опасности и меры предосторожности мошенничества с blind signing eth_sign
В последнее время активизировались схемы обмана с использованием эталонной подписи eth_sign, многие пользователи были введены в заблуждение на некоторых непонятных сайтах и подписали на вид безвредные подписи eth_sign, что привело к исчезновению активов в их кошельках. Чтобы помочь всем лучше понять механизм работы этой схемы, нам необходимо сначала объяснить суть подписи eth_sign.
суть подписи eth_sign
В экосистеме Ethereum eth_sign является широко используемым методом подписи, который позволяет пользователям подписывать сообщения с помощью приватного ключа. Этот механизм подписи играет ключевую роль в блокчейн-транзакциях, поскольку он может подтвердить, что конкретный аккаунт является инициатором транзакции. Проще говоря, это похоже на подписание документа, что означает, что вы соглашаетесь или поддерживаете содержание документа.
Однако в процессе использования eth_sign существует легко упускаемая проблема, так называемая "слепая подпись". Когда вы используете eth_sign для подписания сообщения, вы можете не полностью понимать, что именно вы подписываете, и не можете верифицировать, что именно представляет собой эта подпись. Это связано с тем, что входные данные для eth_sign являются сырыми символами, а не читаемым для человека форматом. Это похоже на подписание контракта, написанного на языке, который вы не понимаете, именно поэтому это называется "слепая подпись".
Распространенные методы мошенничества с слепыми подписями
Поняв концепцию подписей eth_sign и слепых подписей, мы можем далее обсудить потенциальные риски eth_sign и способы предотвращения таких слепых подписей мошенничества.
Поскольку eth_sign можно использовать для подписания различных типов сообщений, включая транзакции и инструкции смарт-контрактов, злоумышленники могут заставить вас подписать сообщение, смысл которого вы не полностью понимаете, что может привести к тому, что ваши активы будут переведены на их счета. Более того, они могут предоставить вам сообщение, которое на первый взгляд кажется безобидным, чтобы вы его подписали, но на самом деле это может быть команда на действие, и как только вы подпишете, ваши активы будут переведены на их счета.
Меры предосторожности
Как нам защититься в такой ситуации? В ответ на такие мошеннические действия один известный кошелек уже обновил свою систему управления рисками в новой версии. Когда пользователи обращаются к третьим DApp для вызова eth_sign для подписи сообщения, этот кошелек будет предоставлять всплывающее окно с предупреждением о рисках, информируя пользователей о том, что текущая транзакция может представлять потенциальный риск, и запускает 15-секундный таймер охлаждения. Такая настройка предназначена для того, чтобы дать пользователям достаточно времени для оценки необходимости и безопасности операции подписания.
Рекомендации по безопасности
Чтобы повысить осведомленность о безопасности, мы рекомендуем всем:
Будьте очень осторожны с любыми запросами, требующими подписи с помощью eth_sign, особенно если они исходят из неизвестных или ненадежных источников. Если у вас есть сомнения относительно подлинности или цели запроса, никогда не подписывайте его легкомысленно.
Убедитесь, что обрабатываемые сообщения или запросы на транзакции поступают из надежных источников, таких как официальные веб-сайты, официальные социальные сети или проверенные каналы связи. Никогда не доверяйте неизвестным ссылкам, электронным письмам или личным сообщениям.
Повышая бдительность и осознавая безопасность, мы можем лучше защищать свои цифровые активы и избегать того, чтобы стать жертвой промывания глаз.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
15 Лайков
Награда
15
6
Поделиться
комментарий
0/400
MetaverseMigrant
· 14ч назад
Слепая подпись обязательно приведет к тому, что вы будете играть для лохов
eth_sign слепая подпись промывание глаз: углубленный анализ рисков и мер предосторожности
опасности и меры предосторожности мошенничества с blind signing eth_sign
В последнее время активизировались схемы обмана с использованием эталонной подписи eth_sign, многие пользователи были введены в заблуждение на некоторых непонятных сайтах и подписали на вид безвредные подписи eth_sign, что привело к исчезновению активов в их кошельках. Чтобы помочь всем лучше понять механизм работы этой схемы, нам необходимо сначала объяснить суть подписи eth_sign.
суть подписи eth_sign
В экосистеме Ethereum eth_sign является широко используемым методом подписи, который позволяет пользователям подписывать сообщения с помощью приватного ключа. Этот механизм подписи играет ключевую роль в блокчейн-транзакциях, поскольку он может подтвердить, что конкретный аккаунт является инициатором транзакции. Проще говоря, это похоже на подписание документа, что означает, что вы соглашаетесь или поддерживаете содержание документа.
Однако в процессе использования eth_sign существует легко упускаемая проблема, так называемая "слепая подпись". Когда вы используете eth_sign для подписания сообщения, вы можете не полностью понимать, что именно вы подписываете, и не можете верифицировать, что именно представляет собой эта подпись. Это связано с тем, что входные данные для eth_sign являются сырыми символами, а не читаемым для человека форматом. Это похоже на подписание контракта, написанного на языке, который вы не понимаете, именно поэтому это называется "слепая подпись".
Распространенные методы мошенничества с слепыми подписями
Поняв концепцию подписей eth_sign и слепых подписей, мы можем далее обсудить потенциальные риски eth_sign и способы предотвращения таких слепых подписей мошенничества.
Поскольку eth_sign можно использовать для подписания различных типов сообщений, включая транзакции и инструкции смарт-контрактов, злоумышленники могут заставить вас подписать сообщение, смысл которого вы не полностью понимаете, что может привести к тому, что ваши активы будут переведены на их счета. Более того, они могут предоставить вам сообщение, которое на первый взгляд кажется безобидным, чтобы вы его подписали, но на самом деле это может быть команда на действие, и как только вы подпишете, ваши активы будут переведены на их счета.
Меры предосторожности
Как нам защититься в такой ситуации? В ответ на такие мошеннические действия один известный кошелек уже обновил свою систему управления рисками в новой версии. Когда пользователи обращаются к третьим DApp для вызова eth_sign для подписи сообщения, этот кошелек будет предоставлять всплывающее окно с предупреждением о рисках, информируя пользователей о том, что текущая транзакция может представлять потенциальный риск, и запускает 15-секундный таймер охлаждения. Такая настройка предназначена для того, чтобы дать пользователям достаточно времени для оценки необходимости и безопасности операции подписания.
Рекомендации по безопасности
Чтобы повысить осведомленность о безопасности, мы рекомендуем всем:
Будьте очень осторожны с любыми запросами, требующими подписи с помощью eth_sign, особенно если они исходят из неизвестных или ненадежных источников. Если у вас есть сомнения относительно подлинности или цели запроса, никогда не подписывайте его легкомысленно.
Убедитесь, что обрабатываемые сообщения или запросы на транзакции поступают из надежных источников, таких как официальные веб-сайты, официальные социальные сети или проверенные каналы связи. Никогда не доверяйте неизвестным ссылкам, электронным письмам или личным сообщениям.
Повышая бдительность и осознавая безопасность, мы можем лучше защищать свои цифровые активы и избегать того, чтобы стать жертвой промывания глаз.