Securitatea Portofelului Web3: Riscurile semnării mesajelor blockchain
Puncte cheie de reținut
Semnarea mesajelor este un aspect esențial al tranzacțiilor pe blockchain, dar, dacă nu este gestionată cu prudență, poate expune utilizatorii la riscuri considerabile de securitate.
Funcția „eth_sign”, care permite utilizatorilor să semneze mesaje arbitrare, este deosebit de vulnerabilă la abuzuri, permițând potențial atacatorilor să obțină controlul complet asupra activelor victimei.
Pentru a vă proteja, utilizați întotdeauna platforme de încredere, evitați să semnați mesaje nefamiliare și fiți mereu la curent cu escrocheriile frecvente.
Pentru cei care explorează spațiul Web3, semnarea mesajelor este esențială pentru autorizarea tranzacțiilor, verificarea identităților și interacțiunea cu aplicațiile descentralizate (dApps). De exemplu, o platformă airdrop poate solicita unui utilizator să semneze un mesaj pentru a dovedi dreptul de proprietate asupra unei anumite adrese de portofel eligibile pentru un airdrop. Deși acest proces permite multe funcții esențiale pentru blockchain, prezintă și riscuri semnificative de securitate.
În acest articol, explorăm potențialele pericole asociate cu semnarea mesajelor pe și în afara blockchainului și prezentăm scenariile comune în care utilizatorii pot suferi pierderi financiare ca urmare a semnării mesajelor rău intenționate.
Semnare mesaj și tranzacție: Înțelegerea diferenței
În spațiul descentralizat, semnăturile sunt esențiale atât pentru autorizarea tranzacțiilor, cât și pentru interacțiunea cu dApps. Acestea sunt de două tipuri principale: semnături on-chain (tranzacție) și off-chain (mesaj).
Semnături on-chain (semnarea unei tranzacție)
Semnăturile on-chain sunt utilizate pentru a autoriza acțiuni care schimbă starea blockchainului, cum ar fi transferul de fonduri sau executarea de contracte inteligente. Iată cum funcționează:
Generarea de mesaje: Când cineva inițiază o tranzacție pe blockchain, rețeaua generează un mesaj unic legat de tranzacția respectivă, care conține informații despre aceasta, cum ar fi adresele expeditorului și destinatarului, suma care trebuie transferată și alte detalii relevante.
Semnarea mesajului: Utilizatorul care inițiază o tranzacție „semnează” acest mesaj folosind cheia privată. Acest proces implică aplicarea unui algoritm criptografic mesajului și cheii private a utilizatorului, rezultând o semnătură digitală.
Trimiterea mesajului semnat: Mesajul semnat, împreună cu mesajul original, este trimis către rețea.
Verificare: Rețeaua verifică semnătura folosind cheia publică a utilizatorului care tranzacționează, care este derivată din cheia sa privată, dar poate fi partajată în siguranță. Dacă semnătura corespunde mesajului și cheii publice, aceasta confirmă că titularul de cont a autorizat tranzacția.
Procesare tranzacție: Dacă semnătura este validă, rețeaua procesează tranzacția. În caz contrar, tranzacția este respinsă.
Când utilizați un portofel cripto, procesul de semnare a tranzacției are loc, de obicei, automat în fundal. Majoritatea portofelelor cripto moderne oferă o interfață intuitivă, care maschează detaliile tehnice, astfel încât să nu vedeți sau să nu interacționați direct cu procesul.
Semnături off-chain (semnarea unui mesaj)
Semnăturile off-chain, pe de altă parte, sunt utilizate pentru acțiuni care nu afectează starea blockchainului, cum ar fi verificarea identității utilizatorului, conectarea la un DApp sau autorizarea prealabilă a transferurilor de fonduri. Iată cum funcționează:
Generarea semnalului de recunoaștere: Aplicația generează un mesaj unic care servește drept „semnal de recunoaștere” – o solicitare adresată utilizatorului de a se autentifica dovedind că deține adresa în cauză. Acest mesaj poate include detalii specifice legate de încercarea de conectare, cum ar fi marcajul temporal sau un număr aleatoriu.
