eth_sign сліпе підписання замилювання очей ризики: принцип, засоби та заходи запобігання
Останнім часом, активність шахрайств з використанням eth_sign стала частою, багато користувачів на деяких незнайомих сайтах були змушені підписувати на перший погляд безпечні eth_sign підписи, що призвело до крадіжки активів з їхніх гаманців. Щоб допомогти всім краще зрозуміти механізми роботи таких шахрайств, нам необхідно спочатку пояснити концепцію підпису eth_sign.
огляд підпису eth_sign
У екосистемі Ethereum eth_sign є широко вживаним методом підпису, який дозволяє користувачам підписувати повідомлення за допомогою приватного ключа. Цей механізм підпису є важливою складовою частиною транзакцій у блокчейні, оскільки може підтвердити, що конкретний обліковий запис є ініціатором транзакції. Простими словами, це схоже на підпис на паперовому документі, що вказує на вашу згоду або підтримку змісту документа.
Однак під час використання eth_sign існує проблема, яку легко ігнорувати, а саме так зване "сліпе підписання". Коли користувач підписує повідомлення за допомогою eth_sign, він може не повністю усвідомлювати зміст підпису і не може зворотно перевірити, що саме представляє підпис. Це пов'язано з тим, що вхідні дані eth_sign є сирим рядком, а не форматом, зрозумілим для людини. Це схоже на підписання контракту на незнайомій іноземній мові, і саме тому це називається "сліпе підписання".
Загальні методи шахрайства
Зрозумівши концепцію підпису eth_sign та сліпого підпису, ми можемо далі обговорити потенційні ризики eth_sign та способи запобігання таким шахрайствам зі сліпими підписами.
Оскільки eth_sign може використовуватися для підписання різних типів повідомлень, включаючи транзакції та команди смарт-контрактів, зловмисні треті особи можуть спонукати користувачів підписати повідомлення, яке вони не повністю розуміють, що може призвести до передачі активів. Ще серйозніше, вони можуть надати на вигляд безпечне повідомлення для підписання, але насправді це може бути команда дій, і як тільки підписано, активи користувача можуть бути передані на рахунок шахрая.
В умовах такої ситуації, як ми повинні захистити себе? Щоб запобігти таким шахрайським діям, певний відомий гаманць оновив свою версію, провівши оновлення системи управління ризиками. Коли користувач відвідує третій DApp і викликає eth_sign для підписання повідомлення, гаманець відкриває вікно попередження про ризик, повідомляючи користувача про те, що поточна транзакція може мати потенційні ризики, і запускає 15-секундний таймер охолодження. Такий дизайн має на меті надати користувачеві достатньо часу для оцінки необхідності та безпеки операції підписання.
Рекомендації щодо безпеки
Експерти з безпеки нагадують всім:
Будьте обережні з усіма запитами, які вимагають підпису за допомогою eth_sign, особливо з незнайомих або ненадійних джерел. Якщо у вас є сумніви щодо справжності або мети запиту, ні в якому разі не підписуйте його.
Забезпечте, щоб оброблюване повідомлення або запит на транзакцію надходили з надійних каналів, таких як офіційний веб-сайт, офіційні соціальні мережі або перевірені комунікаційні канали. Ніколи не вірте посиланням, електронним листам або приватним повідомленням з невідомим джерелом.
Підвищуючи пильність і зміцнюючи обізнаність про безпеку, ми можемо краще захистити свої цифрові активи та уникнути того, щоб стати жертвами замилювання очей eth_sign. У світі блокчейн безпека завжди є найважливішим фактором.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
9 лайків
Нагородити
9
8
Поділіться
Прокоментувати
0/400
BTCBeliefStation
· 07-19 19:45
Вже недостатньо вкраденого? Запам'ятайте на майбутнє.
Переглянути оригіналвідповісти на0
SchrodingerProfit
· 07-19 04:55
Підписуйтесь, якщо потрібно, вже звикли до втрат.
