Обережно, пастка сліпого підпису eth_sign: принцип, ризики та заходи захисту
Нещодавно випадки шахрайства з використанням eth_sign стали поширеними, багато користувачів, не підозрюючи про небезпеку, підписували на підозрілих сайтах здавалося б безпечні підписи eth_sign, внаслідок чого їхні гаманці були вкрадені. Щоб допомогти всім краще зрозуміти цей метод шахрайства, спочатку потрібно зрозуміти суть підпису eth_sign.
що таке підпис eth_sign
У екосистемі Ethereum eth_sign є широко використовуваним методом підпису, що дозволяє користувачам підписувати повідомлення за допомогою приватного ключа. Ця механіка є ключовою частиною блокчейн-транзакцій і може підтвердити, що певний обліковий запис ініціював транзакцію. Простими словами, це схоже на підпис на документі, що означає, що ви погоджуєтеся або підтримуєте його зміст.
Однак, під час використання eth_sign існує одна проблема, яку легко проігнорувати, а саме "сліпа підпис". Коли ви використовуєте eth_sign для підпису, ви, можливо, не зовсім розумієте вміст підпису і не можете перевірити, що конкретно представляє підпис. Це пов'язано з тим, що вхідні дані eth_sign є сирими символами, а не зрозумілим для людини форматом. Це схоже на підписання контракту на іноземній мові, яку ви не розумієте, ось чому це називається "сліпа підпис".
Поширені шахрайські методи
Після того, як ми зрозуміли концепцію підпису eth_sign та сліпого підпису, давайте глибше розглянемо потенційні ризики eth_sign та способи запобігання таким шахрайствам зі сліпими підписами.
Оскільки eth_sign може бути використаний для підписання різних типів повідомлень, включаючи транзакції та команди смарт-контрактів, зловмисна сторона може спонукати вас підписати повідомлення, яке ви не зовсім розумієте, що призводить до переміщення ваших активів. Ще гірше, вони можуть надати вам на вигляд нешкідливе повідомлення для підписання, але насправді це може бути команда, і як тільки ви підпишете, ваші активи будуть переміщені.
В умовах такої ситуації, як ми повинні захищатися? У зв'язку з такими шахрайськими діями, один відомий гаманець оновив свою версію, покращивши систему управління ризиками. Коли користувачі відвідують сторонній DApp для підписання повідомлення за допомогою eth_sign, гаманець надає сповіщення про ризики, попереджаючи користувача, що поточна угода може містити потенційні ризики, і запускає 15-секундний таймер охолодження. Такий дизайн має на меті дати користувачам достатньо часу для оцінки необхідності та безпеки операції підписання.
Рекомендації з безпеки
Команда безпеки нагадує всім:
Будьте обережні до всіх запитів, що вимагають підпису за допомогою eth_sign, особливо якщо запит походить з ненадійного або невідомого джерела. Якщо ви сумніваєтеся в автентичності або меті запиту, ні в якому разі не підписуйте його легковажно.
Переконайтеся, що оброблені повідомлення або запити на транзакції надходять з надійних джерел, таких як офіційний веб-сайт, офіційні соціальні мережі або перевірені канали зв'язку. Ніколи не довіряйте посиланням, електронним листам або особистій інформації з невідомих джерел.
Зрозумівши, як працює підпис eth_sign і які його потенційні ризики, а також вживаючи відповідних заходів захисту, ми можемо краще захистити свої цифрові активи. У світі блокчейну завжди найкращою стратегією захисту є залишатися насторожі та обережними.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
11 лайків
Нагородити
11
5
Репост
Поділіться
Прокоментувати
0/400
HalfIsEmpty
· 23год тому
Ще одна хвиля невдах чекає, щоб їх обдурили, як лохів~
зростання шахрайства з етики підпису: аналіз принципів та посібник з захисту
Обережно, пастка сліпого підпису eth_sign: принцип, ризики та заходи захисту
Нещодавно випадки шахрайства з використанням eth_sign стали поширеними, багато користувачів, не підозрюючи про небезпеку, підписували на підозрілих сайтах здавалося б безпечні підписи eth_sign, внаслідок чого їхні гаманці були вкрадені. Щоб допомогти всім краще зрозуміти цей метод шахрайства, спочатку потрібно зрозуміти суть підпису eth_sign.
що таке підпис eth_sign
У екосистемі Ethereum eth_sign є широко використовуваним методом підпису, що дозволяє користувачам підписувати повідомлення за допомогою приватного ключа. Ця механіка є ключовою частиною блокчейн-транзакцій і може підтвердити, що певний обліковий запис ініціював транзакцію. Простими словами, це схоже на підпис на документі, що означає, що ви погоджуєтеся або підтримуєте його зміст.
Однак, під час використання eth_sign існує одна проблема, яку легко проігнорувати, а саме "сліпа підпис". Коли ви використовуєте eth_sign для підпису, ви, можливо, не зовсім розумієте вміст підпису і не можете перевірити, що конкретно представляє підпис. Це пов'язано з тим, що вхідні дані eth_sign є сирими символами, а не зрозумілим для людини форматом. Це схоже на підписання контракту на іноземній мові, яку ви не розумієте, ось чому це називається "сліпа підпис".
Поширені шахрайські методи
Після того, як ми зрозуміли концепцію підпису eth_sign та сліпого підпису, давайте глибше розглянемо потенційні ризики eth_sign та способи запобігання таким шахрайствам зі сліпими підписами.
Оскільки eth_sign може бути використаний для підписання різних типів повідомлень, включаючи транзакції та команди смарт-контрактів, зловмисна сторона може спонукати вас підписати повідомлення, яке ви не зовсім розумієте, що призводить до переміщення ваших активів. Ще гірше, вони можуть надати вам на вигляд нешкідливе повідомлення для підписання, але насправді це може бути команда, і як тільки ви підпишете, ваші активи будуть переміщені.
В умовах такої ситуації, як ми повинні захищатися? У зв'язку з такими шахрайськими діями, один відомий гаманець оновив свою версію, покращивши систему управління ризиками. Коли користувачі відвідують сторонній DApp для підписання повідомлення за допомогою eth_sign, гаманець надає сповіщення про ризики, попереджаючи користувача, що поточна угода може містити потенційні ризики, і запускає 15-секундний таймер охолодження. Такий дизайн має на меті дати користувачам достатньо часу для оцінки необхідності та безпеки операції підписання.
Рекомендації з безпеки
Команда безпеки нагадує всім:
Зрозумівши, як працює підпис eth_sign і які його потенційні ризики, а також вживаючи відповідних заходів захисту, ми можемо краще захистити свої цифрові активи. У світі блокчейну завжди найкращою стратегією захисту є залишатися насторожі та обережними.