Подписването на съобщения е съществен аспект от трансакциите в блокчейн, но ако не се подхожда внимателно, то може да изложи потребителите на значителни рискове за сигурността.
Функцията „eth_sign“, която позволява на потребителите да подписват произволни съобщения, е особено уязвима за злоупотреба, като потенциално позволява на нападателите да получат пълен контрол върху активите на жертвата.
За да се предпазите, винаги използвайте доверени платформи, избягвайте подписването на непознати съобщения и бъдете информирани за често срещани измами.
За тези, които изследват Web3 пространството, подписването на съобщения е от съществено значение за оторизиране на трансакции, проверка на самоличността и взаимодействие с децентрализирани приложения (DApp-ове). Например, платформа за еърдроп може да изисква от потребителя да подпише съобщение, за да докаже собственост върху конкретен адрес на портфейл, който отговаря на условията за еърдроп. Въпреки че този процес дава възможност за изпълнението на много важни функции на блокчейн, той също така въвежда значителни рискове за сигурността.
В тази статия изследваме потенциалните опасности, свързани с подписването на съобщения във и извън блокчейн, и подчертаваме често срещаните сценарии, при които потребителите могат да понесат финансови загуби в резултат на подписване на злонамерени съобщения.
В децентрализираното пространство подписите са от съществено значение както за оторизиране на трансакции, така и за взаимодействие с DApp-ове. Те биват два основни вида: on-chain подписи (трансакции) и off-chain подписи (съобщения).
On-chain подписите се използват за разрешаване на действия, които променят състоянието на блокчейна, като прехвърляне на средства или изпълнение на смарт договори. Ето как работи:
Генериране на съобщения: Когато някой инициира трансакция в блокчейн, мрежата генерира уникално съобщение, свързано с тази трансакция, което съдържа информация за нея, като адресите на изпращача и получателя, сумата за прехвърляне и други свързани подробности.
Подписване на съобщението: Потребителят, който инициира трансакция „подписва“ това съобщение с неговия частен ключ. Този процес включва прилагане на криптографски алгоритъм към съобщението и частния ключ на потребителя, което води до дигитален подпис.
Изпращане на подписаното съобщение: Подписаното съобщение, заедно с оригиналното съобщение, се изпраща до мрежата.
Проверка: Мрежата проверява подписа, като използва публичния ключ на извършващия трансакцията потребител, който е извлечен от неговия частен ключ, но може да бъде споделен безопасно. Ако подписът съвпада със съобщението и публичния ключ, това потвърждава, че притежателят на акаунта е оторизирал трансакцията.
Обработка на трансакции: Ако подписът е валиден, мрежата обработва трансакцията. В противен случай трансакцията се отхвърля.
Когато използвате крипто портфейл, процесът на подписване на трансакции обикновено се случва автоматично на заден план. Повечето съвременни крипто портфейли предоставят удобен за ползване интерфейс, който премахва техническите детайли, така че да не виждате и да не взаимодействате пряко с процеса.
Off-chain подписите, от друга страна, се използват за действия, които не засягат състоянието на блокчейна, като например проверка на самоличността на потребителя, влизане в DApp или предварително оторизиране на прехвърляния на средства. Ето как работи:
Генериране на предизвикателства: Приложението генерира уникално съобщение, което служи като „предизвикателство“ – искане от потребителя да се удостовери, като докаже, че притежава въпросния адрес. Това съобщение може да включва конкретни подробности, свързани с опита за влизане, като например времево клеймо или произволно число.
Създаване на подпис: Потребителят подписва съобщението с частния си ключ, създавайки дигитален подпис. Този подпис действа като доказателство, че те притежават частния ключ, свързан с портфейла.
Проверка на подписа: Получателят проверява подписа, използвайки вашия публичен ключ. Ако подписът е валиден, той потвърждава самоличността на потребителя и му предоставя достъп.
Потребителите на Web3 често взаимодействат с off-chain подписите за различни цели – и именно с този вид подпис може потенциално да бъде злоупотребено от престъпници.
Има няколко метода за подписване на съобщения, в т.ч eth_sign, personal_sign и eth_signTypedData. Тези функции имат различни нива на сигурност и в зависимост от портфейла, който използвате, някои методи може да не се поддържат.
Функцията eth_sign позволява на потребителите да подписват произволни съобщения с частните си ключове, което потенциално може да представлява рискове за сигурността. Този метод използва необработен, нечетим формат на съобщението без никакъв префикс или контекст.
