Cuidado com a armadilha da assinatura cega: os riscos e a prevenção da assinatura eth_sign
Recentemente, um tipo de atividade fraudulenta que utiliza a assinatura eth_sign chamou a atenção generalizada. Muitos usuários, sem saber, assinaram assinaturas eth_sign aparentemente inofensivas em alguns sites suspeitos, resultando no roubo de ativos em suas carteiras. Para ajudar todos a entender melhor o mecanismo de funcionamento dessa técnica de fraude, é necessário primeiro explicar a essência da assinatura eth_sign.
Introdução à assinatura eth_sign
No ecossistema Ethereum, eth_sign é um método de assinatura amplamente utilizado. Ele permite que os usuários assinem informações usando sua chave privada, e esse mecanismo é uma parte central das transações em blockchain, utilizado para provar que uma conta específica é a iniciadora da transação. Pode-se compará-lo a assinar um documento, para indicar que você concorda ou reconhece o conteúdo do documento.
No entanto, há um problema que pode ser facilmente ignorado no uso do eth_sign, chamado de "assinatura cega". Quando um usuário assina informações usando o eth_sign, muitas vezes não consegue entender completamente o conteúdo da assinatura, nem verificar retroativamente o significado específico da assinatura. Isso se deve ao fato de que a entrada do eth_sign é uma string bruta, e não um formato legível por humanos. É como assinar um contrato escrito em uma língua desconhecida, e é por isso que é chamado de "assinatura cega".
Métodos comuns de fraude
Depois de entender os conceitos de assinatura eth_sign e assinatura cega, podemos explorar mais os potenciais riscos da eth_sign e como prevenir fraudes deste tipo de assinatura cega.
Como o eth_sign pode ser usado para assinar vários tipos de informações, incluindo ordens de transação e operações de contratos inteligentes, partes maliciosas podem induzir os usuários a assinar uma informação que eles não compreendem completamente, resultando na transferência de ativos. Mais seriamente, eles podem fornecer uma informação aparentemente inofensiva para que os usuários a assinem, mas na realidade isso pode ser uma ordem de operação, e uma vez assinada, os ativos do usuário podem ser transferidos para a conta do golpista.
Diante dessa situação, como devemos nos proteger? Para esse tipo de fraude, uma conhecida carteira lançou uma nova versão com uma atualização no sistema de gestão de risco. Quando os usuários chamam eth_sign através de DApps de terceiros para assinar mensagens, a carteira exibirá uma janela de alerta de risco, informando que a operação atual pode ter riscos potenciais e iniciará uma contagem regressiva de 15 segundos. Este design visa fornecer aos usuários tempo suficiente para avaliar a necessidade e a segurança da operação de assinatura.
Sugestões de Segurança
Especialistas em segurança alertam especialmente:
Mantenha uma vigilância rigorosa sobre todos os pedidos que exigem a assinatura eth_sign, especialmente aqueles de origem desconhecida ou não confiável. Se houver dúvidas sobre a autenticidade ou o propósito do pedido, não assine facilmente.
Certifique-se de que as informações ou pedidos de transação que está a processar provêm de canais de confiança, como o site oficial, contas de redes sociais verificadas ou canais de comunicação fiáveis. Nunca confie em links, e-mails ou informações pessoais de origem desconhecida.
Antes de realizar qualquer operação de assinatura, revise cuidadosamente o conteúdo da assinatura. Se não conseguir entender o significado específico da assinatura, é melhor não prosseguir com a operação.
Atualize regularmente o seu software de carteira para obter as mais recentes funcionalidades de segurança e medidas de proteção.
Considere usar carteiras de hardware para transações importantes, pois geralmente oferecem proteção de segurança mais avançada.
Desenvolver bons hábitos de gestão de ativos digitais, não armazenar todos os ativos na mesma carteira, pode diversificar o risco.
Ao aumentar a vigilância e tomar as medidas de prevenção necessárias, podemos reduzir significativamente o risco de nos tornarmos vítimas de fraudes de assinatura cega eth_sign. No mundo do blockchain, a segurança será sempre a principal consideração.
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
17 gostos
Recompensa
17
7
Partilhar
Comentar
0/400
FadCatcher
· 11h atrás
又有新idiotas等着被 fazer as pessoas de parvas啦
Ver originalResponder0
MEVSandwichVictim
· 07-31 15:56
Perdi tudo, realmente cai no eth_sign.
Ver originalResponder0
gas_fee_trauma
· 07-31 15:55
A equipe de assinatura está realmente difícil recentemente, ainda tem tantos buracos.
Ver originalResponder0
MevHunter
· 07-31 15:54
Fazer qualquer coisa deixa assinar. Isso trata as pessoas como otários.
