Méfiez-vous des eyewash de signature aveugle : principes, méthodes et mesures de prévention

Récemment, un eyewash utilisant eth_sign pour des signatures aveugles est apparu fréquemment, de nombreux utilisateurs étant induits en erreur pour signer des signatures apparemment inoffensives sur des sites web douteux, entraînant des pertes d'actifs dans leurs portefeuilles. Pour aider tout le monde à mieux comprendre le fonctionnement de cet eyewash, nous devons d'abord comprendre la nature de la signature eth_sign.

Introduction à la signature eth_sign

Dans l'écosystème Ethereum, eth_sign est une méthode de signature largement utilisée qui permet aux utilisateurs de signer des messages avec une clé privée. Ce mécanisme de signature est une composante clé des transactions sur la blockchain, utilisée pour prouver qu'un compte spécifique est l'initiateur de la transaction. En termes simples, cela ressemble à signer un document pour indiquer que vous acceptez ou soutenez le contenu du document.

Cependant, il existe un problème facilement négligé lors de l'utilisation d'eth_sign, à savoir ce qu'on appelle la "signature aveugle". Lorsque l'utilisateur utilise eth_sign pour signer un message, il ne comprend souvent pas complètement le contenu qu'il signe et ne peut pas vérifier le sens spécifique de la signature. Cela est dû au fait que l'entrée de eth_sign est une chaîne brute, et non un format lisible par l'homme. C'est comme signer un contrat rédigé dans une langue étrangère, d'où le terme "signature aveugle".

Méthodes de fraude courantes

Après avoir compris le concept de signature eth_sign et de signature aveugle, nous pouvons explorer en profondeur les risques potentiels et les mesures de prévention.

Étant donné que eth_sign peut être utilisé pour signer différents types de messages, y compris des transactions et des instructions de contrats intelligents, des tiers malveillants peuvent inciter les utilisateurs à signer un message difficile à comprendre, entraînant ainsi le transfert d'actifs. Plus grave encore, ils peuvent fournir un message apparemment inoffensif pour que l'utilisateur le signe, mais en réalité, cela peut être une instruction d'opération, et une fois signée, les actifs de l'utilisateur seront transférés au compte de l'attaquant.

Mesures de prévention

Face à cette situation, comment devrions-nous nous protéger ? Un portefeuille bien connu a mis à jour son système de gestion des risques dans sa nouvelle version. Lorsque les utilisateurs appellent eth_sign pour signer un message via un DApp tiers, le portefeuille affichera une fenêtre d'avertissement sur les risques, informant l'utilisateur que la transaction actuelle peut présenter des risques potentiels, et déclenche un compte à rebours de 15 secondes. Cette conception vise à donner aux utilisateurs suffisamment de temps pour évaluer la nécessité et la sécurité de l'opération de signature.

Conseils de sécurité

Les experts en sécurité rappellent à tous :

1. Restez vigilant face à toutes les demandes nécessitant une signature avec eth_sign, en particulier celles provenant de sources inconnues ou non fiables. Si vous avez des doutes sur l'authenticité ou l'objectif de la demande, ne signez jamais à la légère.

2. Assurez-vous que les messages ou demandes de transaction traités proviennent de canaux fiables, tels que le site officiel, les réseaux sociaux officiels ou des canaux de communication vérifiés. Ne croyez jamais les liens, courriels ou informations privées d'origine inconnue.

En restant vigilant et en prenant des mesures de sécurité appropriées, nous pouvons mieux protéger nos actifs numériques et éviter de devenir des victimes d'eyewash.