eth_sign слепая подпись промывание глаз: принцип, риски и меры предосторожности
В последнее время мошенничество с blind sign на основе eth_sign стало активно проявляться, многие пользователи были обмануты на непонятных сайтах и подписали на вид безобидные подписи eth_sign, что привело к потере активов в кошельках. Чтобы помочь всем лучше понять механизмы работы таких мошенничеств, необходимо сначала объяснить суть подписи eth_sign.
Введение в подпись eth_sign
eth_sign является широко используемым методом подписи в экосистеме Ethereum, позволяющим пользователям подписывать сообщения с помощью личного ключа. Это механизм является ключевым элементом блокчейн-транзакций, используемым для доказательства того, что конкретный аккаунт является инициатором транзакции. Проще говоря, это похоже на подписание бумажного документа, чтобы выразить согласие или поддержку содержания документа.
Однако в процессе использования eth_sign существует одна проблема, которую легко проигнорировать, а именно так называемая "слепая подпись". Когда пользователь подписывает сообщение с помощью eth_sign, он часто не может полностью понять содержание подписи и не может проверить конкретное значение подписи. Это связано с тем, что входные данные для eth_sign являются исходной строкой, а не форматом, понятным человеку. Это похоже на подпись под контрактом, написанным на незнакомом языке, именно поэтому это называется "слепая подпись".
Часто встречающиеся методы мошенничества
Поняв концепции подписи eth_sign и слепой подписи, мы можем более подробно рассмотреть потенциальные риски eth_sign и соответствующие меры предосторожности.
Поскольку eth_sign может использоваться для подписания различных сообщений, включая транзакции и команды смарт-контрактов, злоумышленные третьи лица могут склонить пользователя подписать сообщение, которое он не понимает, что может привести к передаче активов. Более серьезно, они могут предоставить на вид безобидное сообщение для подписи пользователя, которое на самом деле является командой на выполнение действия; как только подпись будет завершена, активы пользователя будут переведены на счет другой стороны.
В условиях такой ситуации, как нам следует предотвращать это? В ответ на подобные мошеннические действия, последняя версия известного кошелька прошла обновление системы управления рисками. Когда пользователи обращаются к стороннему DApp для вызова eth_sign для подписания сообщения, кошелек выдает окно предупреждения о рисках, информируя пользователя о том, что текущая транзакция может представлять потенциальные риски, и запускает 15-секундный таймер охлаждения. Эта настройка призвана предоставить пользователям достаточно времени для оценки необходимости и безопасности операции подписи.
Советы по безопасности
Эксперты по безопасности напоминают всем пользователям:
Будьте особенно осторожны с любыми запросами, требующими подписи через eth_sign, особенно если запросы поступают из ненадежных или неизвестных источников. Если у вас есть сомнения в подлинности или цели запроса, не подписывайте его легкомысленно.
Убедитесь, что обрабатываемые сообщения или запросы на транзакции поступают из надежных источников, таких как официальный сайт, официальные социальные сети или проверенные каналы связи. Никогда не доверяйте ссылкам, письмам или личным сообщениям из неизвестных источников.
Повышая бдительность и принимая соответствующие меры предосторожности, мы можем эффективно снизить риск стать жертвой промывания глаз eth_sign и обеспечить безопасность цифровых активов.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
11 Лайков
Награда
11
10
Репост
Поделиться
комментарий
0/400
GateUser-c802f0e8
· 07-06 23:30
Взорвите, заработайте, братья
Посмотреть ОригиналОтветить0
PhantomMiner
· 07-06 03:47
Осторожно с слепыми подписями, чтобы не попасться на удочку.
eth_sign слепая подпись промывание глаз: анализ принципа и руководство по предотвращению
eth_sign слепая подпись промывание глаз: принцип, риски и меры предосторожности
В последнее время мошенничество с blind sign на основе eth_sign стало активно проявляться, многие пользователи были обмануты на непонятных сайтах и подписали на вид безобидные подписи eth_sign, что привело к потере активов в кошельках. Чтобы помочь всем лучше понять механизмы работы таких мошенничеств, необходимо сначала объяснить суть подписи eth_sign.
Введение в подпись eth_sign
eth_sign является широко используемым методом подписи в экосистеме Ethereum, позволяющим пользователям подписывать сообщения с помощью личного ключа. Это механизм является ключевым элементом блокчейн-транзакций, используемым для доказательства того, что конкретный аккаунт является инициатором транзакции. Проще говоря, это похоже на подписание бумажного документа, чтобы выразить согласие или поддержку содержания документа.
Однако в процессе использования eth_sign существует одна проблема, которую легко проигнорировать, а именно так называемая "слепая подпись". Когда пользователь подписывает сообщение с помощью eth_sign, он часто не может полностью понять содержание подписи и не может проверить конкретное значение подписи. Это связано с тем, что входные данные для eth_sign являются исходной строкой, а не форматом, понятным человеку. Это похоже на подпись под контрактом, написанным на незнакомом языке, именно поэтому это называется "слепая подпись".
Часто встречающиеся методы мошенничества
Поняв концепции подписи eth_sign и слепой подписи, мы можем более подробно рассмотреть потенциальные риски eth_sign и соответствующие меры предосторожности.
Поскольку eth_sign может использоваться для подписания различных сообщений, включая транзакции и команды смарт-контрактов, злоумышленные третьи лица могут склонить пользователя подписать сообщение, которое он не понимает, что может привести к передаче активов. Более серьезно, они могут предоставить на вид безобидное сообщение для подписи пользователя, которое на самом деле является командой на выполнение действия; как только подпись будет завершена, активы пользователя будут переведены на счет другой стороны.
В условиях такой ситуации, как нам следует предотвращать это? В ответ на подобные мошеннические действия, последняя версия известного кошелька прошла обновление системы управления рисками. Когда пользователи обращаются к стороннему DApp для вызова eth_sign для подписания сообщения, кошелек выдает окно предупреждения о рисках, информируя пользователя о том, что текущая транзакция может представлять потенциальные риски, и запускает 15-секундный таймер охлаждения. Эта настройка призвана предоставить пользователям достаточно времени для оценки необходимости и безопасности операции подписи.
Советы по безопасности
Эксперты по безопасности напоминают всем пользователям:
Будьте особенно осторожны с любыми запросами, требующими подписи через eth_sign, особенно если запросы поступают из ненадежных или неизвестных источников. Если у вас есть сомнения в подлинности или цели запроса, не подписывайте его легкомысленно.
Убедитесь, что обрабатываемые сообщения или запросы на транзакции поступают из надежных источников, таких как официальный сайт, официальные социальные сети или проверенные каналы связи. Никогда не доверяйте ссылкам, письмам или личным сообщениям из неизвестных источников.
Повышая бдительность и принимая соответствующие меры предосторожности, мы можем эффективно снизить риск стать жертвой промывания глаз eth_sign и обеспечить безопасность цифровых активов.