Осторожно, ловушка blind签 eth_sign: принципы, риски и меры защиты
Недавно случаи мошенничества с использованием слепых подписей eth_sign участились, многие пользователи, не подозревая об этом, подписали на подозрительных сайтах кажущиеся безобидными подписи eth_sign, что привело к кражам активов из кошельков. Чтобы помочь всем лучше понять этот метод мошенничества, нам нужно сначала разобраться в сущности подписей eth_sign.
Что такое eth_sign?
В экосистеме Ethereum eth_sign является широко используемым методом подписи, который позволяет пользователям подписывать сообщения с помощью приватного ключа. Эта механика является ключевой частью транзакций в блокчейне и может доказать, что конкретный аккаунт инициировал транзакцию. Проще говоря, это похоже на подпись на документе, что означает, что вы соглашаетесь или поддерживаете его содержание.
Однако в процессе использования eth_sign существует проблема, которую легко игнорировать, так называемая "слепая подпись". Когда вы используете eth_sign для подписи, вы, возможно, не полностью понимаете содержание подписи и не можете обратным образом проверить, что именно представляет подпись. Это происходит потому, что входные данные eth_sign являются сырыми символами, а не читаемым человеком форматом. Это похоже на подпись на контракте на иностранном языке, который вы не понимаете, именно поэтому его называют "слепой подписью".
Распространенные методы мошенничества
Поняв концепцию подписи eth_sign и слепой подписи, давайте углубимся в потенциальные риски eth_sign и способы предотвращения таких мошенничеств со слепой подписью.
Поскольку eth_sign может использоваться для подписания различных типов сообщений, включая транзакции и команды смарт-контрактов, злоумышленник может заставить вас подписать сообщение, которое вы не полностью понимаете, что может привести к передаче ваших активов. Что еще хуже, они могут дать вам сообщение, которое кажется безобидным, чтобы вы его подписали, но на самом деле это может быть команда, и как только вы подпишете, ваши активы будут переданы.
В условиях такой ситуации, как нам следует защищаться? В ответ на такие мошеннические действия, известный кошелек выпустил новую версию с обновленной системой управления рисками. Когда пользователь обращается к стороннему DApp для вызова eth_sign для подписания сообщения, кошелек предоставит всплывающее окно с предупреждением о рисках, информируя пользователя о том, что текущая транзакция может нести потенциальные риски, и запустит 15-секундный таймер ожидания. Такой дизайн предназначен для того, чтобы дать пользователю достаточно времени для оценки необходимости и безопасности операции подписи.
Рекомендации по безопасности
Команда безопасности напоминает всем:
Будьте осторожны с любыми запросами, которые требуют подписи с помощью eth_sign, особенно если они поступают из ненадежных или неизвестных источников. Если у вас есть сомнения в подлинности или цели запроса, ни в коем случае не подписывайте его.
Убедитесь, что обрабатываемые сообщения или запросы на транзакции поступают из надежных источников, таких как официальный веб-сайт, официальные социальные сети или проверенные каналы связи. Никогда не доверяйте ссылкам, письмам или личной информации из неизвестных источников.
Понимая, как работает подпись eth_sign и какие потенциальные риски она несет, а также принимая соответствующие меры предосторожности, мы можем лучше защитить безопасность своих цифровых активов. В мире блокчейна всегда лучшее защитное стратегие — это оставаться настороже и проявлять осторожность.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
11 Лайков
Награда
11
5
Репост
Поделиться
комментарий
0/400
HalfIsEmpty
· 12ч назад
Опять неудачники ждут, чтобы их разыграли как лохов~
Посмотреть ОригиналОтветить0
GasFeeNightmare
· 12ч назад
Подписывание контракта — это действительно опыт, который можно считать неудачным.
Посмотреть ОригиналОтветить0
GweiTooHigh
· 12ч назад
неудачники один за другим падают в яму, неужели вы в шоке?
Рост мошенничества с eth_sign: анализ принципов и руководство по защите
Осторожно, ловушка blind签 eth_sign: принципы, риски и меры защиты
Недавно случаи мошенничества с использованием слепых подписей eth_sign участились, многие пользователи, не подозревая об этом, подписали на подозрительных сайтах кажущиеся безобидными подписи eth_sign, что привело к кражам активов из кошельков. Чтобы помочь всем лучше понять этот метод мошенничества, нам нужно сначала разобраться в сущности подписей eth_sign.
Что такое eth_sign?
В экосистеме Ethereum eth_sign является широко используемым методом подписи, который позволяет пользователям подписывать сообщения с помощью приватного ключа. Эта механика является ключевой частью транзакций в блокчейне и может доказать, что конкретный аккаунт инициировал транзакцию. Проще говоря, это похоже на подпись на документе, что означает, что вы соглашаетесь или поддерживаете его содержание.
Однако в процессе использования eth_sign существует проблема, которую легко игнорировать, так называемая "слепая подпись". Когда вы используете eth_sign для подписи, вы, возможно, не полностью понимаете содержание подписи и не можете обратным образом проверить, что именно представляет подпись. Это происходит потому, что входные данные eth_sign являются сырыми символами, а не читаемым человеком форматом. Это похоже на подпись на контракте на иностранном языке, который вы не понимаете, именно поэтому его называют "слепой подписью".
Распространенные методы мошенничества
Поняв концепцию подписи eth_sign и слепой подписи, давайте углубимся в потенциальные риски eth_sign и способы предотвращения таких мошенничеств со слепой подписью.
Поскольку eth_sign может использоваться для подписания различных типов сообщений, включая транзакции и команды смарт-контрактов, злоумышленник может заставить вас подписать сообщение, которое вы не полностью понимаете, что может привести к передаче ваших активов. Что еще хуже, они могут дать вам сообщение, которое кажется безобидным, чтобы вы его подписали, но на самом деле это может быть команда, и как только вы подпишете, ваши активы будут переданы.
В условиях такой ситуации, как нам следует защищаться? В ответ на такие мошеннические действия, известный кошелек выпустил новую версию с обновленной системой управления рисками. Когда пользователь обращается к стороннему DApp для вызова eth_sign для подписания сообщения, кошелек предоставит всплывающее окно с предупреждением о рисках, информируя пользователя о том, что текущая транзакция может нести потенциальные риски, и запустит 15-секундный таймер ожидания. Такой дизайн предназначен для того, чтобы дать пользователю достаточно времени для оценки необходимости и безопасности операции подписи.
Рекомендации по безопасности
Команда безопасности напоминает всем:
Понимая, как работает подпись eth_sign и какие потенциальные риски она несет, а также принимая соответствующие меры предосторожности, мы можем лучше защитить безопасность своих цифровых активов. В мире блокчейна всегда лучшее защитное стратегие — это оставаться настороже и проявлять осторожность.