Переглянути оригіналвідповісти на0
StakeTillRetire
· 07-18 02:35
Зараз знову нові невдахи чекають, щоб їх обдурили, як лохів?
Переглянути оригіналвідповісти на0
OnlyOnMainnet
· 07-17 15:30
Знову ця стара схема замилювання очей? Вічно не можу захиститися.
Переглянути оригіналвідповісти на0
FlashLoanLarry
· 07-17 15:25
анон вчиться безпеці DeFi важким шляхом... класична гра з MEV honeypot, якщо чесно
Переглянути оригіналвідповісти на0
SchroedingerGas
· 07-17 15:22
невдахи ніколи не навчаться пам'ятати
Переглянути оригіналвідповісти на0
0xTherapist
· 07-17 15:15
Знову з'явилася нова точка обдурювання невдах.
Переглянути оригіналвідповісти на0
CryptoCrazyGF
· 07-17 15:05
Виявляється, невдахи найкраще обдурювати людей, як лохів.
eth_sign замилювання очей: аналіз принципу та посібник з протидії
eth_sign сліпе підписання замилювання очей ризики: принцип, засоби та заходи запобігання
Останнім часом, активність шахрайств з використанням eth_sign стала частою, багато користувачів на деяких незнайомих сайтах були змушені підписувати на перший погляд безпечні eth_sign підписи, що призвело до крадіжки активів з їхніх гаманців. Щоб допомогти всім краще зрозуміти механізми роботи таких шахрайств, нам необхідно спочатку пояснити концепцію підпису eth_sign.
огляд підпису eth_sign
У екосистемі Ethereum eth_sign є широко вживаним методом підпису, який дозволяє користувачам підписувати повідомлення за допомогою приватного ключа. Цей механізм підпису є важливою складовою частиною транзакцій у блокчейні, оскільки може підтвердити, що конкретний обліковий запис є ініціатором транзакції. Простими словами, це схоже на підпис на паперовому документі, що вказує на вашу згоду або підтримку змісту документа.
Однак під час використання eth_sign існує проблема, яку легко ігнорувати, а саме так зване "сліпе підписання". Коли користувач підписує повідомлення за допомогою eth_sign, він може не повністю усвідомлювати зміст підпису і не може зворотно перевірити, що саме представляє підпис. Це пов'язано з тим, що вхідні дані eth_sign є сирим рядком, а не форматом, зрозумілим для людини. Це схоже на підписання контракту на незнайомій іноземній мові, і саме тому це називається "сліпе підписання".
Загальні методи шахрайства
Зрозумівши концепцію підпису eth_sign та сліпого підпису, ми можемо далі обговорити потенційні ризики eth_sign та способи запобігання таким шахрайствам зі сліпими підписами.
Оскільки eth_sign може використовуватися для підписання різних типів повідомлень, включаючи транзакції та команди смарт-контрактів, зловмисні треті особи можуть спонукати користувачів підписати повідомлення, яке вони не повністю розуміють, що може призвести до передачі активів. Ще серйозніше, вони можуть надати на вигляд безпечне повідомлення для підписання, але насправді це може бути команда дій, і як тільки підписано, активи користувача можуть бути передані на рахунок шахрая.
В умовах такої ситуації, як ми повинні захистити себе? Щоб запобігти таким шахрайським діям, певний відомий гаманць оновив свою версію, провівши оновлення системи управління ризиками. Коли користувач відвідує третій DApp і викликає eth_sign для підписання повідомлення, гаманець відкриває вікно попередження про ризик, повідомляючи користувача про те, що поточна транзакція може мати потенційні ризики, і запускає 15-секундний таймер охолодження. Такий дизайн має на меті надати користувачеві достатньо часу для оцінки необхідності та безпеки операції підписання.
Рекомендації щодо безпеки
Експерти з безпеки нагадують всім:
Підвищуючи пильність і зміцнюючи обізнаність про безпеку, ми можемо краще захистити свої цифрові активи та уникнути того, щоб стати жертвами замилювання очей eth_sign. У світі блокчейн безпека завжди є найважливішим фактором.