Advertencia sobre el ataque de firma de Ethereum: un análisis profundo de eth_sign y sus riesgos potenciales
Recientemente, ha aparecido con frecuencia un fraude que utiliza la firma eth_sign, muchos usuarios han firmado sin saberlo firmas eth_sign aparentemente inofensivas en ciertos sitios web, lo que ha llevado al robo de los activos de sus billeteras. Para ayudar a todos a comprender mejor el mecanismo de operación de este fraude, es necesario primero entender la naturaleza de la firma eth_sign.
Introducción a eth_sign
En el ecosistema de Ethereum, eth_sign es un método de firma ampliamente utilizado que permite a los usuarios firmar mensajes mediante una clave privada. Este mecanismo de firma es la base de las transacciones en blockchain, y se utiliza para verificar si una cuenta específica es el iniciador de la transacción. En términos simples, esto es similar a firmar un documento en papel para indicar la aprobación o reconocimiento del contenido del documento.
Sin embargo, hay un problema que a menudo se pasa por alto en el uso de eth_sign, conocido como "firma ciega". Cuando los usuarios firman un mensaje usando eth_sign, a menudo no pueden entender completamente el contenido de la firma ni verificar el significado específico de la firma de manera inversa. Esto se debe a que la entrada de eth_sign es una cadena de texto en bruto, y no un formato legible por humanos. Es como firmar un contrato escrito en un idioma desconocido, que es la razón por la cual se le llama "firma ciega".
Análisis de técnicas de fraude
Una vez que entendemos el concepto de la firma eth_sign y la firma en blanco, podemos profundizar en los riesgos potenciales de eth_sign y sus medidas de prevención.
Debido a que eth_sign se puede utilizar para firmar varios tipos de mensajes, incluidas transacciones e instrucciones de contratos inteligentes, una parte maliciosa puede inducir al usuario a firmar un mensaje que es difícil de entender, lo que resulta en la transferencia de activos. Más grave aún, pueden proporcionar un mensaje que aparentemente es inofensivo para que el usuario lo firme, pero en realidad podría ser una instrucción de operación; una vez firmado, los activos del usuario se transferirán a la cuenta del atacante.
Medidas de prevención
Ante esta situación, ¿cómo deberíamos prevenirlo? Un conocido monedero ha actualizado su sistema de control de riesgos en la nueva versión. Cuando los usuarios utilizan eth_sign a través de una DApp de terceros para firmar mensajes, el monedero mostrará una ventana emergente de advertencia de riesgos, informando a los usuarios que la operación actual puede tener riesgos potenciales, y se iniciará un enfriamiento de 15 segundos. Este diseño tiene como objetivo dar a los usuarios tiempo suficiente para evaluar la necesidad y seguridad de la operación de firma.
Sugerencias de seguridad
Los expertos en seguridad advierten a los usuarios:
Mantén una alta vigilancia sobre todas las solicitudes que requieran la firma eth_sign, especialmente aquellas que provienen de fuentes desconocidas o no confiables. Si tienes dudas sobre la autenticidad o el propósito de la solicitud, nunca firmes a la ligera.
Asegúrese de que los mensajes o solicitudes de transacción que maneje provengan de canales de confianza, como el sitio web oficial, cuentas de redes sociales verificadas o canales de comunicación confiables. Nunca confíe en enlaces, correos electrónicos o mensajes privados de origen desconocido.
Al estar alerta y seguir estos consejos de seguridad, los usuarios pueden reducir eficazmente el riesgo de convertirse en víctimas de la estafa de firma ciega eth_sign y proteger la seguridad de sus activos digitales.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
11 me gusta
Recompensa
11
6
Republicar
Compartir
Comentar
0/400
OnchainHolmes
· 08-16 15:32
¿Por qué siento que cada vez que firmo estoy arriesgando mi vida...
Ver originalesResponder0
DecentralizedElder
· 08-16 15:31
Otra tanda de tontos ha sido tomada por tonta~
Ver originalesResponder0
MetaNeighbor
· 08-16 15:24
Otra vez, tontos han sido tomados por tonta.
Ver originalesResponder0
GateUser-c802f0e8
· 08-16 15:23
Otra vez tontos fueron tomados por tonta con eth_sign.
Ver originalesResponder0
ApeWithNoChain
· 08-16 15:13
Otra vez es un día en el que un novato es pescado por eth.
Ver originalesResponder0
StakeOrRegret
· 08-16 15:05
Los nuevos tontos tarde o temprano serán tomados por tontos una vez...
Mantente alerta ante el lavado de ojos eth_sign: 5 consejos clave para evitar el robo de tus activos.
Advertencia sobre el ataque de firma de Ethereum: un análisis profundo de eth_sign y sus riesgos potenciales
Recientemente, ha aparecido con frecuencia un fraude que utiliza la firma eth_sign, muchos usuarios han firmado sin saberlo firmas eth_sign aparentemente inofensivas en ciertos sitios web, lo que ha llevado al robo de los activos de sus billeteras. Para ayudar a todos a comprender mejor el mecanismo de operación de este fraude, es necesario primero entender la naturaleza de la firma eth_sign.
Introducción a eth_sign
En el ecosistema de Ethereum, eth_sign es un método de firma ampliamente utilizado que permite a los usuarios firmar mensajes mediante una clave privada. Este mecanismo de firma es la base de las transacciones en blockchain, y se utiliza para verificar si una cuenta específica es el iniciador de la transacción. En términos simples, esto es similar a firmar un documento en papel para indicar la aprobación o reconocimiento del contenido del documento.
Sin embargo, hay un problema que a menudo se pasa por alto en el uso de eth_sign, conocido como "firma ciega". Cuando los usuarios firman un mensaje usando eth_sign, a menudo no pueden entender completamente el contenido de la firma ni verificar el significado específico de la firma de manera inversa. Esto se debe a que la entrada de eth_sign es una cadena de texto en bruto, y no un formato legible por humanos. Es como firmar un contrato escrito en un idioma desconocido, que es la razón por la cual se le llama "firma ciega".
Análisis de técnicas de fraude
Una vez que entendemos el concepto de la firma eth_sign y la firma en blanco, podemos profundizar en los riesgos potenciales de eth_sign y sus medidas de prevención.
Debido a que eth_sign se puede utilizar para firmar varios tipos de mensajes, incluidas transacciones e instrucciones de contratos inteligentes, una parte maliciosa puede inducir al usuario a firmar un mensaje que es difícil de entender, lo que resulta en la transferencia de activos. Más grave aún, pueden proporcionar un mensaje que aparentemente es inofensivo para que el usuario lo firme, pero en realidad podría ser una instrucción de operación; una vez firmado, los activos del usuario se transferirán a la cuenta del atacante.
Medidas de prevención
Ante esta situación, ¿cómo deberíamos prevenirlo? Un conocido monedero ha actualizado su sistema de control de riesgos en la nueva versión. Cuando los usuarios utilizan eth_sign a través de una DApp de terceros para firmar mensajes, el monedero mostrará una ventana emergente de advertencia de riesgos, informando a los usuarios que la operación actual puede tener riesgos potenciales, y se iniciará un enfriamiento de 15 segundos. Este diseño tiene como objetivo dar a los usuarios tiempo suficiente para evaluar la necesidad y seguridad de la operación de firma.
Sugerencias de seguridad
Los expertos en seguridad advierten a los usuarios:
Al estar alerta y seguir estos consejos de seguridad, los usuarios pueden reducir eficazmente el riesgo de convertirse en víctimas de la estafa de firma ciega eth_sign y proteger la seguridad de sus activos digitales.