Crearea semnăturii: Utilizatorul semnează mesajul cu cheia privată, creând o semnătură digitală. Această semnătură acționează ca dovadă că deține cheia privată asociată portofelului.
Verificarea semnăturii: Destinatarul verifică semnătura folosind cheia publică. Dacă semnătura este validă, aceasta confirmă identitatea utilizatorului și îi acordă acces.
Semnăturile off-chain sunt cele cu care utilizatorii Web3 interacționează adesea în diverse scopuri – și există posibilitatea ca infractorii să abuzeze de acest tip de semnătură.
Risc: Autorizare neintenționată
Există mai multe metode de semnare a mesajelor, inclusiv eth_sign, personal_sign și eth_signTypedData. Aceste funcții au niveluri diferite de securitate și, în funcție de portofelul pe care îl utilizați, unele metode pot fi sau nu acceptate.
Funcția eth_sign permite utilizatorilor să semneze mesaje arbitrare cu cheile lor private, ceea ce poate prezenta riscuri de securitate. Această metodă utilizează un format de mesaj brut, care nu poate fi citit, fără prefix sau context.
Din acest motiv, utilizatorii adesea nu înțeleg implicațiile a ceea ce semnează. Cel mai grav risc este că semnarea unui mesaj rău intenționat poate oferi atacatorului control deplin asupra activelor dvs.
Metoda personal_sign este concepută pentru a fi mai sigură și mai ușor de utilizat. Prefixează mesajul cu un șir standard înainte de hash și semnare, confirmând că mesajul este destinat semnării. Acest prefix ajută la protejarea împotriva anumitor tipuri de atacuri, cum ar fi atacurile de reluare, în cazul în care un mesaj semnat ar putea fi reutilizat într-un context diferit.
Metoda eth_signTypedData este folosită pentru a semna date structurate, oferind mai mult context și claritate cu privire la ceea ce se semnează. Aceasta permite dezvoltatorilor să definească structura datelor semnate, făcându-le mai transparente și mai ușor de înțeles.
Ce este phishingul eth_sign?
În esență, eth_sign este un mecanism criptografic care permite utilizatorilor să semneze mesaje arbitrare. Această semnătură servește drept dovadă digitală că proprietarul contului a autorizat conținutul mesajului. Cu toate acestea, problema apare atunci când aceste mesaje semnate pot fi interpretate și executate prin contracte inteligente în moduri care nu sunt imediat evidente pentru utilizator. Un mesaj care pare a fi un șir de caractere inofensive poate, în realitate, să autorizeze atacatorii să preia controlul deplin asupra contului dvs. Să analizăm mecanica unui atac tipic de phishing eth_sign:
1. Configurarea: Atacatorii creează adesea site-uri web sau aplicații false care imită platforme legitime. Acestea ar putea fi burse descentralizate, piețe NFT sau alte servicii bazate pe blockchain.
2. Momeala: Utilizatorii sunt atrași să se conecteze la aceste platforme false prin diverse mijloace – e-mailuri de phishing, anunțuri înșelătoare sau chiar linkuri false în grupurile de rețele de socializare. Atacatorii creează adesea un sentiment de urgență, susținând că utilizatorul trebuie să semneze rapid pentru a profita de o ofertă limitată sau pentru a preveni unele consecințe negative.
3. Capcana: Site-ul atacatorilor solicită utilizatorului să semneze un mesaj folosind eth_sign. Cu toate acestea, mesajul pe care utilizatorul îl semnează este foarte diferit de ceea ce crede el. Ar putea acorda permisiunea de a efectua orice acțiune rău intenționată pe care o dorește escrocul.
Tacticile populare de exploatare a semnării mesajelor includ airdropuri false; dApps rău intenționate create pentru a părea legitime, dar al căror unic scop este de a fura fonduri; servicii false de emisiune a NFT-urilor; e-mailuri de phishing; uzurparea identității angajaților echipelor de asistență pentru clienți; și crearea de interfețe false de tip punte cross-chain. Toate aceste instrumente nefaste servesc scopului de a face utilizatorii să creadă că semnează un mesaj legitim, în timp ce, de fapt, le oferă infractorilor acces la fondurile lor digitale.
