- Tópico
57k Popularidade
21k Popularidade
34k Popularidade
31k Popularidade
4k Popularidade
99k Popularidade
29k Popularidade
28k Popularidade
7k Popularidade
18k Popularidade
- Pino
57k Popularidade
21k Popularidade
34k Popularidade
31k Popularidade
4k Popularidade
99k Popularidade
29k Popularidade
28k Popularidade
7k Popularidade
18k Popularidade
análise completa do esquema de blind signing eth_sign: análise da teoria e guia de proteção
fraude de assinatura cega eth_sign: princípios, métodos e medidas de proteção
Recentemente, a atividade do esquema de assinatura cega eth_sign aumentou significativamente, muitos usuários foram induzidos a assinar assinaturas etéreas que parecem inofensivas em alguns sites suspeitos, resultando no roubo de ativos das suas carteiras. Para ajudar todos a entender melhor o funcionamento deste esquema, é necessário primeiro explicar a essência da assinatura eth_sign.
Visão geral da assinatura eth_sign
No ecossistema Ethereum, eth_sign é um método de assinatura amplamente utilizado, que permite aos usuários assinar informações usando uma chave privada. Este mecanismo de assinatura é uma parte central das transações em blockchain, pois pode provar que uma conta específica é a originadora da transação. Em termos simples, é como assinar em papel, indicando que você concorda ou apoia o conteúdo do documento.
No entanto, existe um problema que pode ser facilmente ignorado durante o uso do eth_sign, a chamada "assinatura cega". Quando se utiliza o eth_sign para assinar informações, o usuário muitas vezes não consegue entender completamente o que está a assinar, nem pode verificar retroativamente o que essa assinatura representa especificamente. Isso ocorre porque a entrada do eth_sign é uma string bruta, e não um formato legível por humanos. É como assinar um contrato escrito numa língua desconhecida, e essa é a razão pela qual é chamada de "assinatura cega".
Métodos comuns de lavar os olhos
Depois de compreender os conceitos básicos da assinatura eth_sign e da assinatura cega, podemos explorar mais a fundo os potenciais riscos da eth_sign e como prevenir fraudes deste tipo de assinatura cega.
Como o eth_sign pode ser usado para assinar qualquer tipo de mensagem, incluindo transações e instruções de contratos inteligentes, partes mal-intencionadas podem induzir os usuários a assinar uma mensagem que eles não compreendem completamente, resultando na transferência de ativos para a conta do atacante. Mais seriamente, eles podem fornecer uma mensagem que à primeira vista parece inofensiva para que o usuário assine, mas na verdade essa mensagem pode ser uma instrução de operação; uma vez assinada, os ativos do usuário serão transferidos.
Diante dessa situação, como devemos nos prevenir? Em relação a esse tipo de fraude, um conhecido aplicativo de carteira atualizou seu sistema de gerenciamento de riscos na nova versão. Quando os usuários chamam eth_sign através de um DApp de terceiros para assinar uma mensagem, o aplicativo exibirá uma janela de aviso de risco, alertando os usuários de que a operação atual pode apresentar riscos potenciais, e iniciará um período de espera de 15 segundos. Esse design visa dar aos usuários tempo suficiente para avaliar a necessidade e a segurança da operação de assinatura.
Sugestões de segurança
Para isso, oferecemos as seguintes recomendações de segurança:
Mantenha uma vigilância elevada sobre todos os pedidos que utilizam eth_sign para assinatura, especialmente aqueles de origem desconhecida ou não confiável. Se houver dúvidas sobre a autenticidade ou o propósito do pedido, não assine facilmente.
Certifique-se de que as mensagens ou pedidos de transação que está a tratar vêm de canais confiáveis, como o site oficial, contas oficiais de redes sociais ou canais de comunicação verificados. Nunca confie em links, e-mails ou mensagens privadas de origem desconhecida.
Antes de realizar qualquer operação de assinatura, leia e compreenda cuidadosamente todas as informações relevantes. Se não conseguir entender completamente o conteúdo ou o propósito da assinatura, é melhor procurar a ajuda de um profissional ou desistir diretamente da operação.
Atualize regularmente a sua aplicação de carteira e o software de segurança para garantir que obtém as mais recentes medidas de proteção de segurança.
Considere usar uma carteira de hardware para transações importantes, pois isso pode fornecer uma camada adicional de segurança.
Desenvolver bons hábitos de gestão de ativos digitais, como usar várias carteiras para diversificar riscos, verificar regularmente a atividade da conta, etc.
Ao aumentar a vigilância e tomar as devidas precauções, podemos reduzir significativamente o risco de nos tornarmos vítimas do esquema de assinatura cega eth_sign. No mundo blockchain, a segurança é sempre a consideração mais importante.