Підвищте обізнаність: розпізнавайте та запобігайте ризику сліпого підпису eth_sign
Нещодавно шахрайство з етапом eth_sign стало надзвичайно активним, багато користувачів були спонуковані підписати, здавалося б, безпечні підписи eth_sign на невідомих сайтах, що призвело до крадіжки активів з гаманців. Щоб допомогти всім краще зрозуміти, як працює це шахрайство, ми повинні спочатку пояснити сутність підпису eth_sign.
Огляд підпису eth_sign
У екосистемі Ethereum eth_sign є широко використовуваним методом підписання, який дозволяє користувачам підписувати повідомлення за допомогою приватного ключа. Цей механізм підписання є основною складовою частиною блокчейн-транзакцій, що використовується для підтвердження того, що конкретний обліковий запис є ініціатором транзакції. Простими словами, це схоже на підпис на паперових документах, щоб показати, що ви погоджуєтеся або підтримуєте зміст документа.
Однак існує одна проблема, яка легко може бути проігнорована під час використання eth_sign, а саме, що його часто називають "сліпим підписом". Коли користувач підписує повідомлення за допомогою eth_sign, він може не повністю усвідомлювати зміст підпису і не може перевірити конкретне значення підпису. Це пов'язано з тим, що вхідні дані eth_sign є сирими символами, а не форматом, зрозумілим людині. Це можна порівняти з підписанням контракту, написаного на незнайомій мові, саме тому його називають "сліпим підписом".
Загальні методи шахрайства
Зрозумівши концепції підпису eth_sign та сліпого підпису, ми можемо детальніше розглянути потенційні ризики eth_sign та способи запобігання таким шахрайствам зі сліпими підписами.
Оскільки eth_sign може використовуватися для підписання різних типів повідомлень, включаючи транзакції та інструкції смарт-контрактів, зловмисні треті особи можуть спонукати користувачів підписати повідомлення, зміст якого не зовсім зрозумілий, що може призвести до передачі активів. Ще серйозніше, вони можуть надати здавалося б безпечне повідомлення для підписання користувачем, але насправді це може бути інструкція до дій, і як тільки буде підписано, активи користувача можуть бути переведені на рахунок шахрая.
У ситуації, що склалася, як ми повинні захиститися? Щоб запобігти подібним шахрайствам, нова версія відомого гаманця пройшла оновлення системи управління ризиками. Коли користувач відвідує сторонній DApp і викликає eth_sign для підписання повідомлення, гаманець відобразить вікно попередження про ризик, сповіщаючи користувача, що поточна транзакція може бути потенційно ризикованою, і запустить 15-секундний таймер охолодження. Такий дизайн має на меті надати користувачеві достатньо часу для оцінки необхідності та безпеки підписання.
Рекомендації з безпеки
Експерти з безпеки нагадують всім:
Будьте обережні з усіма запитами, які вимагають підпису eth_sign, особливо з незнайомих або ненадійних джерел. Якщо у вас є сумніви щодо справжності або мети запиту, не підписуйте його легковажно.
Переконайтеся, що оброблені повідомлення або запити на транзакції надходять з надійних каналів, таких як офіційний веб-сайт, офіційні соціальні мережі або перевірені комунікаційні канали. Ніколи не довіряйте посиланням, електронним листам або приватним повідомленням з невідомих джерел.
Завдяки підвищеній обізнаності та вжиттю відповідних заходів безпеки, ми можемо ефективно знизити ризик стати жертвою шахрайства з blind-signature eth_sign. У світі блокчейну захист своїх активів завжди є найважливішим обов'язком.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
10 лайків
Нагородити
10
6
Репост
Поділіться
Прокоментувати
0/400
BearMarketNoodler
· 59хв. тому
Тільки підписуйте нічні угоди, новичкам невдахам не слід торкатися.
Переглянути оригіналвідповісти на0
TokenStorm
· 08-15 16:42
Підпис не витримує, мене вже тричі обдурили, а я все ще наважуюсь.
Переглянути оригіналвідповісти на0
nft_widow
· 08-15 16:41
Знову новачок попався на сліпий підпис? Вчимося на своїх помилках~
eth_sign сліпий підпис ризик попередження: зрозуміти принципи та запобіжні заходи
Підвищте обізнаність: розпізнавайте та запобігайте ризику сліпого підпису eth_sign
Нещодавно шахрайство з етапом eth_sign стало надзвичайно активним, багато користувачів були спонуковані підписати, здавалося б, безпечні підписи eth_sign на невідомих сайтах, що призвело до крадіжки активів з гаманців. Щоб допомогти всім краще зрозуміти, як працює це шахрайство, ми повинні спочатку пояснити сутність підпису eth_sign.
Огляд підпису eth_sign
У екосистемі Ethereum eth_sign є широко використовуваним методом підписання, який дозволяє користувачам підписувати повідомлення за допомогою приватного ключа. Цей механізм підписання є основною складовою частиною блокчейн-транзакцій, що використовується для підтвердження того, що конкретний обліковий запис є ініціатором транзакції. Простими словами, це схоже на підпис на паперових документах, щоб показати, що ви погоджуєтеся або підтримуєте зміст документа.
Однак існує одна проблема, яка легко може бути проігнорована під час використання eth_sign, а саме, що його часто називають "сліпим підписом". Коли користувач підписує повідомлення за допомогою eth_sign, він може не повністю усвідомлювати зміст підпису і не може перевірити конкретне значення підпису. Це пов'язано з тим, що вхідні дані eth_sign є сирими символами, а не форматом, зрозумілим людині. Це можна порівняти з підписанням контракту, написаного на незнайомій мові, саме тому його називають "сліпим підписом".
Загальні методи шахрайства
Зрозумівши концепції підпису eth_sign та сліпого підпису, ми можемо детальніше розглянути потенційні ризики eth_sign та способи запобігання таким шахрайствам зі сліпими підписами.
Оскільки eth_sign може використовуватися для підписання різних типів повідомлень, включаючи транзакції та інструкції смарт-контрактів, зловмисні треті особи можуть спонукати користувачів підписати повідомлення, зміст якого не зовсім зрозумілий, що може призвести до передачі активів. Ще серйозніше, вони можуть надати здавалося б безпечне повідомлення для підписання користувачем, але насправді це може бути інструкція до дій, і як тільки буде підписано, активи користувача можуть бути переведені на рахунок шахрая.
У ситуації, що склалася, як ми повинні захиститися? Щоб запобігти подібним шахрайствам, нова версія відомого гаманця пройшла оновлення системи управління ризиками. Коли користувач відвідує сторонній DApp і викликає eth_sign для підписання повідомлення, гаманець відобразить вікно попередження про ризик, сповіщаючи користувача, що поточна транзакція може бути потенційно ризикованою, і запустить 15-секундний таймер охолодження. Такий дизайн має на меті надати користувачеві достатньо часу для оцінки необхідності та безпеки підписання.
Рекомендації з безпеки
Експерти з безпеки нагадують всім:
Завдяки підвищеній обізнаності та вжиттю відповідних заходів безпеки, ми можемо ефективно знизити ризик стати жертвою шахрайства з blind-signature eth_sign. У світі блокчейну захист своїх активів завжди є найважливішим обов'язком.