Cuidado con el fraude de firmas de Ethereum: entender, reconocer y prevenir

Recientemente, un tipo de fraude que utiliza la firma ciega eth_sign se ha vuelto cada vez más frecuente, muchos usuarios han sido inducidos a firmar firmas eth_sign que parecen inofensivas en sitios web desconocidos, lo que ha llevado a la desaparición inexplicable de los activos de sus billeteras. Para ayudar a todos a comprender mejor el mecanismo de operación de este tipo de estafas, es necesario primero explicar la naturaleza de la firma eth_sign.

Introducción a la firma eth_sign

En el ecosistema de Ethereum, eth_sign es un método de firma ampliamente adoptado que permite a los usuarios firmar información utilizando su clave privada. Este mecanismo de firma es una parte clave de las transacciones en blockchain, ya que puede demostrar que una cuenta específica es la iniciadora de la transacción. En términos simples, es como firmar en papel para indicar que estás de acuerdo o apoyas el contenido del documento.

Sin embargo, hay un problema que a menudo se pasa por alto en el uso de eth_sign, conocido como "firma ciega". Cuando utilizas eth_sign para firmar información, es posible que no entiendas completamente el contenido específico de la firma, ni puedas verificar de manera inversa lo que realmente representa esta firma. Esto se debe a que la entrada de eth_sign son caracteres en bruto, y no un formato legible por humanos. Es como firmar un contrato redactado en un idioma que no entiendes, y por eso se le llama "firma ciega".

Métodos comunes de estafa

Después de entender el concepto de la firma eth_sign y la firma ciega, podemos explorar más a fondo los riesgos potenciales de eth_sign y cómo prevenir este tipo de fraudes de firma ciega.

Debido a que eth_sign se puede utilizar para firmar varios tipos de información, incluidos transacciones e instrucciones de contratos inteligentes, una parte malintencionada podría inducirte a firmar un mensaje que no entiendes completamente, lo que podría llevar a la transferencia de tus activos a sus cuentas. Más grave aún, pueden ofrecerte un mensaje que aparentemente es inofensivo para que lo firmes, pero en realidad, este mensaje podría ser una instrucción de operación; una vez que lo firmes, tus activos serán transferidos a sus cuentas.

Ante esta situación, ¿cómo deberíamos prevenirla? Para hacer frente a este tipo de fraudes, una conocida billetera ha realizado una actualización en su sistema de control de riesgos. Cuando los usuarios acceden a una DApp de terceros que llama a eth_sign para firmar mensajes, la billetera mostrará una ventana emergente de advertencia de riesgos, informando a los usuarios que la transacción actual puede implicar riesgos potenciales y comenzará una cuenta regresiva de 15 segundos. Esta configuración está destinada a dar a los usuarios suficiente tiempo para evaluar la necesidad y seguridad de la operación de firma.

Sugerencias de seguridad

Los expertos en seguridad advierten a todos:

• Mantente alerta ante todas las solicitudes que requieran la firma eth_sign, especialmente aquellas de origen desconocido o no confiable. Si tienes dudas sobre la autenticidad o el propósito de la solicitud, no firmes fácilmente.
• Asegúrese de que los mensajes o solicitudes de transacción que maneja provienen de fuentes confiables, como el sitio web oficial, las redes sociales oficiales o canales de comunicación verificados. Nunca confíe en enlaces, correos electrónicos o información privada de origen desconocido.

Al comprender el mecanismo de firma eth_sign, identificar las técnicas de fraude comunes y seguir las recomendaciones de seguridad, podemos proteger mejor nuestros activos digitales y evitar convertirnos en víctimas de las estafas de firma ciega. En el mundo de blockchain, mantener la vigilancia y el aprendizaje continuo son clave para asegurar la seguridad de los activos.