Ver originalResponder0
MysteryBoxBuster
· 07-31 15:45
Assinatura assinatura assinatura, venham os que amam assinar, venham aprender a lição.
Ver originalResponder0
CryingOldWallet
· 07-31 15:40
A mão tremeu e a carteira foi embora, tudo se foi. Quem entende essa dor...
Ver originalResponder0
HashBard
· 07-31 15:31
n00bs vão ser armadilhados até aprenderem... armadilha clássica eth_sign smh
armadilha de assinatura cega eth_sign: conhecendo os riscos e medidas de prevenção
Cuidado com a armadilha da assinatura cega: os riscos e a prevenção da assinatura eth_sign
Recentemente, um tipo de atividade fraudulenta que utiliza a assinatura eth_sign chamou a atenção generalizada. Muitos usuários, sem saber, assinaram assinaturas eth_sign aparentemente inofensivas em alguns sites suspeitos, resultando no roubo de ativos em suas carteiras. Para ajudar todos a entender melhor o mecanismo de funcionamento dessa técnica de fraude, é necessário primeiro explicar a essência da assinatura eth_sign.
Introdução à assinatura eth_sign
No ecossistema Ethereum, eth_sign é um método de assinatura amplamente utilizado. Ele permite que os usuários assinem informações usando sua chave privada, e esse mecanismo é uma parte central das transações em blockchain, utilizado para provar que uma conta específica é a iniciadora da transação. Pode-se compará-lo a assinar um documento, para indicar que você concorda ou reconhece o conteúdo do documento.
No entanto, há um problema que pode ser facilmente ignorado no uso do eth_sign, chamado de "assinatura cega". Quando um usuário assina informações usando o eth_sign, muitas vezes não consegue entender completamente o conteúdo da assinatura, nem verificar retroativamente o significado específico da assinatura. Isso se deve ao fato de que a entrada do eth_sign é uma string bruta, e não um formato legível por humanos. É como assinar um contrato escrito em uma língua desconhecida, e é por isso que é chamado de "assinatura cega".
Métodos comuns de fraude
Depois de entender os conceitos de assinatura eth_sign e assinatura cega, podemos explorar mais os potenciais riscos da eth_sign e como prevenir fraudes deste tipo de assinatura cega.
Como o eth_sign pode ser usado para assinar vários tipos de informações, incluindo ordens de transação e operações de contratos inteligentes, partes maliciosas podem induzir os usuários a assinar uma informação que eles não compreendem completamente, resultando na transferência de ativos. Mais seriamente, eles podem fornecer uma informação aparentemente inofensiva para que os usuários a assinem, mas na realidade isso pode ser uma ordem de operação, e uma vez assinada, os ativos do usuário podem ser transferidos para a conta do golpista.
Diante dessa situação, como devemos nos proteger? Para esse tipo de fraude, uma conhecida carteira lançou uma nova versão com uma atualização no sistema de gestão de risco. Quando os usuários chamam eth_sign através de DApps de terceiros para assinar mensagens, a carteira exibirá uma janela de alerta de risco, informando que a operação atual pode ter riscos potenciais e iniciará uma contagem regressiva de 15 segundos. Este design visa fornecer aos usuários tempo suficiente para avaliar a necessidade e a segurança da operação de assinatura.
Sugestões de Segurança
Especialistas em segurança alertam especialmente:
Mantenha uma vigilância rigorosa sobre todos os pedidos que exigem a assinatura eth_sign, especialmente aqueles de origem desconhecida ou não confiável. Se houver dúvidas sobre a autenticidade ou o propósito do pedido, não assine facilmente.
Certifique-se de que as informações ou pedidos de transação que está a processar provêm de canais de confiança, como o site oficial, contas de redes sociais verificadas ou canais de comunicação fiáveis. Nunca confie em links, e-mails ou informações pessoais de origem desconhecida.
Antes de realizar qualquer operação de assinatura, revise cuidadosamente o conteúdo da assinatura. Se não conseguir entender o significado específico da assinatura, é melhor não prosseguir com a operação.
Atualize regularmente o seu software de carteira para obter as mais recentes funcionalidades de segurança e medidas de proteção.
Considere usar carteiras de hardware para transações importantes, pois geralmente oferecem proteção de segurança mais avançada.
Desenvolver bons hábitos de gestão de ativos digitais, não armazenar todos os ativos na mesma carteira, pode diversificar o risco.
Ao aumentar a vigilância e tomar as medidas de prevenção necessárias, podemos reduzir significativamente o risco de nos tornarmos vítimas de fraudes de assinatura cega eth_sign. No mundo do blockchain, a segurança será sempre a principal consideração.