Будьте осторожны с мошенничеством с подписями Ethereum: риски и меры предосторожности при слепой подписи eth_sign
В последнее время схема промывания глаз, использующая blind signing с помощью eth_sign, привлекла широкое внимание. Многие пользователи, не зная об этом, подписали на некоторых сайтах казалось бы безобидные подписи eth_sign, в результате чего их кошельковые активы были украдены. Чтобы помочь всем лучше понять механизм работы этой схемы, нам нужно сначала разобраться в сути подписи eth_sign.
Введение в подпись eth_sign
В экосистеме Ethereum eth_sign является распространенным методом подписи. Он позволяет пользователям использовать закрытый ключ для подписания сообщений, что является важной частью блокчейн-транзакций и может подтвердить, что конкретный аккаунт является инициатором транзакции. Этот процесс аналогичен подписанию на бумажном документе, что означает, что вы соглашаетесь с содержанием документа.
Однако в процессе использования eth_sign существует проблема, которая легко игнорируется, а именно так называемая "слепая подпись". Когда пользователь использует eth_sign для подписания сообщения, он часто не может полностью понять или проверить конкретное содержание подписи. Это связано с тем, что ввод eth_sign является сырым текстом, а не человеко-читаемым форматом. Это похоже на подписание контракта, написанного на незнакомом языке, и поэтому это называется "слепая подпись".
Анализ методов промывания глаз
Поняв концепции подписания eth_sign и слепой подписи, мы можем далее обсудить потенциальные риски eth_sign и способы предотвращения таких мошенничеств со слепой подписью.
Поскольку eth_sign может использоваться для подписи различных типов сообщений, включая транзакции и команды смарт-контрактов, злоумышленники могут заставить пользователя подписать сообщение, смысл которого он не полностью понимает, что может привести к перемещению активов. Более серьезно, мошенники могут предоставить на вид безобидное сообщение для подписи пользователя, но на самом деле это сообщение может быть командой операции, и как только будет поставлена подпись, активы пользователя будут переведены на счет мошенника.
Меры предосторожности
В условиях такой ситуации, как мы можем защитить себя? В ответ на подобные мошеннические действия, одна известная платформа кошельков обновила свою систему управления рисками в новой версии. Когда пользователи используют eth_sign для подписания сообщений через сторонние DApp, платформа будет показывать окно предупреждения о рисках, информируя пользователей о том, что текущая сделка может иметь потенциальные риски, и запускает 15-секундный таймер. Эта настройка предназначена для того, чтобы дать пользователям достаточно времени для оценки необходимости и безопасности операции подписания.
Рекомендации по безопасности
На основании рекомендаций экспертов по безопасности мы напоминаем всем:
Будьте особенно осторожны с любыми запросами, требующими подписи eth_sign, особенно если они поступают из ненадежных или неизвестных источников. Если у вас есть сомнения относительно подлинности или цели запроса, ни в коем случае не подписывайте его.
Убедитесь, что обрабатываемые сообщения или запросы на транзакции поступают из надежных источников, таких как официальный веб-сайт, официальные социальные сети или проверенные каналы связи. Никогда не доверяйте ссылкам, письмам или личной информации из ненадежных источников.
Перед выполнением любой операции подписания внимательно прочитайте и поймите всю соответствующую информацию. Если вы не можете полностью понять содержание подписи, лучше обратиться за помощью к специалисту или просто отказаться от этой операции.
Регулярно обновляйте программное обеспечение вашего кошелька, чтобы обеспечить использование последних функций безопасности и мер защиты.
Рассмотрите возможность использования аппаратных кошельков для важных транзакций, они обычно предлагают дополнительный уровень безопасности.
Повышая бдительность и принимая соответствующие меры предосторожности, мы можем значительно снизить риск стать жертвой мошенничества с blind sign eth_sign. В мире блокчейна безопасность всегда является самым важным фактором.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
17 Лайков
Награда
17
6
Поделиться
комментарий
0/400
just_another_wallet
· 2ч назад
неудачники всегда должны получить удар, чтобы запомнить.
Посмотреть ОригиналОтветить0
GasFeeCrier
· 15ч назад
Каждый год одно и то же старое представление, и кто-то все еще прыгает в яму?
Посмотреть ОригиналОтветить0
OneBlockAtATime
· 15ч назад
Снова попался в ловушку, неудачники не выдержат.
