Осторожно, ловушка blind signing eth_sign: принципы, методы и стратегии защиты

В последнее время мошенничество с blind signing eth_sign стало распространённой проблемой, многие пользователи были обмануты на неизвестных сайтах и подписали, казалось бы, безвредные подписи eth_sign, что привело к потерям активов. Чтобы помочь всем лучше понять механизм работы этого вида мошенничества, нам необходимо сначала разъяснить суть подписи eth_sign.

Суть подписи eth_sign

В экосистеме Ethereum eth_sign является широко используемым методом подписи, который позволяет пользователям подписывать информацию с помощью закрытого ключа. Этот механизм подписи является ключевым элементом транзакций в блокчейне и используется для подтверждения того, что конкретный аккаунт является инициатором транзакции. Проще говоря, это похоже на подпись на документе, что означает, что вы одобряете или поддерживаете содержание документа.

Однако существует легко игнорируемая угроза при использовании eth_sign, так называемая проблема "слепой подписи". Когда пользователь подписывает информацию с помощью eth_sign, он может не полностью понимать содержание подписи и не может обратным образом проверить конкретное значение подписи. Это связано с тем, что ввод eth_sign представляет собой исходную строку, а не читаемый человеком формат. Это похоже на подписание контракта, написанного на незнакомом языке, именно поэтому это называется "слепая подпись".

Анализ методов мошенничества

Поняв концепцию подписи eth_sign и слепой подписи, мы можем углубиться в потенциальные риски eth_sign и в то, как предотвратить такие мошенничества со слепыми подписями.

Поскольку eth_sign может использоваться для подписания различных типов информации, включая транзакции и команды смарт-контрактов, злоумышленник может убедить пользователя подписать информацию, которую он не полностью понимает, что приведет к переводу активов. Более того, они могут предоставить на вид безвредную информацию для подписи пользователя, но на самом деле это может быть команда на выполнение действия, после подписания которой активы пользователя будут переведены на их счет.

Что мы можем сделать, чтобы предотвратить такую ситуацию? В связи с подобными мошенническими действиями, известный кошелек обновил свою версию с улучшенной системой управления рисками. Когда пользователи обращаются к стороннему DApp для вызова eth_sign для подписи информации, этот кошелек будет предоставлять всплывающее окно с предупреждением о рисках, уведомляя пользователей о том, что текущая транзакция может представлять потенциальный риск, и запускает 15-секундный таймер охлаждения. Эта функция предназначена для того, чтобы дать пользователям достаточно времени для оценки необходимости и безопасности операции подписи.

Рекомендации по безопасности

Эксперты по безопасности напоминают всем:

• Будьте очень осторожны с любыми запросами, требующими подписи с помощью eth_sign, особенно если они поступают из ненадежных или подозрительных источников. Если у вас есть сомнения по поводу подлинности или цели запроса, никогда не подписывайте его легкомысленно.
• Убедитесь, что обрабатываемая информация или запрос на транзакцию поступает из надежных источников, таких как официальные веб-сайты, официальные социальные сети или проверенные каналы связи. Никогда не доверяйте неизвестным ссылкам, электронным письмам или личным сообщениям.

Повышая бдительность и принимая соответствующие меры предосторожности, мы можем эффективно снизить риск мошенничества с blind-signature eth_sign и защитить безопасность наших цифровых активов.