Поради това потребителите често не разбират последиците от това, което подписват. Най-сериозният риск е, че подписването на злонамерено съобщение може да предостави на нападателя пълен контрол върху вашите активи.
Методът personal_sign е проектиран да бъде по-сигурен и удобен за потребителя. Той поставя префикс към съобщението със стандартен низ преди хеширане и подписване, като ясно показва, че съобщението е предназначено за подписване. Този префикс помага за защита срещу определени видове атаки, като атаки с повторение, при които подписано съобщение може да бъде използвано повторно в различен контекст.
Методът eth_signTypedData се използва за подписване на структурирани данни, осигурявайки повече контекст и яснота за това какво се подписва. Той позволява на разработчиците да определят структурата на подписаните данни, което ги прави по-прозрачни и по-лесни за разбиране.
В основата си eth_sign е криптографски механизъм, който позволява на потребителите да подписват произволни съобщения. Този подпис служи като дигитално доказателство, че собственикът на акаунта е оторизирал съдържанието на съобщението. Проблемът обаче възниква, когато тези подписани съобщения могат да бъдат интерпретирани и изпълнени от смарт договори по начини, които не са веднага очевидни за потребителя. Съобщение, което изглежда като безобиден низ от знаци, в действителност може да упълномощи нападателите да поемат пълен контрол над вашия акаунт. Нека направим разбивка на механиката на типична фишинг атака с eth_sign:
1. Настройката: Нападателите често създават фалшиви уебсайтове или приложения, които имитират легитимни платформи. Това могат да бъдат децентрализирани борси, NFT пазари или други услуги, базирани на блокчейн.
2. Примамката: Потребителите са примамвани да се свързват с тези фалшиви платформи чрез различни средства – фишинг имейли, подвеждащи реклами или дори фалшиви връзки в групи в социалните медии. Нападателите често създават усещане за спешност, като твърдят, че потребителят трябва да подпише бързо, за да се възползва от оферта за ограничен период от време или за да предотврати някои негативни последици.
3. Кукичката: Сайтът на нападателите изисква от потребителя да подпише съобщение с помощта на eth_sign. Съобщението, което потребителят подписва обаче, е много различно от това, което мисли. Може да даде разрешение за извършване на всяко злонамерено действие, което измамникът иска.
Популярните тактики за използване на подписване на съобщения включват фалшиви еърдропи; злонамерени DApp-ове, създадени да изглеждат легитимни, но чиято единствена цел е да крадат средства; Услуги за създаване на фалшиви NFT-та; фишинг имейли; представяне за поддръжка на клиенти; и създаване на фалшиви мостови интерфейси между различни блокчейни. Всички тези престъпни инструменти имат за цел да накарат потребителите да повярват, че подписват легитимно съобщение, докато всъщност дават на престъпниците достъп до техните дигитални средства.
Това, което прави тези атаки особено опасни, е, че те се възползват от привичното поведение на Web3 потребителите да подписват съобщения, за да потвърдят самоличността си или да одобрят действия. Много потребители са склонни да подписват такива съобщения, без да разберат напълно последиците.
Измамниците често манипулират жертвите си с обещание за неочаквани награди. Потребителят в този пример от реалния живот получава непоискан еърдроп на NFT в портфейла си, като подателите твърдят, че потребителят е спечелил значителна награда и трябва само да конвертира своя NFT ваучер в пари.
За да поиска наградата, потребителят е прехвърлен към свързан уебсайт, за да подпише съобщение, което е представено в нечетим шестнадесетичен формат. Ако приемем, че това е стандартна част от процеса на проверка, потребителят подписва. Това съобщение обаче е умело прикрито упълномощаване, което предоставя на измамника контрол върху активите на потребителя, което води до неоторизирани преводи от неговия портфейл.
Малко след това потребителят забелязва, че значително количество токени биват прехвърляни от портфейла му без негово съгласие, осъзнавайки твърде късно, че е бил измамени.
Основен извод: Пазете се от всякакви непоискани оферти или еърдропи, особено тези, които обещават значителни награди. Винаги проверявайте легитимността на източника, преди да предприемете каквито и да било допълнителни действия.
Измамниците често се представят за реномирани проекти или акаунти, за да създадат усещане за надеждност. В този пример престъпниците създават фалшив акаунт в X, имитиращ официалния акаунт на Baby Doge Coin. Имитаторът се е сдобил със златна значка за проверка, за да добави още повече надеждност.
