eth_sign сліпе підписання: принцип, способи та заходи захисту

Нещодавно активність шахрайства з етичною підписом (eth_sign) помітно зросла, багато користувачів були змушені підписувати, здавалося б, безпечні підписи eth_sign на деяких підозрілих сайтах, що призвело до крадіжки активів з гаманців. Щоб допомогти всім краще зрозуміти механізм роботи цього шахрайства, необхідно спочатку пояснити суть підпису eth_sign.

огляд підпису eth_sign

У екосистемі Ethereum eth_sign є широко використовуваним методом підпису, який дозволяє користувачам використовувати приватний ключ для підписання інформації. Цей механізм підпису є основним елементом транзакцій у блокчейні, оскільки він може підтвердити, що конкретний рахунок є ініціатором транзакції. Простими словами, це схоже на підпис на папері, що означає, що ви погоджуєтеся або підтримуєте зміст документа.

Однак, під час використання eth_sign існує проблема, яка легко може бути проігнорована, а саме так званий "сліпий підпис". Коли користувач підписує інформацію за допомогою eth_sign, він часто не може повністю зрозуміти, що саме він підписує, і не може перевірити, що саме означає цей підпис. Це пов'язано з тим, що вхідні дані eth_sign є сирим рядком, а не форматом, зрозумілим для людини. Це схоже на підписання контракту, написаного незнайомою мовою, саме тому його називають "сліпим підписом".

Поширені методи замилювання очей

Зрозумівши основні концепції eth_sign підпису та сліпого підпису, ми можемо далі обговорити потенційні ризики eth_sign, а також способи запобігання таким шахрайствам зі сліпими підписами.

Оскільки eth_sign можна використовувати для підписання будь-якого типу повідомлень, включаючи транзакції та команди смарт-контрактів, зловмисники можуть спонукати користувача підписати повідомлення, зміст якого він не зовсім розуміє, що може призвести до передачі активів на рахунок нападника. Ще серйозніше, вони можуть надати на вигляд безпечне повідомлення для підпису, але насправді це повідомлення може бути командою операції, і як тільки підпис буде поставлений, активи користувача будуть передані.

Стикаючись з такою ситуацією, як ми повинні протидіяти? Стосовно цього виду шахрайства, один відомий гаманець у новій версії оновив систему управління ризиками. Коли користувачі через третій DApp викликають eth_sign для підписання повідомлень, цей додаток виводить сповіщення про ризики, нагадуючи користувачеві, що поточна дія може містити потенційний ризик, і запускає 15-секундний таймер охолодження. Такий дизайн має на меті надати користувачеві достатньо часу для оцінки необхідності та безпеки підписання.

Рекомендації з безпеки

У зв'язку з цим ми надаємо такі рекомендації щодо безпеки:

1. Будьте особливо обережні з усіма запитами, які вимагають підпису eth_sign, особливо якщо запит походить з ненадійного або незнайомого джерела. Якщо у вас є сумніви щодо автентичності або мети запиту, не підписуйте його легковажно.

2. Переконайтеся, що оброблюване повідомлення або запит на транзакцію надходять з надійних джерел, таких як офіційний веб-сайт, офіційні облікові записи в соціальних мережах або перевірені канали зв'язку. Ніколи не довіряйте сумнівним посиланням, електронним листам або приватним повідомленням.

3. Перед виконанням будь-яких підписних операцій уважно прочитайте та зрозумійте всю відповідну інформацію. Якщо ви не в змозі повністю зрозуміти зміст чи мету підпису, краще звернутися за допомогою до професіоналів або безпосередньо відмовитися від цієї операції.

4. Регулярно оновлюйте свій гаманець та програмне забезпечення безпеки, щоб забезпечити отримання останніх заходів безпеки.

5. Розгляньте можливість використання апаратного гаманця для важливих угод, це забезпечить додатковий рівень безпеки.

6. Виховуйте хороші звички управління цифровими активами, такі як використання кількох гаманців для розподілу ризиків, регулярна перевірка активності рахунків тощо.

Підвищуючи обізнаність і вживаючи відповідних заходів захисту, ми можемо значно знизити ризик стати жертвою замилювання очей eth_sign. У світі блокчейн безпека завжди є найважливішим фактором.