eth_sign сліпий підпис: принцип, ризики та заходи запобігання
Нещодавно в криптовалютній спільноті часто з'являється схема замилювання очей, яка використовує сліпий підпис eth_sign, внаслідок чого багато користувачів зазнали втрат активів. Щоб допомогти всім краще зрозуміти механізм роботи цієї схеми та способи її запобігання, нам потрібно спочатку пояснити суть підпису eth_sign.
вступ до підпису eth_sign
eth_sign є широко використовуваним методом підпису в мережі Ethereum, який дозволяє користувачам підписувати повідомлення за допомогою приватного ключа. Цей механізм відіграє ключову роль у блокчейн-транзакціях, оскільки він може підтвердити, що конкретний обліковий запис є ініціатором транзакції. Його можна порівняти з підписанням паперового документа, щоб підтвердити визнання або підтримку змісту документа.
Проте, існує одна проблема, яку легко ігнорувати під час використання eth_sign, а саме так зване "сліпе підписання". Коли користувач підписує повідомлення за допомогою eth_sign, він часто не може повністю зрозуміти чи перевірити конкретний зміст підписаного. Це пов'язано з тим, що вхідними даними для eth_sign є сирий рядок, а не формати, зрозумілі людині. Це схоже на підписання контракту, написаного на незнайомій мові, саме тому це називається "сліпе підписання".
Загальні методи шахрайства
Зрозумівши концепцію підпису eth_sign та сліпих підписів, ми можемо більш детально обговорити потенційні ризики eth_sign та способи запобігання таким шахрайствам зі сліпими підписами.
Оскільки eth_sign можна використовувати для підписання будь-якого типу повідомлень, включаючи торгові команди та дії з розумними контрактами, зловмисні треті особи можуть спонукати користувачів підписати повідомлення, яке вони не зовсім розуміють, що може призвести до переміщення активів. Ще серйозніше, вони можуть надати, здавалося б, нешкідливе повідомлення для підписання користувачем, але насправді це може бути команда дій, і як тільки підписано, активи користувача можуть бути передані на рахунок зловмисника.
У такій ситуації, як ми повинні захищатися? Деякі гаманці вже почали оновлювати свої системи управління ризиками. Наприклад, коли користувач підписує повідомлення через третій DApp за допомогою eth_sign, гаманець відображає вікно попередження про ризики, повідомляючи користувача про потенційні ризики поточної операції, і встановлює 15-секундний таймер охолодження. Такий дизайн покликаний дати користувачам достатньо часу для оцінки необхідності та безпеки операції підписання.
Рекомендації з безпеки
Щоб уникнути того, щоб стати жертвою замилювання очей eth_sign, будь ласка, пам'ятайте про такі рекомендації з безпеки:
Будьте особливо обережні з усіма запитами, які вимагають підпису eth_sign, особливо якщо запити походять з ненадійних або підозрілих джерел. Якщо у вас є будь-які сумніви щодо справжності або мети запиту, не підписуйте його без вагомих причин.
Переконайтеся, що оброблені повідомлення або запити на транзакції походять з надійних каналів, таких як офіційний веб-сайт, перевірені облікові записи в соціальних мережах або надійні канали зв'язку. Ніколи не вірте посиланням, електронним листам або приватним повідомленням з невідомим походженням.
Перед проведенням будь-яких підписних операцій ретельно перевірте деталі транзакції та адресу отримувача. Якщо ви виявите будь-які аномалії або незрозумілі моменти, негайно зупиніться і зверніться за професійною допомогою.
Регулярно оновлюйте програмне забезпечення вашого гаманця, щоб забезпечити використання останньої версії. Розробники зазвичай додають більше функцій безпеки та виправлень помилок у нових версіях.
Розгляньте можливість використання апаратних гаманців для зберігання великих активів, оскільки апаратні гаманці зазвичай забезпечують вищий рівень захисту.
Виховуйте хороші звички цифрової безпеки, такі як використання складних паролів, увімкнення двофакторної автентифікації тощо, ці заходи можуть забезпечити додатковий рівень захисту для ваших активів.
Завдяки підвищенню обізнаності та дотриманню цих рекомендацій з безпеки, ми можемо значно знизити ризик стати жертвами замилювання очей eth_sign. У світі криптовалют обережність і постійне навчання є ключем до захисту активів.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
20 лайків
Нагородити
20
8
Поділіться
Прокоментувати
0/400
GreenCandleCollector
· 22год тому
Навчився обережно підписувати
Переглянути оригіналвідповісти на0
DaoResearcher
· 07-20 22:51
Підписуйтеся обережно
Переглянути оригіналвідповісти на0
ZKSherlock
· 07-20 20:34
Повільно, крок за кроком.
