Будьте обережні з пасткою blind sign eth_sign: принцип, методи та стратегії захисту
Нещодавно спостерігається високий рівень шахрайства з використанням blind sign eth_sign, багато користувачів були введені в оману підписувати на невідомих сайтах, здавалося б, безпечні підписи eth_sign, що призвело до втрати активів. Щоб допомогти всім краще зрозуміти механізм роботи такого шахрайства, нам необхідно спочатку роз'яснити суть підпису eth_sign.
Суть підпису eth_sign
У екосистемі Ethereum, eth_sign є широко використовуваним методом підпису, який дозволяє користувачам підписувати інформацію за допомогою приватного ключа. Цей механізм підпису є ключовим етапом у блокчейн-транзакціях, який використовується для підтвердження того, що конкретний рахунок є ініціатором транзакції. Іншими словами, це схоже на підпис на документі, що означає, що ви визнаєте або підтримуєте зміст документа.
Однак під час використання eth_sign існує небезпека, яка може бути легко проігнорована, а саме проблема "сліпого підпису". Коли користувач використовує eth_sign для підписання інформації, він може не повністю розуміти зміст підпису та не може перевірити конкретне значення підпису зворотним чином. Це пов'язано з тим, що введення для eth_sign є сирим рядком, а не форматом, зрозумілим для людини. Це схоже на підписання контракту, написаного незнайомою мовою, саме тому його називають "сліпим підписом".
Аналіз шахрайських методів
Зрозумівши концепцію підпису eth_sign та сліпого підпису, ми можемо глибше вивчити потенційні ризики eth_sign та способи запобігання таким шахрайствам зі сліпими підписами.
Оскільки eth_sign можна використовувати для підписання різних типів інформації, включаючи транзакції та команди смарт-контрактів, зловмисники можуть спонукати користувачів підписати повідомлення, яке вони не повністю розуміють, що призводить до передачі активів. Ще гірше, вони можуть надати на перший погляд безпечне повідомлення для підпису, але насправді це може бути команда дій, і як тільки підпис буде поставлений, активи користувача будуть перенесені на їхній рахунок.
У ситуації, що склалася, як ми повинні запобігти цьому? Для боротьби з такими шахрайськими діями, один відомий гаманець оновив свою версію системи управління ризиками. Коли користувачі відвідують сторонній DApp і викликають eth_sign для підписання інформації, гаманець надасть сповіщення про ризики, попереджаючи користувача про потенційні ризики поточної транзакції, а також запустить 15-секундний таймер охолодження. Така настройка має на меті надати користувачам достатньо часу для оцінки необхідності та безпеки підписувальної дії.
Рекомендації щодо безпеки
Експерти з безпеки нагадують всім:
Будьте особливо обережні з усіма запитами, які вимагають підпису через eth_sign, особливо якщо запити мають невідоме або підозріле походження. Якщо у вас є сумніви щодо достовірності або мети запиту, ніколи не підписуйте його легковажно.
Переконайтеся, що інформація або запит на транзакцію надходять з надійних джерел, таких як офіційний веб-сайт, офіційні соціальні медіа або перевірені канали зв'язку. Ніколи не вірте невідомим посиланням, електронним листам або приватним повідомленням.
Підвищуючи обізнаність і вживаючи відповідних запобіжних заходів, ми можемо ефективно знизити ризик шахрайства з етичною підпискою eth_sign і захистити безпеку своїх цифрових активів.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
16 лайків
Нагородити
16
8
Репост
Поділіться
Прокоментувати
0/400
MEVHunterLucky
· 07-13 08:00
Старі схеми з сліпим підписом: побачив один молоток - вдарив.
Переглянути оригіналвідповісти на0
JustHereForAirdrops
· 07-12 14:35
Новачок сліпе підписання на мить приносить задоволення, але призводить до багатьох проблем.
