A perigosidade e as medidas de prevenção contra o esquema de assinatura cega eth_sign
Recentemente, o esquema de blind signing eth_sign tem mostrado uma tendência de ativação, muitos usuários foram induzidos a assinar assinaturas eth_sign que parecem inofensivas em alguns sites desconhecidos, resultando na misteriosa desaparecimento dos ativos nas suas carteiras. Para ajudar todos a compreender melhor o mecanismo operacional deste esquema, é necessário primeiro explicar a essência da assinatura eth_sign.
A essência da assinatura eth_sign
No ecossistema Ethereum, eth_sign é um método de assinatura amplamente utilizado, que permite aos usuários assinar mensagens com a chave privada. Este mecanismo de assinatura desempenha um papel central nas transações de blockchain, pois pode confirmar que uma conta específica é a responsável pela transação. Simplificando, é como assinar um documento, indicando que você concorda ou apoia o conteúdo do documento.
No entanto, há um problema que pode ser facilmente ignorado durante o uso do eth_sign, que é o chamado "assinatura cega". Quando você usa o eth_sign para assinar uma mensagem, você pode não entender completamente o que está assinando, nem ser capaz de verificar o que essa assinatura realmente representa. Isso ocorre porque a entrada do eth_sign é um caractere bruto, e não um formato legível por humanos. É como assinar um contrato escrito em uma língua que você não entende, e é por isso que é chamada de "assinatura cega".
Lavagem de olhos com assinatura cega
Depois de entender os conceitos de assinatura eth_sign e assinatura cega, podemos explorar mais os riscos potenciais do eth_sign e como prevenir fraudes desse tipo de assinatura cega.
Como eth_sign pode ser usado para assinar vários tipos de mensagens, incluindo transações e instruções de contratos inteligentes, uma parte maliciosa pode induzi-lo a assinar uma mensagem que você não entende completamente, resultando na transferência de seus ativos para suas contas. Mais seriamente, eles podem lhe enviar uma mensagem que à primeira vista parece inofensiva para você assinar, mas na verdade, essa mensagem pode ser uma instrução de operação; uma vez que você assine, seus ativos serão transferidos para suas contas.
Medidas de prevenção
Diante dessa situação, como devemos nos proteger? Em relação a esse tipo de fraude, uma carteira conhecida já realizou uma atualização do sistema de controle de risco em sua nova versão. Quando os usuários acessam um DApp de terceiros que chama eth_sign para assinar mensagens, essa carteira fornecerá uma janela de alerta de risco, informando os usuários de que a transação atual pode ter riscos potenciais e iniciará um tempo de resfriamento de 15 segundos. Essa configuração visa dar aos usuários tempo suficiente para avaliar a necessidade e a segurança da operação de assinatura.
Sugestões de segurança
Para aumentar a consciência de segurança, sugerimos a todos:
Mantenha uma vigilância elevada sobre todos os pedidos que utilizam a assinatura eth_sign, especialmente aqueles de fontes desconhecidas ou não confiáveis. Se houver dúvidas sobre a autenticidade ou o propósito do pedido, nunca assine de forma leviana.
Assegure-se de que as mensagens ou solicitações de transação tratadas provenham de canais confiáveis, como sites oficiais, redes sociais oficiais ou canais de comunicação verificados. Nunca confie em links, e-mails ou mensagens privadas de origens desconhecidas.
Através do aumento da vigilância e do reforço da consciência de segurança, podemos proteger melhor os nossos ativos digitais e evitar tornar-nos vítimas de lavar os olhos.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
eth_sign blind signing lavar os olhos:análise aprofundada dos riscos e medidas de prevenção
A perigosidade e as medidas de prevenção contra o esquema de assinatura cega eth_sign
Recentemente, o esquema de blind signing eth_sign tem mostrado uma tendência de ativação, muitos usuários foram induzidos a assinar assinaturas eth_sign que parecem inofensivas em alguns sites desconhecidos, resultando na misteriosa desaparecimento dos ativos nas suas carteiras. Para ajudar todos a compreender melhor o mecanismo operacional deste esquema, é necessário primeiro explicar a essência da assinatura eth_sign.
A essência da assinatura eth_sign
No ecossistema Ethereum, eth_sign é um método de assinatura amplamente utilizado, que permite aos usuários assinar mensagens com a chave privada. Este mecanismo de assinatura desempenha um papel central nas transações de blockchain, pois pode confirmar que uma conta específica é a responsável pela transação. Simplificando, é como assinar um documento, indicando que você concorda ou apoia o conteúdo do documento.
No entanto, há um problema que pode ser facilmente ignorado durante o uso do eth_sign, que é o chamado "assinatura cega". Quando você usa o eth_sign para assinar uma mensagem, você pode não entender completamente o que está assinando, nem ser capaz de verificar o que essa assinatura realmente representa. Isso ocorre porque a entrada do eth_sign é um caractere bruto, e não um formato legível por humanos. É como assinar um contrato escrito em uma língua que você não entende, e é por isso que é chamada de "assinatura cega".
Lavagem de olhos com assinatura cega
Depois de entender os conceitos de assinatura eth_sign e assinatura cega, podemos explorar mais os riscos potenciais do eth_sign e como prevenir fraudes desse tipo de assinatura cega.
Como eth_sign pode ser usado para assinar vários tipos de mensagens, incluindo transações e instruções de contratos inteligentes, uma parte maliciosa pode induzi-lo a assinar uma mensagem que você não entende completamente, resultando na transferência de seus ativos para suas contas. Mais seriamente, eles podem lhe enviar uma mensagem que à primeira vista parece inofensiva para você assinar, mas na verdade, essa mensagem pode ser uma instrução de operação; uma vez que você assine, seus ativos serão transferidos para suas contas.
Medidas de prevenção
Diante dessa situação, como devemos nos proteger? Em relação a esse tipo de fraude, uma carteira conhecida já realizou uma atualização do sistema de controle de risco em sua nova versão. Quando os usuários acessam um DApp de terceiros que chama eth_sign para assinar mensagens, essa carteira fornecerá uma janela de alerta de risco, informando os usuários de que a transação atual pode ter riscos potenciais e iniciará um tempo de resfriamento de 15 segundos. Essa configuração visa dar aos usuários tempo suficiente para avaliar a necessidade e a segurança da operação de assinatura.
Sugestões de segurança
Para aumentar a consciência de segurança, sugerimos a todos:
Mantenha uma vigilância elevada sobre todos os pedidos que utilizam a assinatura eth_sign, especialmente aqueles de fontes desconhecidas ou não confiáveis. Se houver dúvidas sobre a autenticidade ou o propósito do pedido, nunca assine de forma leviana.
Assegure-se de que as mensagens ou solicitações de transação tratadas provenham de canais confiáveis, como sites oficiais, redes sociais oficiais ou canais de comunicação verificados. Nunca confie em links, e-mails ou mensagens privadas de origens desconhecidas.
Através do aumento da vigilância e do reforço da consciência de segurança, podemos proteger melhor os nossos ativos digitais e evitar tornar-nos vítimas de lavar os olhos.