Будьте обережні з пасткою сліпого підпису: ризики та запобігання підписанню eth_sign
Нещодавно активність шахрайства, що використовує підписання eth_sign, привернула широку увагу. Багато користувачів, не усвідомлюючи цього, підписали, здавалося б, безпечні підписи eth_sign на деяких підозрілих веб-сайтах, що призвело до крадіжки активів з їхніх гаманців. Щоб допомогти всім краще зрозуміти механізм роботи цього шахрайства, нам необхідно спочатку пояснити суть підпису eth_sign.
Огляд підпису eth_sign
У екосистемі Ethereum eth_sign є широко використовуваним методом підпису. Він дозволяє користувачам використовувати приватний ключ для підписання інформації, цей механізм є ключовим елементом блокчейн-транзакцій, що використовується для підтвердження того, що конкретний обліковий запис є ініціатором транзакції. Його можна порівняти з підписанням документа, щоб підтвердити вашу згоду або схвалення змісту документа.
Однак, у процесі використання eth_sign існує проблема, яка може бути легко проігнорована, а саме так званий "сліпий підпис". Коли користувач використовує eth_sign для підписання інформації, він часто не може повністю зрозуміти зміст підпису, а також не може зворотно перевірити конкретне значення підпису. Це пов'язано з тим, що вхідні дані eth_sign є сирим рядком, а не форматом, що читається людиною. Це схоже на підписання контракту, написаного незнайомою мовою, і саме тому його називають "сліпий підпис".
Поширені методи шахрайства
Зрозумівши концепцію підпису eth_sign та сліпого підпису, ми можемо далі обговорити потенційні ризики eth_sign та те, як запобігти таким шахрайствам зі сліпими підписами.
Оскільки eth_sign може бути використаний для підписання різних типів інформації, включаючи торгові команди та операції смарт-контрактів, зловмисні особи можуть спонукати користувачів підписати інформацію, яку вони не повністю розуміють, що може призвести до передачі активів. Ще серйозніше, вони можуть надати на перший погляд безпечну інформацію для підписання, але насправді це може бути операційна команда, і як тільки вона буде підписана, активи користувача будуть переведені на рахунок шахрая.
У цій ситуації, як ми повинні запобігти цьому? Для боротьби з такими шахрайськими діями, один відомий гаманець оновив свою версію, провівши оновлення системи управління ризиками. Коли користувач викликає eth_sign через третій DApp для підписання повідомлення, гаманець відобразить вікно з попередженням про ризик, яке сповістить користувача, що поточна дія може мати потенційний ризик, і запустить 15-секундний зворотний відлік. Цей дизайн має на меті надати користувачам достатньо часу для оцінки необхідності та безпеки операції підписання.
Рекомендації щодо безпеки
Експерти з безпеки особливо наголошують:
Будьте особливо обережні з усіма запитами, які вимагають підпису eth_sign, особливо з запитами з ненадійних або невідомих джерел. Якщо у вас є сумніви щодо справжності або мети запиту, не підписуйте його легковажно.
Переконайтеся, що оброблювана інформація або запит на транзакцію надходить з надійних каналів, таких як офіційний веб-сайт, перевірені акаунти в соціальних мережах або надійні канали зв'язку. Ніколи не вірте посиланням, електронним листам або особистій інформації з незрозумілого джерела.
Перед виконанням будь-яких операцій підпису уважно перегляньте зміст підпису. Якщо ви не розумієте конкретне значення підпису, краще не виконувати операцію.
Регулярно оновлюйте своє програмне забезпечення для гаманця, щоб отримувати останні функції безпеки та заходи захисту.
Розгляньте можливість використання апаратних гаманців для важливих транзакцій, оскільки вони зазвичай забезпечують вищий рівень захисту.
Виховуйте хороші звички управління цифровими активами, не зберігайте всі активи в одному гаманці, можна розподілити ризики.
Підвищуючи обізнаність і вживаючи необхідних запобіжних заходів, ми можемо значно знизити ризик стати жертвою шахрайства етих_sign. У світі блокчейн безпека завжди є головним пріоритетом.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
15 лайків
Нагородити
15
6
Поділіться
Прокоментувати
0/400
MEVSandwichVictim
· 07-31 15:56
Програв, справді попався на eth_sign
Переглянути оригіналвідповісти на0
gas_fee_trauma
· 07-31 15:55
Підписанти останнім часом мають багато труднощів, і ще стільки пасток.
Переглянути оригіналвідповісти на0
MevHunter
· 07-31 15:54
Що б ти не робив, все потрібно підписувати, це ставить людей у становище жертви.
