- Tema
7k Popularidade
10k Popularidade
34k Popularidade
30k Popularidade
362 Popularidade
97k Popularidade
27k Popularidade
27k Popularidade
7k Popularidade
15k Popularidade
- Marcar
7k Popularidade
10k Popularidade
34k Popularidade
30k Popularidade
362 Popularidade
97k Popularidade
27k Popularidade
27k Popularidade
7k Popularidade
15k Popularidade
Atenção ao esquema de assinatura cega eth_sign: análise do princípio e guia de prevenção
Cuidado com o esquema de assinatura cega: princípios, métodos e medidas de prevenção
Recentemente, tem surgido frequentemente um lavar os olhos que utiliza a assinatura cega eth_sign, levando muitos usuários a serem induzidos a assinar assinaturas que parecem inofensivas em sites desconhecidos, resultando na perda de ativos nas carteiras. Para ajudar todos a entenderem melhor como funciona este lavar os olhos, precisamos primeiro entender a natureza da assinatura eth_sign.
Introdução à assinatura eth_sign
No ecossistema Ethereum, eth_sign é um método de assinatura amplamente utilizado, que permite aos usuários assinar mensagens com a chave privada. Este mecanismo de assinatura é uma parte fundamental das transações em blockchain, usado para provar que uma conta específica é a iniciadora da transação. Em termos simples, isso é semelhante a assinar um documento para indicar que você concorda ou apoia o conteúdo do documento.
No entanto, há um problema que pode ser facilmente ignorado no uso do eth_sign, conhecido como "assinatura cega". Quando os usuários utilizam o eth_sign para assinar uma mensagem, muitas vezes não conseguem compreender completamente o conteúdo que estão a assinar, nem validar o significado específico da assinatura de forma reversa. Isso ocorre porque a entrada do eth_sign é uma string bruta, e não um formato legível por humanos. É como assinar um contrato escrito numa língua desconhecida, daí o nome "assinatura cega".
Comuns lavar os olhos
Após entender o conceito de assinatura eth_sign e assinatura cega, podemos explorar os riscos potenciais e as medidas de prevenção.
Como o eth_sign pode ser usado para assinar vários tipos de mensagens, incluindo transações e instruções de contratos inteligentes, terceiros mal-intencionados podem induzir os usuários a assinar uma mensagem difícil de entender, resultando na transferência de ativos. Mais gravemente, eles podem fornecer uma mensagem que parece inofensiva para que o usuário assine, mas na verdade isso pode ser uma instrução de operação; uma vez assinada, os ativos do usuário serão transferidos para a conta do atacante.
Medidas de prevenção
Diante dessa situação, como devemos nos proteger? Uma carteira conhecida já atualizou seu sistema de controle de risco na nova versão. Quando os usuários chamam o eth_sign para assinar mensagens através de DApps de terceiros, a carteira exibe uma janela de aviso de risco, alertando os usuários de que a transação atual pode ter riscos potenciais, e inicia uma contagem regressiva de 15 segundos. Este design visa dar aos usuários tempo suficiente para avaliar a necessidade e a segurança da operação de assinatura.
Sugestões de segurança
Especialistas em segurança alertam a todos:
Mantenha-se alerta a todos os pedidos que exijam a assinatura eth_sign, especialmente aqueles de origem desconhecida ou não confiável. Se houver dúvidas sobre a autenticidade ou o propósito do pedido, nunca assine facilmente.
Certifique-se de que as mensagens ou pedidos de transação que está a tratar vêm de canais confiáveis, como o site oficial, redes sociais oficiais ou canais de comunicação verificados. Nunca confie em links, e-mails ou mensagens privadas de origem desconhecida.
Ao aumentar a vigilância e tomar medidas de segurança adequadas, podemos proteger melhor os nossos ativos digitais e evitar tornar-nos vítimas de lavar os olhos.