Остерігайтеся атак підпису Ethereum: глибокий аналіз eth_sign та його потенційних ризиків
Нещодавно почастішали шахрайства, пов'язані з підписами eth_sign, багато користувачів, не усвідомлюючи цього, підписували на деяких веб-сайтах на вигляд безпечні підписи eth_sign, що призводило до крадіжки активів з їхніх гаманців. Щоб допомогти всім краще зрозуміти механізм роботи цього шахрайства, необхідно спочатку зрозуміти суть підпису eth_sign.
Вступ до підпису eth_sign
У екосистемі Ethereum, eth_sign є широко використовуваним методом підпису, який дозволяє користувачам підписувати повідомлення за допомогою приватного ключа. Цей механізм підпису є основою блокчейн-транзакцій, що використовується для перевірки, чи є певний обліковий запис ініціатором транзакції. Простими словами, це схоже на підпис на паперовому документі, щоб підтвердити згоду або схвалення змісту документа.
Проте, eth_sign має одну проблему, яку легко проігнорувати під час використання, а саме так званий "сліпий підпис". Коли користувач підписує повідомлення за допомогою eth_sign, він часто не може повністю зрозуміти зміст підпису і не може зворотно перевірити конкретне значення підпису. Це пов'язано з тим, що вхідні дані eth_sign є сирим рядком, а не форматом, зрозумілим людині. Це схоже на підписання контракту, написаного невідомою мовою, тому його й називають "сліпий підпис".
Аналіз шахрайських схем
Зрозумівши концепцію підпису eth_sign та сліпого підпису, ми можемо глибше дослідити потенційні ризики eth_sign та заходи їх попередження.
Оскільки eth_sign може бути використаний для підписання різних типів повідомлень, включаючи транзакції та команди смарт-контрактів, зловмисники можуть спонукати користувача підписати важко зрозуміле повідомлення, що призводить до переведення активів. Ще гірше, що вони можуть надати на перший погляд безпечне повідомлення для підписання, але насправді це може бути команда для маніпуляцій, і після підписання активи користувача будуть переведені на рахунок зловмисника.
Заходи безпеки
Як нам слід запобігти такій ситуації? Відомий гаманець вже оновив свою систему управління ризиками в новій версії. Коли користувачі використовують eth_sign через сторонній DApp для підписання повідомлень, гаманець відображатиме вікно попередження про ризик, сповіщаючи користувача, що нинішня операція може нести потенційний ризик, і почне 15-секундний таймер охолодження. Цей дизайн має на меті дати користувачам достатньо часу для оцінки необхідності та безпеки підписної операції.
Рекомендації з безпеки
Експерти з безпеки нагадують користувачам:
Будьте особливо обережні з усіма запитами, які вимагають підпису eth_sign, особливо з ненадійних або невідомих джерел. Якщо у вас є сумніви щодо справжності або мети запиту, ніколи не підписуйте його легковажно.
Переконайтеся, що оброблюване повідомлення або запит на транзакцію надходять з надійних каналів, таких як офіційний веб-сайт, перевірені облікові записи в соціальних мережах або надійні комунікаційні канали. Ніколи не вірте посиланням, електронним листам або приватним повідомленням, походження яких вам невідоме.
Підвищуючи обізнаність і дотримуючись цих рекомендацій щодо безпеки, користувачі можуть ефективно знизити ризик стати жертвою шахрайства з blind signing eth_sign і захистити свої цифрові активи.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
11 лайків
Нагородити
11
6
Репост
Поділіться
Прокоментувати
0/400
OnchainHolmes
· 08-16 15:32
Чому мені здається, що кожного разу, коли я підписую, я ризикуваю життям...
Переглянути оригіналвідповісти на0
DecentralizedElder
· 08-16 15:31
Ще одна партія невдах обдурюється~
Переглянути оригіналвідповісти на0
MetaNeighbor
· 08-16 15:24
Знову невдахи обдурюються.
Переглянути оригіналвідповісти на0
GateUser-c802f0e8
· 08-16 15:23
Знову невдахи обдурюються через eth_sign.
Переглянути оригіналвідповісти на0
ApeWithNoChain
· 08-16 15:13
Знову день, коли новичок попався на фішинг з eth.
Переглянути оригіналвідповісти на0
StakeOrRegret
· 08-16 15:05
Нові невдахи рано чи пізно будуть обдурені людьми, як лохи...
Остерігайтеся етики eth_sign: 5 ключових порад, щоб уникнути крадіжки активів
Остерігайтеся атак підпису Ethereum: глибокий аналіз eth_sign та його потенційних ризиків
Нещодавно почастішали шахрайства, пов'язані з підписами eth_sign, багато користувачів, не усвідомлюючи цього, підписували на деяких веб-сайтах на вигляд безпечні підписи eth_sign, що призводило до крадіжки активів з їхніх гаманців. Щоб допомогти всім краще зрозуміти механізм роботи цього шахрайства, необхідно спочатку зрозуміти суть підпису eth_sign.
Вступ до підпису eth_sign
У екосистемі Ethereum, eth_sign є широко використовуваним методом підпису, який дозволяє користувачам підписувати повідомлення за допомогою приватного ключа. Цей механізм підпису є основою блокчейн-транзакцій, що використовується для перевірки, чи є певний обліковий запис ініціатором транзакції. Простими словами, це схоже на підпис на паперовому документі, щоб підтвердити згоду або схвалення змісту документа.
Проте, eth_sign має одну проблему, яку легко проігнорувати під час використання, а саме так званий "сліпий підпис". Коли користувач підписує повідомлення за допомогою eth_sign, він часто не може повністю зрозуміти зміст підпису і не може зворотно перевірити конкретне значення підпису. Це пов'язано з тим, що вхідні дані eth_sign є сирим рядком, а не форматом, зрозумілим людині. Це схоже на підписання контракту, написаного невідомою мовою, тому його й називають "сліпий підпис".
Аналіз шахрайських схем
Зрозумівши концепцію підпису eth_sign та сліпого підпису, ми можемо глибше дослідити потенційні ризики eth_sign та заходи їх попередження.
Оскільки eth_sign може бути використаний для підписання різних типів повідомлень, включаючи транзакції та команди смарт-контрактів, зловмисники можуть спонукати користувача підписати важко зрозуміле повідомлення, що призводить до переведення активів. Ще гірше, що вони можуть надати на перший погляд безпечне повідомлення для підписання, але насправді це може бути команда для маніпуляцій, і після підписання активи користувача будуть переведені на рахунок зловмисника.
Заходи безпеки
Як нам слід запобігти такій ситуації? Відомий гаманець вже оновив свою систему управління ризиками в новій версії. Коли користувачі використовують eth_sign через сторонній DApp для підписання повідомлень, гаманець відображатиме вікно попередження про ризик, сповіщаючи користувача, що нинішня операція може нести потенційний ризик, і почне 15-секундний таймер охолодження. Цей дизайн має на меті дати користувачам достатньо часу для оцінки необхідності та безпеки підписної операції.
Рекомендації з безпеки
Експерти з безпеки нагадують користувачам:
Підвищуючи обізнаність і дотримуючись цих рекомендацій щодо безпеки, користувачі можуть ефективно знизити ризик стати жертвою шахрайства з blind signing eth_sign і захистити свої цифрові активи.