eth_sign сліпе підписування: принцип, методи та заходи запобігання

Нещодавно афера з етікеткою eth_sign набула розмаху, багато користувачів були введені в оману на деяких невідомих веб-сайтах, щоб підписати на вигляд безпечні етикетки eth_sign, що призвело до крадіжки активів з гаманців. Щоб допомогти всім краще зрозуміти механізм роботи цієї афери, нам потрібно спочатку пояснити суть етикетки eth_sign.

суть підпису eth_sign

У екосистемі Ethereum eth_sign є широко використовуваним методом підпису, який дозволяє користувачам використовувати приватний ключ для підписання повідомлень. Ця механіка підпису є ключовим елементом транзакцій у блокчейні, оскільки вона може підтвердити, що певний обліковий запис є ініціатором транзакції. Іншими словами, це схоже на підпис на документі, що вказує на вашу згоду чи підтримку вмісту документа.

Однак, в процесі використання eth_sign існує проблема, яка може бути легко проігнорована, а саме так зване "сліпе підписання". Коли ви використовуєте eth_sign для підписання повідомлення, ви, можливо, не зовсім розумієте, що саме ви підписуєте, і не можете зворотно перевірити, що конкретно представляє цей підпис. Це пов'язано з тим, що вхід eth_sign є сирим рядком, а не форматом, зрозумілим для людини. Це як підписувати контракт, написаний незнайомою мовою, і саме тому це називається "сліпе підписання".

Загальні методи шахрайства

Зрозумівши концепцію підпису eth_sign та сліпого підпису, ми можемо глибше дослідити потенційні ризики eth_sign та способи захисту від таких шахрайств зі сліпим підписом.

Оскільки eth_sign можна використовувати для підписання будь-якого типу повідомлень, включаючи транзакції та команди смарт-контрактів, зловмисні треті сторони можуть спонукати вас підписати повідомлення, яке ви не повністю розумієте, що призведе до переміщення ваших активів на їхні рахунки. Ще серйозніше, вони можуть надіслати вам, здається, безпечне повідомлення для підписання, але насправді це повідомлення може бути командою, і як тільки ви підпишете, ваші активи будуть переведені на їхні рахунки.

У такій ситуації, як ми повинні запобігти цьому? Щодо таких шахрайських дій, деякі гаманці вже оновили свої системи управління ризиками. Наприклад, коли користувачі відвідують третій DApp і викликають eth_sign для підписання повідомлення, з'являється сповіщення про ризик, яке попереджає користувача, що поточна угода може мати потенційні ризики, і запускає 15-секундний таймер охолодження. Таке налаштування має на меті надати користувачам достатньо часу для оцінки необхідності та безпеки операції підписання.

Рекомендації з безпеки

Щоб запобігти замилюванню очей з eth_sign, ми надаємо наступні рекомендації щодо безпеки:

1. Будьте надзвичайно обережні з усіма запитами, які вимагають підпису за допомогою eth_sign, особливо якщо запит походить з ненадійного або невідомого джерела. Якщо у вас є сумніви щодо достовірності або мети запиту, не підписуйте його легковажно.

2. Переконайтеся, що оброблені повідомлення або запити на транзакції надходять з надійних каналів, таких як офіційний веб-сайт, офіційні соціальні мережі або перевірені комунікаційні канали. Ніколи не довіряйте неперевіреним посиланням, електронним листам або особистій інформації.

3. Перед виконанням будь-яких підписних дій уважно прочитайте та зрозумійте зміст підпису. Якщо ви не можете повністю зрозуміти, краще звернутися за допомогою до фахівця або безпосередньо відмовитися від цієї дії.

4. Регулярно оновлюйте свій гаманець, щоб переконатися, що ви використовуєте останню версію, оскільки нові версії зазвичай містять останні оновлення безпеки та заходи захисту.

5. Використовуйте програми, які підтримують апаратні гаманці; апаратні гаманці можуть забезпечити додатковий рівень безпеки, що допомагає запобігти різним мережевим атакам.

6. Виховуйте хороші звички управління активами, не зберігайте всі активи в одному гаманці, розгляньте можливість використання кількох гаманців для розподілу ризиків.

Підвищуючи пильність і зміцнюючи обізнаність про безпеку, ми можемо краще захистити свої цифрові активи і уникнути шкоди від різних схем, таких як eth_sign сліпе підписання.