- Тема
26k Популярность
57k Популярность
7k Популярность
16k Популярность
30k Популярность
2k Популярность
112k Популярность
26k Популярность
26k Популярность
7k Популярность
- Закрепить
26k Популярность
57k Популярность
7k Популярность
16k Популярность
30k Популярность
2k Популярность
112k Популярность
26k Популярность
26k Популярность
7k Популярность
Будьте осторожны с мошенничеством, связанным с blind signing eth_sign: анализ принципа и руководство по предотвращению
Будьте осторожны с промыванием глаз: принципы, методы и меры предосторожности
В последнее время часто появляются схемы промывания глаз, использующие blind签 eth_sign. Многие пользователи на незнакомых сайтах были вынуждены подписывать на вид безвредные подписи, что привело к потере активов в кошельках. Для того чтобы помочь всем лучше понять, как работают эти схемы промывания глаз, нам нужно сначала разобраться в сути подписи eth_sign.
Введение в подпись eth_sign
В экосистеме Ethereum eth_sign - это широко используемый метод подписи, который позволяет пользователям подписывать сообщения с помощью приватного ключа. Эта механика подписи является ключевым компонентом транзакций в блокчейне, используемым для подтверждения того, что конкретный аккаунт является инициатором транзакции. Проще говоря, это похоже на подпись на документе, чтобы показать, что вы согласны или поддерживаете содержание документа.
Однако в процессе использования eth_sign существует легко упускаемая проблема, называемая "слепой подписью". Когда пользователь использует eth_sign для подписи сообщения, он часто не может полностью понять, что именно он подписывает, и не может обратным образом проверить конкретное значение подписи. Это связано с тем, что входные данные eth_sign представляют собой исходную строку, а не читаемый человеком формат. Это похоже на подпись под контрактом, написанным на незнакомом языке, поэтому это называется "слепая подпись".
Распространенные промывание глаз методы
После того как мы поняли концепцию подписания eth_sign и слепой подписи, мы можем углубиться в их потенциальные риски и меры предосторожности.
Поскольку eth_sign может использоваться для подписания различных типов сообщений, включая транзакции и команды смарт-контрактов, злоумышленники могут заставить пользователей подписать сообщение, которое сложно понять, что приведет к перемещению активов. Более того, они могут предоставить сообщение, которое кажется безобидным, чтобы пользователь подписал его, но на самом деле это может быть команда для выполнения, и как только подпись будет дана, активы пользователя будут переведены на счет злоумышленника.
Меры предосторожности
В условиях такой ситуации, как мы можем защитить себя? Один известный кошелек обновил свою систему управления рисками в новой версии. Когда пользователи используют eth_sign через стороннее DApp для подписания сообщений, кошелек будет отображать окно предупреждения о рисках, информируя пользователей о том, что текущая транзакция может нести потенциальные риски, и начнет 15-секундный таймер охлаждения. Этот дизайн призван дать пользователям достаточно времени для оценки необходимости и безопасности операции подписания.
Рекомендации по безопасности
Эксперты по безопасности напоминают всем:
Будьте осторожны с любыми запросами, требующими подписи через eth_sign, особенно если они поступают из ненадежных или неизвестных источников. Если у вас есть сомнения относительно подлинности или цели запроса, никогда не подписывайте его без раздумий.
Убедитесь, что обрабатываемые сообщения или запросы на транзакции поступают из надежных источников, таких как официальный веб-сайт, официальные социальные сети или проверенные каналы связи. Никогда не доверяйте ссылкам, электронным письмам или личным сообщениям из ненадежных источников.
Повышая бдительность и принимая соответствующие меры безопасности, мы можем лучше защитить свои цифровые активы и избежать того, чтобы стать жертвой промывания глаз.