Переглянути оригіналвідповісти на0
AirdropHunterWang
· 07-12 12:56
Від підпису не буде контракту на продаж нирки, правда?... Тсс
Переглянути оригіналвідповісти на0
StableNomad
· 07-10 22:33
нагадує мені початок 2021 року... втратив 6 ефірів через це точне неподобство, чесно кажучи
Переглянути оригіналвідповісти на0
RektRecorder
· 07-10 22:29
Нові пагони знову обдурюють людей, як лохів. Що тут сказати?
Переглянути оригіналвідповісти на0
ForkMonger
· 07-10 22:26
сміх... ще один день, ще одна вразливість управління для експлуатації. природний відбір працює тут, чесно кажучи
Переглянути оригіналвідповісти на0
SchrodingerWallet
· 07-10 22:18
Чи мало ще пасток у криптосвіті? Старі невдахи кажуть, що вже лежать на спині.
Переглянути оригіналвідповісти на0
TaxEvader
· 07-10 22:14
Не може бути, що хтось ще натискає на сліпі підписи, правда? Слабоумний.
eth_sign сліпе підписання ризиків: аналіз принципу та стратегії захисту
Будьте обережні з пасткою blind sign eth_sign: принцип, методи та стратегії захисту
Нещодавно спостерігається високий рівень шахрайства з використанням blind sign eth_sign, багато користувачів були введені в оману підписувати на невідомих сайтах, здавалося б, безпечні підписи eth_sign, що призвело до втрати активів. Щоб допомогти всім краще зрозуміти механізм роботи такого шахрайства, нам необхідно спочатку роз'яснити суть підпису eth_sign.
Суть підпису eth_sign
У екосистемі Ethereum, eth_sign є широко використовуваним методом підпису, який дозволяє користувачам підписувати інформацію за допомогою приватного ключа. Цей механізм підпису є ключовим етапом у блокчейн-транзакціях, який використовується для підтвердження того, що конкретний рахунок є ініціатором транзакції. Іншими словами, це схоже на підпис на документі, що означає, що ви визнаєте або підтримуєте зміст документа.
Однак під час використання eth_sign існує небезпека, яка може бути легко проігнорована, а саме проблема "сліпого підпису". Коли користувач використовує eth_sign для підписання інформації, він може не повністю розуміти зміст підпису та не може перевірити конкретне значення підпису зворотним чином. Це пов'язано з тим, що введення для eth_sign є сирим рядком, а не форматом, зрозумілим для людини. Це схоже на підписання контракту, написаного незнайомою мовою, саме тому його називають "сліпим підписом".
Аналіз шахрайських методів
Зрозумівши концепцію підпису eth_sign та сліпого підпису, ми можемо глибше вивчити потенційні ризики eth_sign та способи запобігання таким шахрайствам зі сліпими підписами.
Оскільки eth_sign можна використовувати для підписання різних типів інформації, включаючи транзакції та команди смарт-контрактів, зловмисники можуть спонукати користувачів підписати повідомлення, яке вони не повністю розуміють, що призводить до передачі активів. Ще гірше, вони можуть надати на перший погляд безпечне повідомлення для підпису, але насправді це може бути команда дій, і як тільки підпис буде поставлений, активи користувача будуть перенесені на їхній рахунок.
У ситуації, що склалася, як ми повинні запобігти цьому? Для боротьби з такими шахрайськими діями, один відомий гаманець оновив свою версію системи управління ризиками. Коли користувачі відвідують сторонній DApp і викликають eth_sign для підписання інформації, гаманець надасть сповіщення про ризики, попереджаючи користувача про потенційні ризики поточної транзакції, а також запустить 15-секундний таймер охолодження. Така настройка має на меті надати користувачам достатньо часу для оцінки необхідності та безпеки підписувальної дії.
Рекомендації щодо безпеки
Експерти з безпеки нагадують всім:
Підвищуючи обізнаність і вживаючи відповідних запобіжних заходів, ми можемо ефективно знизити ризик шахрайства з етичною підпискою eth_sign і захистити безпеку своїх цифрових активів.