Посмотреть ОригиналОтветить0
ConfusedWhale
· 15ч назад
Кто-то снова попал в ловушку...
Посмотреть ОригиналОтветить0
ZKProofEnthusiast
· 16ч назад
Подписал и денег нет, это так страшно!
Посмотреть ОригиналОтветить0
Layer2Observer
· 16ч назад
С инженерной точки зрения, eth_sign не является серьезной уязвимостью.
Будьте осторожны с мошенничеством blind-sign eth_sign: Руководство по безопасности подписей Ethereum
Будьте осторожны с мошенничеством с подписями Ethereum: риски и меры предосторожности при слепой подписи eth_sign
В последнее время схема промывания глаз, использующая blind signing с помощью eth_sign, привлекла широкое внимание. Многие пользователи, не зная об этом, подписали на некоторых сайтах казалось бы безобидные подписи eth_sign, в результате чего их кошельковые активы были украдены. Чтобы помочь всем лучше понять механизм работы этой схемы, нам нужно сначала разобраться в сути подписи eth_sign.
Введение в подпись eth_sign
В экосистеме Ethereum eth_sign является распространенным методом подписи. Он позволяет пользователям использовать закрытый ключ для подписания сообщений, что является важной частью блокчейн-транзакций и может подтвердить, что конкретный аккаунт является инициатором транзакции. Этот процесс аналогичен подписанию на бумажном документе, что означает, что вы соглашаетесь с содержанием документа.
Однако в процессе использования eth_sign существует проблема, которая легко игнорируется, а именно так называемая "слепая подпись". Когда пользователь использует eth_sign для подписания сообщения, он часто не может полностью понять или проверить конкретное содержание подписи. Это связано с тем, что ввод eth_sign является сырым текстом, а не человеко-читаемым форматом. Это похоже на подписание контракта, написанного на незнакомом языке, и поэтому это называется "слепая подпись".
Анализ методов промывания глаз
Поняв концепции подписания eth_sign и слепой подписи, мы можем далее обсудить потенциальные риски eth_sign и способы предотвращения таких мошенничеств со слепой подписью.
Поскольку eth_sign может использоваться для подписи различных типов сообщений, включая транзакции и команды смарт-контрактов, злоумышленники могут заставить пользователя подписать сообщение, смысл которого он не полностью понимает, что может привести к перемещению активов. Более серьезно, мошенники могут предоставить на вид безобидное сообщение для подписи пользователя, но на самом деле это сообщение может быть командой операции, и как только будет поставлена подпись, активы пользователя будут переведены на счет мошенника.
Меры предосторожности
В условиях такой ситуации, как мы можем защитить себя? В ответ на подобные мошеннические действия, одна известная платформа кошельков обновила свою систему управления рисками в новой версии. Когда пользователи используют eth_sign для подписания сообщений через сторонние DApp, платформа будет показывать окно предупреждения о рисках, информируя пользователей о том, что текущая сделка может иметь потенциальные риски, и запускает 15-секундный таймер. Эта настройка предназначена для того, чтобы дать пользователям достаточно времени для оценки необходимости и безопасности операции подписания.
Рекомендации по безопасности
На основании рекомендаций экспертов по безопасности мы напоминаем всем:
Будьте особенно осторожны с любыми запросами, требующими подписи eth_sign, особенно если они поступают из ненадежных или неизвестных источников. Если у вас есть сомнения относительно подлинности или цели запроса, ни в коем случае не подписывайте его.
Убедитесь, что обрабатываемые сообщения или запросы на транзакции поступают из надежных источников, таких как официальный веб-сайт, официальные социальные сети или проверенные каналы связи. Никогда не доверяйте ссылкам, письмам или личной информации из ненадежных источников.
Перед выполнением любой операции подписания внимательно прочитайте и поймите всю соответствующую информацию. Если вы не можете полностью понять содержание подписи, лучше обратиться за помощью к специалисту или просто отказаться от этой операции.
Регулярно обновляйте программное обеспечение вашего кошелька, чтобы обеспечить использование последних функций безопасности и мер защиты.
Рассмотрите возможность использования аппаратных кошельков для важных транзакций, они обычно предлагают дополнительный уровень безопасности.
Повышая бдительность и принимая соответствующие меры предосторожности, мы можем значительно снизить риск стать жертвой мошенничества с blind sign eth_sign. В мире блокчейна безопасность всегда является самым важным фактором.