Переглянути оригіналвідповісти на0
MysteryBoxBuster
· 07-31 15:45
Підписуйтесь, підписуйтесь, підписуйтесь. Ті, хто любить підписуватися, заходьте отримати урок.
Переглянути оригіналвідповісти на0
CryingOldWallet
· 07-31 15:40
Рука тряслася, і гаманець зник повністю. Хто зрозуміє цей біль...
Переглянути оригіналвідповісти на0
HashBard
· 07-31 15:31
н00би будуть отримувати пастку, поки не навчаться... класична eth_sign пастка smh
eth_sign сліпий підпис пастка: розуміння ризиків та заходів безпеки
Будьте обережні з пасткою сліпого підпису: ризики та запобігання підписанню eth_sign
Нещодавно активність шахрайства, що використовує підписання eth_sign, привернула широку увагу. Багато користувачів, не усвідомлюючи цього, підписали, здавалося б, безпечні підписи eth_sign на деяких підозрілих веб-сайтах, що призвело до крадіжки активів з їхніх гаманців. Щоб допомогти всім краще зрозуміти механізм роботи цього шахрайства, нам необхідно спочатку пояснити суть підпису eth_sign.
Огляд підпису eth_sign
У екосистемі Ethereum eth_sign є широко використовуваним методом підпису. Він дозволяє користувачам використовувати приватний ключ для підписання інформації, цей механізм є ключовим елементом блокчейн-транзакцій, що використовується для підтвердження того, що конкретний обліковий запис є ініціатором транзакції. Його можна порівняти з підписанням документа, щоб підтвердити вашу згоду або схвалення змісту документа.
Однак, у процесі використання eth_sign існує проблема, яка може бути легко проігнорована, а саме так званий "сліпий підпис". Коли користувач використовує eth_sign для підписання інформації, він часто не може повністю зрозуміти зміст підпису, а також не може зворотно перевірити конкретне значення підпису. Це пов'язано з тим, що вхідні дані eth_sign є сирим рядком, а не форматом, що читається людиною. Це схоже на підписання контракту, написаного незнайомою мовою, і саме тому його називають "сліпий підпис".
Поширені методи шахрайства
Зрозумівши концепцію підпису eth_sign та сліпого підпису, ми можемо далі обговорити потенційні ризики eth_sign та те, як запобігти таким шахрайствам зі сліпими підписами.
Оскільки eth_sign може бути використаний для підписання різних типів інформації, включаючи торгові команди та операції смарт-контрактів, зловмисні особи можуть спонукати користувачів підписати інформацію, яку вони не повністю розуміють, що може призвести до передачі активів. Ще серйозніше, вони можуть надати на перший погляд безпечну інформацію для підписання, але насправді це може бути операційна команда, і як тільки вона буде підписана, активи користувача будуть переведені на рахунок шахрая.
У цій ситуації, як ми повинні запобігти цьому? Для боротьби з такими шахрайськими діями, один відомий гаманець оновив свою версію, провівши оновлення системи управління ризиками. Коли користувач викликає eth_sign через третій DApp для підписання повідомлення, гаманець відобразить вікно з попередженням про ризик, яке сповістить користувача, що поточна дія може мати потенційний ризик, і запустить 15-секундний зворотний відлік. Цей дизайн має на меті надати користувачам достатньо часу для оцінки необхідності та безпеки операції підписання.
Рекомендації щодо безпеки
Експерти з безпеки особливо наголошують:
Будьте особливо обережні з усіма запитами, які вимагають підпису eth_sign, особливо з запитами з ненадійних або невідомих джерел. Якщо у вас є сумніви щодо справжності або мети запиту, не підписуйте його легковажно.
Переконайтеся, що оброблювана інформація або запит на транзакцію надходить з надійних каналів, таких як офіційний веб-сайт, перевірені акаунти в соціальних мережах або надійні канали зв'язку. Ніколи не вірте посиланням, електронним листам або особистій інформації з незрозумілого джерела.
Перед виконанням будь-яких операцій підпису уважно перегляньте зміст підпису. Якщо ви не розумієте конкретне значення підпису, краще не виконувати операцію.
Регулярно оновлюйте своє програмне забезпечення для гаманця, щоб отримувати останні функції безпеки та заходи захисту.
Розгляньте можливість використання апаратних гаманців для важливих транзакцій, оскільки вони зазвичай забезпечують вищий рівень захисту.
Виховуйте хороші звички управління цифровими активами, не зберігайте всі активи в одному гаманці, можна розподілити ризики.
Підвищуючи обізнаність і вживаючи необхідних запобіжних заходів, ми можемо значно знизити ризик стати жертвою шахрайства етих_sign. У світі блокчейн безпека завжди є головним пріоритетом.