Остерігайтеся шахрайства з підписами Ethereum: розуміння, виявлення та запобігання

Нещодавно спостерігається зростання шахрайства, яке використовує сліпі підписи eth_sign, багато користувачів були підведені до підписання, на перший погляд, безпечних підписів eth_sign на невідомих сайтах, що призвело до раптової втрати активів у гаманцях. Щоб допомогти всім краще зрозуміти механізм роботи цих шахрайств, нам потрібно спочатку пояснити суть підпису eth_sign.

огляд підпису eth_sign

У екосистемі Ethereum eth_sign є широко використовуваним методом підпису, який дозволяє користувачам використовувати приватний ключ для підписання інформації. Цей механізм підпису є ключовим компонентом блокчейн-транзакцій, оскільки він може довести, що конкретний рахунок є ініціатором транзакції. Простими словами, це схоже на підпис на папері, щоб вказати, що ви погоджуєтеся або підтримуєте зміст документа.

Однак під час використання eth_sign існує проблема, яка легко може бути проігнорована, а саме так званий "сліпий підпис". Коли ви використовуєте eth_sign для підписання інформації, ви, можливо, не повністю усвідомлюєте конкретний зміст підпису і не можете перевірити, що насправді представляє цей підпис. Це пов'язано з тим, що вхідні дані eth_sign є сирими символами, а не форматом, зрозумілим для людини. Це все одно що підписувати контракт, написаний мовою, яку ви не розумієте, тому це і називається "сліпий підпис".

Поширені шахрайські схеми

Зрозумівши концепцію підпису eth_sign та сліпого підпису, ми можемо далі обговорити потенційні ризики eth_sign та способи запобігання таким шахрайствам зі сліпим підписом.

Оскільки eth_sign може використовуватися для підписання різних типів інформації, включаючи транзакції та команди смарт-контрактів, зловмисники можуть спонукати вас підписати повідомлення, зміст якого ви не повністю розумієте, що може призвести до перенесення ваших активів на їхні рахунки. Ще гірше, вони можуть надати вам на перший погляд безпечне повідомлення для підписання, але насправді це повідомлення може бути командою операції, і як тільки ви підпишете, ваші активи будуть перенесені на їхні рахунки.

У зв'язку з цією ситуацією, як ми повинні запобігати цьому? Для боротьби з такими шахрайськими діями, один відомий гаманець оновив версію свого ризик-менеджменту. Коли користувач звертається до стороннього DApp для виклику eth_sign для підписання повідомлення, цей гаманець надасть сповіщення про ризики, попереджаючи користувача про можливі ризики поточної транзакції, і запустить 15-секундний таймер охолодження. Такі налаштування спрямовані на надання користувачеві достатньо часу для оцінки необхідності та безпеки дій підписання.

Рекомендації з безпеки

Експерти з безпеки нагадують усім:

• Будьте обережні з усіма запитами, що вимагають підпису eth_sign, особливо з ненадійних або незнайомих джерел. Якщо у вас є сумніви щодо достовірності або мети запиту, не поспішайте підписувати.
• Переконайтеся, що оброблювані повідомлення або запити на транзакції надходять з надійних джерел, таких як офіційний веб-сайт, офіційні соціальні мережі або перевірені канали зв'язку. Ніколи не довіряйте посиланням, електронним листам або приватним повідомленням з невідомих джерел.

Зрозумівши механізм підпису eth_sign, розпізнаючи поширені шахрайські методи та дотримуючись рекомендацій щодо безпеки, ми можемо краще захистити свої цифрові активи та уникнути того, щоб стати жертвами схем з сліпими підписами. У світі блокчейну важливо бути пильними та постійно навчатися, щоб забезпечити безпеку активів.