Осторожно, мошенничество с подписями Эфира: понимание, распознавание и предотвращение

В последнее время мошеннические действия с использованием слепой подписи eth_sign становятся все более распространенными, и многие пользователи на незнакомых сайтах были соблазнены подписать казалось бы безвредную подпись eth_sign, что привело к исчезновению активов в кошельках. Чтобы помочь всем лучше понять механизм работы таких схем, нам необходимо сначала объяснить суть подписи eth_sign.

Введение в подпись eth_sign

В экосистеме Ethereum eth_sign является широко используемым методом подписания, который позволяет пользователям использовать свои приватные ключи для подписи информации. Этот механизм подписи является ключевым компонентом транзакций в блокчейне, так как он способен подтвердить, что конкретный аккаунт является инициатором транзакции. Проще говоря, это похоже на подпись на бумаге, чтобы показать, что вы согласны или поддерживаете содержание документа.

Однако в процессе использования eth_sign существует одна проблема, которую легко игнорировать, а именно так называемая "слепая подпись". Когда вы используете eth_sign для подписания информации, вы, возможно, не полностью понимаете конкретное содержание подписи и не можете обратным образом проверить, что именно представляет собой эта подпись. Это связано с тем, что входные данные eth_sign являются сырыми символами, а не читаемым для человека форматом. Это похоже на то, как если бы вы подписали контракт, написанный на языке, который вы не понимаете, и именно поэтому его называют "слепой подписью".

Распространенные мошеннические схемы

Поняв концепцию подписания eth_sign и слепых подписей, мы можем дальше обсудить потенциальные риски eth_sign и способы предотвращения таких мошенничеств со слепыми подписями.

Поскольку eth_sign может использоваться для подписания различных типов информации, включая транзакции и инструкции по смарт-контрактам, злоумышленники могут попытаться заставить вас подписать информацию, которую вы не полностью понимаете, что может привести к перемещению ваших активов на их счета. Более серьезно, они могут предоставить вам на вид безвредную информацию для подписи, но на самом деле эта информация может быть командой на действие, и как только вы подпишете, ваши активы будут переведены на их счета.

В такой ситуации, как мы можем предотвратить это? В ответ на такие мошеннические действия, известный кошелек обновил свою версию и улучшил систему управления рисками. Когда пользователи посещают сторонний DApp и вызывают eth_sign для подписания сообщения, этот кошелек предоставит всплывающее окно с предупреждением о рисках, сообщая пользователю, что текущая транзакция может представлять потенциальный риск, и запускает 15-секундный таймер охлаждения. Такая настройка предназначена для того, чтобы дать пользователям достаточно времени для оценки необходимости и безопасности операции подписания.

Рекомендации по безопасности

Эксперты по безопасности напоминают всем:

• Будьте осторожны с любыми запросами, использующими eth_sign для подписи, особенно если они поступают из ненадежных или неизвестных источников. Если у вас есть сомнения относительно подлинности или цели запроса, не подписывайте его легкомысленно.
• Убедитесь, что обрабатываемые сообщения или запросы на транзакции поступают из надежных источников, таких как официальные веб-сайты, официальные социальные сети или проверенные каналы связи. Никогда не доверяйте ссылкам, электронным письмам или личным сообщениям из неизвестных источников.

Понимание механизма подписи eth_sign, распознавание распространенных мошеннических схем и соблюдение рекомендаций по безопасности помогут нам лучше защитить наши цифровые активы и избежать становления жертвами мошенничества с слепыми подписями. В мире блокчейна поддержание бдительности и постоянное обучение являются ключом к обеспечению безопасности активов.