vez firmada, los activos del usuario se transferirían a la cuenta del atacante.
Medidas de prevención
¿Cómo debemos protegernos ante esta situación? Una conocida billetera ha actualizado su sistema de gestión de riesgos en la nueva versión. Cuando los usuarios llaman a eth_sign a través de una DApp de terceros para firmar un mensaje, la billetera mostrará una ventana de advertencia de riesgo, informando a los usuarios que la transacción actual puede tener riesgos potenciales y comenzará una cuenta regresiva de 15 segundos. Este diseño tiene como objetivo dar a los usuarios suficiente tiempo para evaluar la necesidad y la seguridad de la operación de firma.
Sugerencias de seguridad
Los expertos en seguridad recuerdan a todos:
Mantén la vigilancia sobre todas las solicitudes que requieren la firma eth_sign, especialmente aquellas de origen desconocido o no confiable. Si tienes dudas sobre la autenticidad o el propósito de la solicitud, nunca firmes sin pensarlo dos veces.
Asegúrese de que los mensajes o solicitudes de transacciones que maneje provengan de canales de confianza, como el sitio web oficial, redes sociales oficiales o canales de comunicación verificados. Nunca confíe en enlaces, correos electrónicos o mensajes privados de origen desconocido.
A través de mantener la vigilancia y tomar las medidas de seguridad adecuadas, podemos proteger mejor nuestros activos digitales y evitar convertirnos en víctimas del Lavado de ojos.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
14 me gusta
Recompensa
14
5
Compartir
Comentar
0/400
EthSandwichHero
· 07-13 21:42
Ay, en pocas palabras, hay demasiados tontos.
Ver originalesResponder0
NftDeepBreather
· 07-12 17:04
Después de ser engañado, todavía tengo miedo.
Ver originalesResponder0
VCsSuckMyLiquidity
· 07-12 16:59
Esto también necesita ser firmado, jeje.
Ver originalesResponder0
blockBoy
· 07-12 16:51
Firmar y caer, hablemos cuando se pierda la billetera.
Cuidado con el lavado de ojos eth_sign: análisis de principios y guía de prevención
Alerta sobre el Lavado de ojos: principios, métodos y medidas de prevención
Recientemente, ha aparecido con frecuencia un Lavado de ojos que utiliza el blind signing de eth_sign, muchos usuarios han sido inducidos a firmar firmas aparentemente inofensivas en sitios web desconocidos, lo que ha llevado a la pérdida de activos en sus billeteras. Para ayudar a todos a comprender mejor cómo funciona este Lavado de ojos, primero necesitamos entender la naturaleza de la firma eth_sign.
Introducción a eth_sign
En el ecosistema de Ethereum, eth_sign es un método de firma ampliamente utilizado que permite a los usuarios firmar mensajes con su clave privada. Este mecanismo de firma es una parte clave de las transacciones en la blockchain, utilizado para demostrar que una cuenta específica es la originadora de la transacción. En términos simples, esto es similar a firmar un documento para indicar que estás de acuerdo o apoyas el contenido del mismo.
Sin embargo, hay un problema que a menudo se pasa por alto en el uso de eth_sign, conocido como "firma ciega". Cuando los usuarios firman un mensaje con eth_sign, a menudo no pueden comprender completamente el contenido que están firmando, ni verificar de manera inversa el significado específico de la firma. Esto se debe a que la entrada de eth_sign es una cadena en bruto, y no un formato legible por humanos. Es como firmar un contrato escrito en un idioma desconocido, por lo que se le llama "firma ciega".
Métodos comunes de Lavado de ojos
Una vez que entendemos el concepto de la firma eth_sign y la firma ciega, podemos profundizar en sus riesgos potenciales y las medidas de prevención.
Debido a que eth_sign se puede utilizar para firmar varios tipos de mensajes, incluidas transacciones e instrucciones de contratos inteligentes, un tercero malintencionado podría inducir al usuario a firmar un mensaje que es difícil de entender, lo que podría resultar en la transferencia de activos. Más grave aún, podrían proporcionar un mensaje que parece inofensivo para que el usuario firme, pero en realidad podría ser una instrucción de operación; una vez firmada, los activos del usuario se transferirían a la cuenta del atacante.
Medidas de prevención
¿Cómo debemos protegernos ante esta situación? Una conocida billetera ha actualizado su sistema de gestión de riesgos en la nueva versión. Cuando los usuarios llaman a eth_sign a través de una DApp de terceros para firmar un mensaje, la billetera mostrará una ventana de advertencia de riesgo, informando a los usuarios que la transacción actual puede tener riesgos potenciales y comenzará una cuenta regresiva de 15 segundos. Este diseño tiene como objetivo dar a los usuarios suficiente tiempo para evaluar la necesidad y la seguridad de la operación de firma.
Sugerencias de seguridad
Los expertos en seguridad recuerdan a todos:
Mantén la vigilancia sobre todas las solicitudes que requieren la firma eth_sign, especialmente aquellas de origen desconocido o no confiable. Si tienes dudas sobre la autenticidad o el propósito de la solicitud, nunca firmes sin pensarlo dos veces.
Asegúrese de que los mensajes o solicitudes de transacciones que maneje provengan de canales de confianza, como el sitio web oficial, redes sociales oficiales o canales de comunicación verificados. Nunca confíe en enlaces, correos electrónicos o mensajes privados de origen desconocido.
A través de mantener la vigilancia y tomar las medidas de seguridad adecuadas, podemos proteger mejor nuestros activos digitales y evitar convertirnos en víctimas del Lavado de ojos.