Будьте осторожны: осознайте и предотвращайте риски слепой подписи eth_sign
В последнее время мошенничество с blind-signature eth_sign стало чрезвычайно активным, многие пользователи были обмануты на незнакомых сайтах и подписали, казалось бы, безобидные подписи eth_sign, что привело к краже активов из кошельков. Чтобы помочь всем лучше понять, как работает эта схема мошенничества, нам необходимо сначала объяснить суть подписи eth_sign.
Введение в подпись eth_sign
В экосистеме Ethereum eth_sign является широко используемым методом подписи, который позволяет пользователям подписывать сообщения с помощью приватного ключа. Эта механика подписи является ключевым компонентом транзакций блокчейна, используемым для подтверждения того, что определенный аккаунт является инициатором транзакции. Проще говоря, это похоже на подпись на бумажных документах, чтобы выразить согласие или поддержку содержания документа.
Однако в процессе использования eth_sign существует проблема, которую легко упустить из виду, а именно, его часто называют "слепая подпись". Когда пользователь использует eth_sign для подписи сообщения, он может не полностью понимать содержание подписи и не может обратным образом проверить конкретное значение подписи. Это связано с тем, что ввод eth_sign представляет собой исходные символы, а не формат, удобный для чтения человеком. Это похоже на подпись на контракте, написанном на незнакомом языке, что и является причиной, по которой его называют "слепая подпись".
Распространенные методы мошенничества
Поняв концепцию подписей eth_sign и слепых подписей, мы можем углубиться в потенциальные риски eth_sign и способы предотвращения подобных мошенничеств со слепыми подписями.
Поскольку eth_sign может использоваться для подписи различных типов сообщений, включая транзакции и инструкции по смарт-контрактам, злоумышленники могут попытаться заставить пользователя подписать сообщение, которое он не полностью понимает, что может привести к перемещению активов. Более того, они могут предоставить сообщение, которое кажется безвредным, для подписи пользователем, но на самом деле это может быть команда на действие, и как только подпись будет поставлена, активы пользователя будут переведены на счет мошенника.
В условиях данной ситуации, как нам следует предотвратить это? В связи с такими мошенническими действиями, новая версия известного кошелька прошла обновление системы управления рисками. Когда пользователи обращаются к стороннему DApp для вызова eth_sign для подписания сообщения, этот кошелек будет показывать всплывающее окно с предупреждением о рисках, информируя пользователя о том, что текущая сделка может представлять потенциальный риск, и запускает 15-секундный таймер охлаждения. Такой дизайн направлен на то, чтобы предоставить пользователям достаточно времени для оценки необходимости и безопасности операции подписания.
Рекомендации по безопасности
Эксперты по безопасности напоминают всем:
Будьте осторожны с любыми запросами, требующими подписи eth_sign, особенно если они исходят из ненадежных или неизвестных источников. Если у вас есть сомнения в подлинности или цели запроса, ни в коем случае не подписывайте его.
Убедитесь, что обрабатываемые сообщения или запросы на транзакции поступают из надежных источников, таких как официальный сайт, официальные социальные сети или проверенные каналы связи. Никогда не доверяйте ссылкам, письмам или личным сообщениям из неизвестных источников.
Повышая бдительность и принимая соответствующие меры безопасности, мы можем эффективно снизить риск стать жертвой мошенничества с blind sign eth_sign. В мире блокчейна защита своих активов всегда является нашей главной ответственностью.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
10 Лайков
Награда
10
5
Репост
Поделиться
комментарий
0/400
TokenStorm
· 08-15 16:42
Подписывать не стоит, меня уже три раза обманули, а я все равно рискую.
Посмотреть ОригиналОтветить0
nft_widow
· 08-15 16:41
Снова новичок попался на слепую подпись? Научился на своих ошибках~
eth_sign слепая подпись риск предупреждение: понимание принципов и меры предосторожности
Будьте осторожны: осознайте и предотвращайте риски слепой подписи eth_sign
В последнее время мошенничество с blind-signature eth_sign стало чрезвычайно активным, многие пользователи были обмануты на незнакомых сайтах и подписали, казалось бы, безобидные подписи eth_sign, что привело к краже активов из кошельков. Чтобы помочь всем лучше понять, как работает эта схема мошенничества, нам необходимо сначала объяснить суть подписи eth_sign.
Введение в подпись eth_sign
В экосистеме Ethereum eth_sign является широко используемым методом подписи, который позволяет пользователям подписывать сообщения с помощью приватного ключа. Эта механика подписи является ключевым компонентом транзакций блокчейна, используемым для подтверждения того, что определенный аккаунт является инициатором транзакции. Проще говоря, это похоже на подпись на бумажных документах, чтобы выразить согласие или поддержку содержания документа.
Однако в процессе использования eth_sign существует проблема, которую легко упустить из виду, а именно, его часто называют "слепая подпись". Когда пользователь использует eth_sign для подписи сообщения, он может не полностью понимать содержание подписи и не может обратным образом проверить конкретное значение подписи. Это связано с тем, что ввод eth_sign представляет собой исходные символы, а не формат, удобный для чтения человеком. Это похоже на подпись на контракте, написанном на незнакомом языке, что и является причиной, по которой его называют "слепая подпись".
Распространенные методы мошенничества
Поняв концепцию подписей eth_sign и слепых подписей, мы можем углубиться в потенциальные риски eth_sign и способы предотвращения подобных мошенничеств со слепыми подписями.
Поскольку eth_sign может использоваться для подписи различных типов сообщений, включая транзакции и инструкции по смарт-контрактам, злоумышленники могут попытаться заставить пользователя подписать сообщение, которое он не полностью понимает, что может привести к перемещению активов. Более того, они могут предоставить сообщение, которое кажется безвредным, для подписи пользователем, но на самом деле это может быть команда на действие, и как только подпись будет поставлена, активы пользователя будут переведены на счет мошенника.
В условиях данной ситуации, как нам следует предотвратить это? В связи с такими мошенническими действиями, новая версия известного кошелька прошла обновление системы управления рисками. Когда пользователи обращаются к стороннему DApp для вызова eth_sign для подписания сообщения, этот кошелек будет показывать всплывающее окно с предупреждением о рисках, информируя пользователя о том, что текущая сделка может представлять потенциальный риск, и запускает 15-секундный таймер охлаждения. Такой дизайн направлен на то, чтобы предоставить пользователям достаточно времени для оценки необходимости и безопасности операции подписания.
Рекомендации по безопасности
Эксперты по безопасности напоминают всем:
Повышая бдительность и принимая соответствующие меры безопасности, мы можем эффективно снизить риск стать жертвой мошенничества с blind sign eth_sign. В мире блокчейна защита своих активов всегда является нашей главной ответственностью.