eth_sign blind signing lavar os olhos: princípio, riscos e medidas de prevenção

Recentemente, o esquema de assinatura cega eth_sign tem surgido com frequência, e muitos usuários assinaram, sem saber, assinaturas eth_sign aparentemente inofensivas em certos sites, resultando no roubo de ativos em suas carteiras. Para ajudar todos a entender melhor o mecanismo operacional desse esquema, precisamos primeiro explicar a essência da assinatura eth_sign.

Conceito básico da assinatura eth_sign

No ecossistema Ethereum, eth_sign é um método de assinatura amplamente utilizado, que permite aos usuários assinar mensagens com a sua chave privada. Este mecanismo de assinatura é uma parte central das transações em blockchain, usado para provar que uma conta específica é o iniciador da transação. Em termos simples, é como assinar em papel para indicar que você concorda ou apoia o seu conteúdo.

No entanto, existe um problema facilmente ignorado durante o uso do eth_sign, conhecido como "assinatura cega". Quando você usa o eth_sign para assinar uma mensagem, pode não entender completamente o que está assinando e não consegue verificar o que essa assinatura representa. Isso ocorre porque a entrada do eth_sign é uma cadeia de caracteres bruta, e não um formato legível por humanos. É como assinar um contrato em uma língua estrangeira que você não entende, e é por isso que é chamado de "assinatura cega".

Métodos comuns de lavagem dos olhos

Depois de entender os conceitos de assinatura eth_sign e assinatura cega, podemos explorar mais os potenciais riscos do eth_sign e como prevenir fraudes desse tipo de assinatura cega.

Como o eth_sign pode ser usado para assinar qualquer tipo de mensagem, incluindo transações e instruções de contratos inteligentes, terceiros mal-intencionados podem induzi-lo a assinar uma mensagem que você não compreende completamente, resultando na transferência dos seus ativos para as contas deles. Mais grave ainda, eles podem lhe enviar uma mensagem que à primeira vista parece inofensiva para você assinar, mas na realidade, essa mensagem pode ser uma instrução de operação; uma vez que você assinar, seus ativos serão transferidos para as contas deles.

Medidas de Prevenção

Diante dessa situação, como devemos nos prevenir? Alguns aplicativos de carteira já começaram a atualizar seus sistemas de gerenciamento de risco. Por exemplo, quando os usuários acessam DApps de terceiros para chamar eth_sign para a assinatura de mensagens, algumas carteiras fornecem um aviso de risco em uma janela pop-up, alertando os usuários de que a transação atual pode apresentar riscos potenciais e iniciando uma contagem regressiva de resfriamento. Essa configuração visa dar aos usuários tempo suficiente para avaliar a necessidade e a segurança da operação de assinatura.

Sugestões de segurança

Em relação ao risco de blind signing do eth_sign, aqui estão algumas recomendações de segurança importantes:

1. Esteja alerta para todos os pedidos que exigem a assinatura eth_sign, especialmente aqueles de origem desconhecida ou não confiável. Se houver dúvidas sobre a autenticidade ou o propósito do pedido, nunca assine facilmente.

2. Certifique-se de que as mensagens ou pedidos de transação tratados vêm de fontes confiáveis, como sites oficiais, redes sociais oficiais ou canais de comunicação verificados. Nunca confie em links, e-mails ou mensagens privadas de fontes desconhecidas.

3. Utilize uma carteira que suporte simulação de transações, isso pode ajudá-lo a visualizar os resultados potenciais da transação antes de assinar.

4. Atualize regularmente o seu software de carteira para garantir que obtém as funcionalidades de segurança e as medidas de proteção mais recentes.

5. Considere usar carteiras de hardware para transações importantes, pois geralmente oferecem uma camada de segurança adicional.

6. Aprender a identificar padrões comuns de fraudes, como airdrops falsos, sites de phishing, etc.

7. Antes de realizar qualquer transação importante, certifique-se de verificar todos os detalhes, incluindo o endereço de recebimento e o valor da transação.

Ao mantermos vigilância e seguirmos estas recomendações de segurança, podemos reduzir significativamente o risco de nos tornarmos vítimas do esquema de assinatura cega eth_sign. No mundo das blockchain, a consciência de segurança e a cautela são fundamentais.