Стережіться замилювання очей: принцип, методи та заходи запобігання

Останнім часом часто з'являється схема замилювання очей, що використовує blind signing з eth_sign; багато користувачів на незнайомих веб-сайтах були змушені підписувати на перший погляд безпечні підписи, що призвело до втрати активів у гаманцях. Щоб допомогти всім краще зрозуміти, як працює ця схема, нам спочатку потрібно зрозуміти суть підпису eth_sign.

ознайомлення з підписом eth_sign

У екосистемі Ethereum eth_sign є широко використовуваним методом підпису, який дозволяє користувачам підписувати повідомлення за допомогою приватного ключа. Цей механізм підпису є ключовим компонентом блокчейн-транзакцій, що використовується для підтвердження того, що певний обліковий запис є ініціатором транзакції. Простими словами, це схоже на підписання документа, щоб підтвердити вашу згоду або підтримку змісту документа.

Однак, в процесі використання eth_sign існує проблема, яку легко ігнорувати, а саме так зване "сліпе підписання". Коли користувачі використовують eth_sign для підписання повідомлення, вони часто не можуть повністю зрозуміти зміст, який вони підписують, і не можуть зворотно перевірити конкретне значення підпису. Це пов'язано з тим, що вхідні дані eth_sign є сирим рядком, а не у форматі, зрозумілому людині. Це схоже на підписання контракту, написаного незнайомою мовою, тому це називається "сліпе підписання".

Загальні методи замилювання очей

Зрозумівши концепцію підпису eth_sign та сліпого підпису, ми можемо детально розглянути їх потенційні ризики та заходи запобігання.

Оскільки eth_sign можна використовувати для підписання різних типів повідомлень, включаючи транзакції та команди смарт-контрактів, зловмисні треті сторони можуть спонукати користувачів підписувати важко зрозумілі повідомлення, що призводить до переміщення активів. Ще гірше, вони можуть надати на перший погляд безпечне повідомлення для підписання користувачем, але насправді це може бути команда на виконання дій, і як тільки підпис буде поставлено, активи користувача будуть переведені на рахунок зловмисника.

Заходи запобігання

У цій ситуації як ми можемо захистити себе? Відомий гаманець оновив систему управління ризиками в новій версії. Коли користувач підписує повідомлення через eth_sign за допомогою сторонньої DApp, гаманець показує вікно попередження про ризики, що сповіщає користувача про можливі ризики поточної транзакції, і запускає 15-секундний таймер охолодження. Це рішення призначене для того, щоб надати користувачу достатньо часу для оцінки необхідності та безпеки підписування.

Рекомендації з безпеки

Експерти з безпеки нагадують всім:

1. Будьте обережні з усіма запитами, які вимагають підпису eth_sign, особливо з тих, що походять з ненадійних або невідомих джерел. Якщо у вас є сумніви щодо справжності або мети запиту, ніколи не підписуйте його без вагомих підстав.

2. Переконайтеся, що оброблені повідомлення або запити на транзакції надходять з надійних каналів, таких як офіційний веб-сайт, офіційні соціальні мережі або перевірені комунікаційні канали. Ніколи не вірте посиланням, електронним листам або особистій інформації з невідомих джерел.

Завдяки підвищенню пильності та вжиттю відповідних заходів безпеки, ми можемо краще захистити свої цифрові активи та уникнути того, щоб стати жертвами замилювання очей.