Aceste atacuri sunt deosebit de periculoase deoarece exploatează comportamentul condiționat al utilizatorilor Web3 pentru a semna mesaje pentru a-și verifica identitatea sau pentru a aproba acțiuni. Mulți utilizatori tind să semneze astfel de mesaje fără a înțelege pe deplin implicațiile.
Exemple din viața reală
Airdrop fals de NFT-uri
Escrocii își manipulează adesea victimele cu promisiunea unor recompense neașteptate. Un utilizator din acest exemplu din viața reală a primit un airdrop NFT nesolicitat în portofel, expeditorii susținând că utilizatorul a câștigat o recompensă semnificativă și trebuie doar să-și convertească cuponul NFT în bani.
Pentru a revendica premiul, utilizatorul este transferat pe un site web conectat pentru a semna un mesaj, care este prezentat într-un format hexazecimal care nu poate fi citit. Presupunând că aceasta este o parte standard a procesului de verificare, utilizatorul semnează. Cu toate acestea, acest mesaj este o autorizație deghizată inteligent, care acordă escrocului controlul asupra activelor utilizatorului, ceea ce duce la transferuri neautorizate din portofel.
La scurt timp după aceea, utilizatorul observă că o cantitate semnificativă de tokenuri este transferată din portofelul său fără consimțământul său, realizând prea târziu că a fost înșelat.
Concluzie cheie: Atenție la orice oferte sau airdropuri nesolicitate, în special cele care promit recompense semnificative. Verificați întotdeauna legitimitatea sursei înainte de a face orice pași suplimentari.
Uzurparea identității unui proiect bine-cunoscut
Escrocii imită adesea proiecte sau conturi reputate pentru a crea un sentiment de credibilitate. În acest exemplu, infractorii au creat un cont fals pe X, imitând contul oficial Baby Doge Coin. Imitatorul obținuse o insignă de verificare aurie pentru a adăuga credibilitate.
Contul fals a anunțat un nou airdrop pentru deținătorii de Baby Doge Coin și a inclus un link către un site web unde utilizatorii puteau solicita noul token. Postarea a câștigat rapid tracțiune, ceea ce a adăugat și mai mult la impresia sa de legitimitate. Utilizatorii au accesat linkul furnizat, și-au conectat portofelele și au semnat un mesaj pentru a-și confirma identitatea și a revendica airdropul.
Ceea ce victimele nu știau este că mesajul semnat autoriza transferul de tokenuri din portofelele lor la adresa atacatorului. Majoritatea utilizatorilor au realizat că era o înșelătorie doar atunci când au observat că tokenurile lor Baby Doge Coin au dispărut din portofelele lor.
Concluzie cheie: Verificați întotdeauna autenticitatea conturilor de pe rețelele de socializare cu care interacționați și fiți atenți la orice mesaje care vă solicită semnătura. Micile discrepanțe, cum ar fi un nume de utilizator ușor diferit sau incorect, sunt esențiale pentru a distinge realul de fals. În acest exemplu, handle-ul X al contului escrocului a fost modificat subtil pentru a fi foarte apropiat de cel real, cu o vocală dublată la sfârșit.
Un airdrop fals de tokenuri noi
Crearea unui sentiment de urgență este o altă tactică folosită de escroci pentru a împinge utilizatorii să ia decizii pripite. În acest exemplu, un utilizator care a derulat prin feedul său de rețele de socializare a observat o postare de la ceea ce părea a fi un proiect legitim de criptomonede, anunțând un nou airdrop pentru un token numit „Sunwaves”. Postarea susținea că există o perioadă limitată de 24 de ore pentru a revendica airdropul.
Intrigați de anunț, utilizatorii vizitează site-ul web menționat în postare, care le solicită să își conecteze portofelele și să parcurgă mai mulți pași de verificare, inclusiv să semneze un mesaj pentru a-și confirma identitatea și a-și revendica airdropul.
