Будьте осторожны с атаками на подписи Ethereum: глубокий анализ eth_sign и его потенциальных рисков
В последнее время часто появляются мошенничества, использующие подпись eth_sign, и многие пользователи, не подозревая об этом, подписывают на некоторых сайтах кажущиеся безобидными подписи eth_sign, что приводит к краже активов из кошельков. Чтобы помочь всем лучше понять механизм работы этого мошенничества, нам необходимо сначала понять суть подписи eth_sign.
Введение в подпись eth_sign
В экосистеме Ethereum eth_sign является широко используемым методом подписи, который позволяет пользователям подписывать сообщения с помощью закрытого ключа. Эта механика подписи является основой транзакций блокчейна и используется для проверки того, является ли конкретный аккаунт инициатором транзакции. Проще говоря, это похоже на подпись на бумажном документе, чтобы выразить согласие или одобрение содержимого документа.
Однако в процессе использования eth_sign существует проблема, которую легко игнорировать, а именно так называемая "слепая подпись". Когда пользователь использует eth_sign для подписания сообщения, он часто не может полностью понять содержание подписи и не может обратным образом проверить конкретный смысл подписи. Это связано с тем, что входные данные для eth_sign представляют собой исходную строку, а не читаемый человеком формат. Это похоже на подпись на контракте, написанном на неизвестном языке, и именно поэтому его называют "слепой подписью".
Анализ методов мошенничества
После того как мы поняли концепцию подписи eth_sign и слепой подписи, мы можем глубже изучить потенциальные риски eth_sign и меры по их предотвращению.
Поскольку eth_sign может использоваться для подписи различных типов сообщений, включая транзакции и команды智能 контрактов, злоумышленники могут заставить пользователя подписать труднопонимаемое сообщение, что приведет к переводу активов. Более того, они могут предоставить на вид безобидное сообщение для подписи пользователем, но на самом деле это может быть командой операции, и как только оно будет подписано, активы пользователя будут переведены на счет нападающего.
Меры предосторожности
В такой ситуации, как мы должны предотвратить это? Один известный кошелек обновил свою систему управления рисками в новой версии. Когда пользователи используют eth_sign для подписания сообщений через сторонние DApp, кошелек будет отображать всплывающее окно с предупреждением о рисках, информируя пользователей о том, что текущее действие может нести потенциальные риски, и запускает 15-секундный таймер охлаждения. Этот дизайн предназначен для того, чтобы предоставить пользователям достаточно времени для оценки необходимости и безопасности операции подписи.
Рекомендации по безопасности
Эксперты по безопасности напоминают пользователям:
Будьте особенно осторожны с любыми запросами, требующими подписи eth_sign, особенно если они поступают из недостоверных или неизвестных источников. Если у вас есть сомнения относительно подлинности или цели запроса, никогда не подписывайте бездумно.
Убедитесь, что обрабатываемые сообщения или запросы на транзакции поступают из доверительных источников, таких как официальный сайт, проверенные аккаунты в социальных сетях или надежные каналы связи. Никогда не доверяйте неизвестным ссылкам, электронным письмам или личным сообщениям.
Путем повышения бдительности и следования этим рекомендациям по безопасности пользователи могут эффективно снизить риск стать жертвой мошенничества с blind sign eth_sign и защитить безопасность своих цифровых активов.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
13 Лайков
Награда
13
6
Репост
Поделиться
комментарий
0/400
OnchainHolmes
· 08-16 15:32
Почему мне кажется, что каждый раз, когда я подписываюсь, я рискую своей жизнью...
Посмотреть ОригиналОтветить0
DecentralizedElder
· 08-16 15:31
Еще одна партия неудачников разыгрывается как лохов~
Посмотреть ОригиналОтветить0
MetaNeighbor
· 08-16 15:24
Снова неудачники были разыграны как лохи.
Посмотреть ОригиналОтветить0
GateUser-c802f0e8
· 08-16 15:23
又有неудачники被eth_signразыгрывайте людей как лохов咯
Посмотреть ОригиналОтветить0
ApeWithNoChain
· 08-16 15:13
Опять день, когда новичок попался на удочку eth.
Посмотреть ОригиналОтветить0
StakeOrRegret
· 08-16 15:05
новые неудачники рано или поздно будут разыграны людьми как лохи...
Будьте осторожны с мошенничеством eth_sign: 5 ключевых советов по избежанию кражи активов
Будьте осторожны с атаками на подписи Ethereum: глубокий анализ eth_sign и его потенциальных рисков
В последнее время часто появляются мошенничества, использующие подпись eth_sign, и многие пользователи, не подозревая об этом, подписывают на некоторых сайтах кажущиеся безобидными подписи eth_sign, что приводит к краже активов из кошельков. Чтобы помочь всем лучше понять механизм работы этого мошенничества, нам необходимо сначала понять суть подписи eth_sign.
Введение в подпись eth_sign
В экосистеме Ethereum eth_sign является широко используемым методом подписи, который позволяет пользователям подписывать сообщения с помощью закрытого ключа. Эта механика подписи является основой транзакций блокчейна и используется для проверки того, является ли конкретный аккаунт инициатором транзакции. Проще говоря, это похоже на подпись на бумажном документе, чтобы выразить согласие или одобрение содержимого документа.
Однако в процессе использования eth_sign существует проблема, которую легко игнорировать, а именно так называемая "слепая подпись". Когда пользователь использует eth_sign для подписания сообщения, он часто не может полностью понять содержание подписи и не может обратным образом проверить конкретный смысл подписи. Это связано с тем, что входные данные для eth_sign представляют собой исходную строку, а не читаемый человеком формат. Это похоже на подпись на контракте, написанном на неизвестном языке, и именно поэтому его называют "слепой подписью".
Анализ методов мошенничества
После того как мы поняли концепцию подписи eth_sign и слепой подписи, мы можем глубже изучить потенциальные риски eth_sign и меры по их предотвращению.
Поскольку eth_sign может использоваться для подписи различных типов сообщений, включая транзакции и команды智能 контрактов, злоумышленники могут заставить пользователя подписать труднопонимаемое сообщение, что приведет к переводу активов. Более того, они могут предоставить на вид безобидное сообщение для подписи пользователем, но на самом деле это может быть командой операции, и как только оно будет подписано, активы пользователя будут переведены на счет нападающего.
Меры предосторожности
В такой ситуации, как мы должны предотвратить это? Один известный кошелек обновил свою систему управления рисками в новой версии. Когда пользователи используют eth_sign для подписания сообщений через сторонние DApp, кошелек будет отображать всплывающее окно с предупреждением о рисках, информируя пользователей о том, что текущее действие может нести потенциальные риски, и запускает 15-секундный таймер охлаждения. Этот дизайн предназначен для того, чтобы предоставить пользователям достаточно времени для оценки необходимости и безопасности операции подписи.
Рекомендации по безопасности
Эксперты по безопасности напоминают пользователям:
Путем повышения бдительности и следования этим рекомендациям по безопасности пользователи могут эффективно снизить риск стать жертвой мошенничества с blind sign eth_sign и защитить безопасность своих цифровых активов.