eth_sign сліпе замилювання очей: принцип, ризики та заходи запобігання
Нещодавно, активність схеми замилювання очей за допомогою eth_sign стала помітною, багато користувачів були змушені підписати, здавалося б, безпечні підписи eth_sign на невідомих сайтах, що призвело до втрати активів у гаманцях. Щоб допомогти всім краще зрозуміти механізм роботи таких схем, нам необхідно спочатку пояснити суть підпису eth_sign.
ознайомлення з підписом eth_sign
eth_sign є широко використовуваним методом підпису в екосистемі Ethereum, який дозволяє користувачам використовувати приватний ключ для підписання повідомлень. Цей механізм є ключовим аспектом блокчейн-транзакцій, що використовується для підтвердження того, що певний обліковий запис є ініціатором транзакції. Іншими словами, це схоже на підписання паперового документа, щоб виразити згоду або підтримку змісту документа.
Однак існує проблема, яку легко ігнорувати під час використання eth_sign, а саме так звана "сліпа підпис". Коли користувач підписує повідомлення за допомогою eth_sign, він часто не може повністю зрозуміти зміст підпису і не може перевірити конкретне значення підпису зворотно. Це пов'язано з тим, що вхідні дані для eth_sign є сирим рядком, а не форматом, придатним для читання людиною. Це схоже на підписання контракту, написаного незнайомою мовою, і саме тому його називають "сліпою підпис".
Поширені методи шахрайства
Зрозумівши концепції підпису eth_sign та сліпого підпису, ми можемо глибше дослідити потенційні ризики eth_sign та відповідні заходи запобігання.
Оскільки eth_sign може використовуватися для підписання різних повідомлень, включаючи транзакції та команди смарт-контрактів, зловмисні треті сторони можуть спонукати користувачів підписати повідомлення, яке не було повністю зрозуміле, внаслідок чого активи можуть бути переведені. Ще серйозніше, вони можуть надати безневинне на вигляд повідомлення для підпису, яке насправді є командою дій, і як тільки підпис буде завершено, активи користувача будуть переведені на рахунок іншої сторони.
У цій ситуації, як нам слід запобігти? У зв'язку з такими шахрайськими діями, остання версія відомого гаманця провела оновлення системи управління ризиками. Коли користувач відвідує третій DApp, який викликає eth_sign для підписання повідомлення, гаманець відобразить вікно попередження про ризик, попереджаючи користувача, що поточна транзакція може містити потенційний ризик, і запустить 15-секундний таймер охолодження. Це налаштування має на меті надати користувачам достатньо часу для оцінки необхідності та безпеки операції підписання.
Рекомендації з безпеки
Експерти з безпеки нагадують широкій аудиторії користувачів:
Будьте дуже обережні з усіма запитами, які вимагають підпису eth_sign, особливо з тих, що походять з ненадійних або невідомих джерел. Якщо ви сумніваєтеся у справжності або меті запиту, не підписуйте його без серйозних підстав.
Переконайтеся, що оброблені повідомлення або запити на транзакції надходять з надійних каналів, таких як офіційний веб-сайт, офіційні соціальні мережі або перевірені канали зв'язку. Ніколи не довіряйте посиланням, електронним листам або особистій інформації з невідомих джерел.
Завдяки підвищенню обізнаності та вжиттю відповідних запобіжних заходів, ми можемо ефективно знизити ризик стати жертвою замилювання очей eth_sign, забезпечивши безпеку цифрових активів.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
11 лайків
Нагородити
11
10
Репост
Поділіться
Прокоментувати
0/400
GateUser-c802f0e8
· 07-06 23:30
Вибухово заробили, браття!
Переглянути оригіналвідповісти на0
PhantomMiner
· 07-06 03:47
Остерігайтеся сліпих підписів, щоб не потрапити на шахрайство
eth_sign сліпе підписання: аналіз схеми замилювання очей, принципи та рекомендації щодо запобігання
eth_sign сліпе замилювання очей: принцип, ризики та заходи запобігання
Нещодавно, активність схеми замилювання очей за допомогою eth_sign стала помітною, багато користувачів були змушені підписати, здавалося б, безпечні підписи eth_sign на невідомих сайтах, що призвело до втрати активів у гаманцях. Щоб допомогти всім краще зрозуміти механізм роботи таких схем, нам необхідно спочатку пояснити суть підпису eth_sign.
ознайомлення з підписом eth_sign
eth_sign є широко використовуваним методом підпису в екосистемі Ethereum, який дозволяє користувачам використовувати приватний ключ для підписання повідомлень. Цей механізм є ключовим аспектом блокчейн-транзакцій, що використовується для підтвердження того, що певний обліковий запис є ініціатором транзакції. Іншими словами, це схоже на підписання паперового документа, щоб виразити згоду або підтримку змісту документа.
Однак існує проблема, яку легко ігнорувати під час використання eth_sign, а саме так звана "сліпа підпис". Коли користувач підписує повідомлення за допомогою eth_sign, він часто не може повністю зрозуміти зміст підпису і не може перевірити конкретне значення підпису зворотно. Це пов'язано з тим, що вхідні дані для eth_sign є сирим рядком, а не форматом, придатним для читання людиною. Це схоже на підписання контракту, написаного незнайомою мовою, і саме тому його називають "сліпою підпис".
Поширені методи шахрайства
Зрозумівши концепції підпису eth_sign та сліпого підпису, ми можемо глибше дослідити потенційні ризики eth_sign та відповідні заходи запобігання.
Оскільки eth_sign може використовуватися для підписання різних повідомлень, включаючи транзакції та команди смарт-контрактів, зловмисні треті сторони можуть спонукати користувачів підписати повідомлення, яке не було повністю зрозуміле, внаслідок чого активи можуть бути переведені. Ще серйозніше, вони можуть надати безневинне на вигляд повідомлення для підпису, яке насправді є командою дій, і як тільки підпис буде завершено, активи користувача будуть переведені на рахунок іншої сторони.
У цій ситуації, як нам слід запобігти? У зв'язку з такими шахрайськими діями, остання версія відомого гаманця провела оновлення системи управління ризиками. Коли користувач відвідує третій DApp, який викликає eth_sign для підписання повідомлення, гаманець відобразить вікно попередження про ризик, попереджаючи користувача, що поточна транзакція може містити потенційний ризик, і запустить 15-секундний таймер охолодження. Це налаштування має на меті надати користувачам достатньо часу для оцінки необхідності та безпеки операції підписання.
Рекомендації з безпеки
Експерти з безпеки нагадують широкій аудиторії користувачів:
Будьте дуже обережні з усіма запитами, які вимагають підпису eth_sign, особливо з тих, що походять з ненадійних або невідомих джерел. Якщо ви сумніваєтеся у справжності або меті запиту, не підписуйте його без серйозних підстав.
Переконайтеся, що оброблені повідомлення або запити на транзакції надходять з надійних каналів, таких як офіційний веб-сайт, офіційні соціальні мережі або перевірені канали зв'язку. Ніколи не довіряйте посиланням, електронним листам або особистій інформації з невідомих джерел.
Завдяки підвищенню обізнаності та вжиттю відповідних запобіжних заходів, ми можемо ефективно знизити ризик стати жертвою замилювання очей eth_sign, забезпечивши безпеку цифрових активів.