Переглянути оригіналвідповісти на0
DYORMaster
· 07-18 16:42
Обережність є основою
Переглянути оригіналвідповісти на0
WagmiWarrior
· 07-18 16:39
Не підпишу, якщо не навчусь
Переглянути оригіналвідповісти на0
GasFeeVictim
· 07-18 16:39
новачок必看防骗指南
Переглянути оригіналвідповісти на0
SolidityStruggler
· 07-18 16:23
Остерігайтеся сліпих підписів, це призводить до смерті.
eth_sign盲签 замилювання очей: принципи аналізу та посібник з запобігання
eth_sign сліпий підпис: принцип, ризики та заходи запобігання
Нещодавно в криптовалютній спільноті часто з'являється схема замилювання очей, яка використовує сліпий підпис eth_sign, внаслідок чого багато користувачів зазнали втрат активів. Щоб допомогти всім краще зрозуміти механізм роботи цієї схеми та способи її запобігання, нам потрібно спочатку пояснити суть підпису eth_sign.
вступ до підпису eth_sign
eth_sign є широко використовуваним методом підпису в мережі Ethereum, який дозволяє користувачам підписувати повідомлення за допомогою приватного ключа. Цей механізм відіграє ключову роль у блокчейн-транзакціях, оскільки він може підтвердити, що конкретний обліковий запис є ініціатором транзакції. Його можна порівняти з підписанням паперового документа, щоб підтвердити визнання або підтримку змісту документа.
Проте, існує одна проблема, яку легко ігнорувати під час використання eth_sign, а саме так зване "сліпе підписання". Коли користувач підписує повідомлення за допомогою eth_sign, він часто не може повністю зрозуміти чи перевірити конкретний зміст підписаного. Це пов'язано з тим, що вхідними даними для eth_sign є сирий рядок, а не формати, зрозумілі людині. Це схоже на підписання контракту, написаного на незнайомій мові, саме тому це називається "сліпе підписання".
Загальні методи шахрайства
Зрозумівши концепцію підпису eth_sign та сліпих підписів, ми можемо більш детально обговорити потенційні ризики eth_sign та способи запобігання таким шахрайствам зі сліпими підписами.
Оскільки eth_sign можна використовувати для підписання будь-якого типу повідомлень, включаючи торгові команди та дії з розумними контрактами, зловмисні треті особи можуть спонукати користувачів підписати повідомлення, яке вони не зовсім розуміють, що може призвести до переміщення активів. Ще серйозніше, вони можуть надати, здавалося б, нешкідливе повідомлення для підписання користувачем, але насправді це може бути команда дій, і як тільки підписано, активи користувача можуть бути передані на рахунок зловмисника.
У такій ситуації, як ми повинні захищатися? Деякі гаманці вже почали оновлювати свої системи управління ризиками. Наприклад, коли користувач підписує повідомлення через третій DApp за допомогою eth_sign, гаманець відображає вікно попередження про ризики, повідомляючи користувача про потенційні ризики поточної операції, і встановлює 15-секундний таймер охолодження. Такий дизайн покликаний дати користувачам достатньо часу для оцінки необхідності та безпеки операції підписання.
Рекомендації з безпеки
Щоб уникнути того, щоб стати жертвою замилювання очей eth_sign, будь ласка, пам'ятайте про такі рекомендації з безпеки:
Будьте особливо обережні з усіма запитами, які вимагають підпису eth_sign, особливо якщо запити походять з ненадійних або підозрілих джерел. Якщо у вас є будь-які сумніви щодо справжності або мети запиту, не підписуйте його без вагомих причин.
Переконайтеся, що оброблені повідомлення або запити на транзакції походять з надійних каналів, таких як офіційний веб-сайт, перевірені облікові записи в соціальних мережах або надійні канали зв'язку. Ніколи не вірте посиланням, електронним листам або приватним повідомленням з невідомим походженням.
Перед проведенням будь-яких підписних операцій ретельно перевірте деталі транзакції та адресу отримувача. Якщо ви виявите будь-які аномалії або незрозумілі моменти, негайно зупиніться і зверніться за професійною допомогою.
Регулярно оновлюйте програмне забезпечення вашого гаманця, щоб забезпечити використання останньої версії. Розробники зазвичай додають більше функцій безпеки та виправлень помилок у нових версіях.
Розгляньте можливість використання апаратних гаманців для зберігання великих активів, оскільки апаратні гаманці зазвичай забезпечують вищий рівень захисту.
Виховуйте хороші звички цифрової безпеки, такі як використання складних паролів, увімкнення двофакторної автентифікації тощо, ці заходи можуть забезпечити додатковий рівень захисту для ваших активів.
Завдяки підвищенню обізнаності та дотриманню цих рекомендацій з безпеки, ми можемо значно знизити ризик стати жертвами замилювання очей eth_sign. У світі криптовалют обережність і постійне навчання є ключем до захисту активів.