Cu toate acestea, acest mesaj semnat acordă escrocului permisiunea de a transfera tokenuri din portofelul utilizatorului. Utilizatorul observă rapid că tokenurile, inclusiv activele valoroase, au fost transferate fără consimțământul său.
Concluzie cheie: Fiți sceptici cu privire la orice oferte care creează un sentiment de urgență. Escrocii fac adesea presiuni asupra utilizatorilor să acționeze rapid pentru a-i împiedica să își facă timp să evalueze și să verifice legitimitatea ofertei.
Cum vă menține Portofelul Binance Web3 în siguranță
Pentru a elimina posibilitatea ca utilizatorii să cadă pradă unei înșelătorii eth_sign, această funcție este interzisă în Portofelul Binance Web3. În practică, acest lucru înseamnă că, odată ce eth_sign este declanșat pentru o tranzacție, utilizatorii vor fi anunțați imediat că această tranzacție este foarte riscantă din cauza unei cereri de semnătură potențial rău intenționate. Finalizarea unei astfel de tranzacții nu va fi posibilă.
Protejați-vă de înșelătorii
Pentru a evita înșelătoriile de semnare a mesajelor în spațiul Web3, este esențial să luați măsuri de precauție:
1. Utilizați platforme de încredere: Semnați mesaje numai pe platforme în care aveți încredere. Dacă o platformă pare suspectă din orice motiv, cel mai bine este să o evitați.
2. Nu aveți încredere în airdrops neașteptate: Fiți atenți la ofertele nesolicitate care par prea bune pentru a fi adevărate, în special la cele care promit recompense substanțiale.
3. Verificați adresele URL ale dApp: Verificați întotdeauna dacă adresa URL este legitimă înainte de a interacționa cu o aplicație descentralizată. Escrocii creează adesea adrese URL care arată similar cu cele reale.
4. Utilizați portofele securizate: Utilizați portofele reputate care oferă măsuri de securitate împotriva mesajelor rău intenționate. De exemplu, Portofelul Binance Web3 a interzis funcția eth_sign pentru a preveni astfel de atacuri.
5. Rămâneți informat: Rămâneți la curent cu cele mai recente tactici de înșelătorie și cele mai bune practici de securitate în spațiul blockchain.
Concluzii
Explorarea spațiului descentralizat al serviciilor și aplicațiilor Web3 poate fi o aventură magnifică. Cu toate acestea, acest mediu are propriile riscuri, fiind necesar ca utilizatorii să fie vigilenți și informați. Escrocii pot exploata instrumente precum semnarea de mesaje și uzurparea identității pentru a efectua tranzacții neautorizate, ceea ce duce la pierderi financiare semnificative. Conștientizând aceste riscuri și adoptând câteva practici și obiceiuri de securitate simple, vă puteți proteja. Fiți întotdeauna prudenți și rămâneți vigilenți pentru a asigura securitatea activelor dvs. în ecosistemul Web3.
Materiale suplimentare
Cum să evitați și să raportați fraudele care implică servicii false
Binance a prevenit pierderi potențiale de 2,4 miliarde USD pentru utilizatori în 2024 până acum
Avertisment privind riscurile: Criptomonedele sunt supuse unui risc ridicat de piață și volatilității prețurilor. Ar trebui să investiți numai în produse cu care sunteți familiarizat și să înțelegeți riscurile asociate acestora. Ar trebui să luați în considerare experiența dvs. în investiții, situația financiară, obiectivele de investiții, nivelul de toleranță la risc și să consultați un consilier financiar independent înainte de a face orice investiție. Acest material nu trebuie interpretat ca un sfat financiar. Performanța anterioară nu este un indicator de încredere pentru performanța viitoare. Valoarea investiției dvs. poate scădea sau crește și este posibil să nu vă recuperați suma investită. Sunteți singura persoană responsabilă pentru deciziile dvs. de investiții. Compania Binance nu este responsabilă pentru eventualele pierderi suferite. Pentru informații suplimentare, consultați Termenii de utilizare și Avertismentul privind riscurile. Acesta este un anunț general. Este posibil ca produsele și serviciile menționate aici să nu fie disponibile în regiunea dvs.