Фалшивият акаунт обявява нов еърдроп за притежателите на Baby Doge Coin и включва връзка към уебсайт, където потребителите могат да поискат новия токен. Публикацията бързо набира популярност, което още повече засилва представата за нейната легитимност. Потребителите посещават предоставената връзка, свързват портфейлите си и подписват съобщение, за да потвърдят самоличността си и да поискат еърдропа.
Това, което жертвите не са знаели, е, че подписаното съобщение разрешава прехвърлянето на токени от техните портфейли до адреса на нападателя. Повечето потребители осъзнават, че това е измама, едва когато забелязват, че техните токени Baby Doge Coin са изчезнали от портфейлите им.
Основен извод: Винаги проверявайте автентичността на акаунтите в социалните медии, с които взаимодействате, и бъдете внимателни с всички съобщения, изискващи вашия подпис. Малките несъответствия, като малко по-различно или неправилно потребителско име, са ключови за разграничаването на истинското от фалшивото. В този пример името на Х на акаунта на измамника е било леко променено, за да се чете почти като истинското, с една гласна, удвоена в края.
Създаването на чувство за спешност е друга тактика, която измамниците използват, за да подтикнат потребителите да вземат прибързани решения. В този пример потребител, който скролва в емисията на социалните си мрежи, забелязва публикация от проект за криптовалута, който изглежда легитимен, в която се обявява нов еърдроп на токен, наречен „Sunwaves“. В публикацията се твърди, че има ограничен 24-часов прозорец за заявяване на еърдропа.
Заинтригувани от съобщението, потребителите посещават уебсайта, споменат в публикацията, което ги кара да свържат портфейлите си и да завършат няколко стъпки за проверка, включително да подпишат съобщение, за да потвърдят самоличността си и да поискат еърдропа.
Това подписано съобщение обаче дава на измамника разрешение да прехвърля токени от портфейла на потребителя. Потребителят бързо забелязва, че токените, включително ценни активи, са били прехвърлени без негово съгласие.
Основен извод: Бъдете скептични към всякакви оферти, които създават усещане за спешност. Измамниците често притискат потребителите да действат бързо, за да им попречат да отделят време за оценка и проверка на легитимността на офертата.
За да се елиминира възможността потребителите да попаднат на измама с Eth_sign, тази функция е забранена в Web3 портфейла на Binance. Това на практика означава, че след като eth_sign се задейства за трансакция, потребителите незабавно ще бъдат подканени, че тази трансакция е много рискова поради потенциално злонамерена заявка за подпис. Извършването на такава трансакция няма да е възможно.
За да избегнете измами с подписване на съобщения в Web3 пространството, важно е да вземете предпазни мерки:
1. Използвайте надеждни платформи: Подписвайте съобщения само на платформи, на които имате доверие. Ако дадена платформа изглежда подозрителна по някаква причина, най-добре е да я избягвате.
2. Не се доверявайте на неочаквани еърдропи: Бъдете внимателни с непоискани оферти, които изглеждат твърде добри, за да са истина, особено тези, които обещават значителни награди.
3. Проверете URL адресите на DApp-овете: Винаги проверявайте дали URL адресът е легитимен, преди да взаимодействате с децентрализирано приложение. Измамниците често създават URL адреси, които изглеждат подобни на реалните.
4. Използвайте сигурни портфейли: Използвайте портфейли с добра репутация, които осигуряват мерки за сигурност срещу злонамерени съобщения. Например Web3 портфейлът на Binance забрани функцията eth_sign, за да предотврати подобни атаки.
5. Бъдете информирани: Останете в крак с най-новите тактики за измама и най-добрите практики за сигурност в блокчейн пространството.
Изследването на децентрализираното пространство на Web3 услугите и приложенията може да бъде великолепно приключение. Тази среда обаче има своите рискове, изискващи от потребителите да бъдат бдителни и информирани. Измамниците могат да използват инструменти като подписване на съобщения и представяне под чужда самоличност, за да извършват неоторизирани трансакции, което води до значителни финансови загуби. Като сте наясно с тези рискове и приложите някои ясни практики и навици за сигурност, можете да се защитите. Винаги бъдете предпазливи и бдителни, за да гарантирате сигурността на активите си в Web3 екосистемата.
Отказ от отговорност: Криптовалутите са обект на висок пазарен риск и ценова волатилност. Трябва да инвестирате само в продукти, с които сте запознати и където разбирате свързаните рискове. Трябва внимателно да обмислите своя инвестиционен опит, финансовото състояние, инвестиционните цели и толерантността към риска и да се консултирате с независим финансов съветник, преди да направите каквато и да е инвестиция. Този материал не трябва да се тълкува като финансов съвет. Предишното представяне не е надежден показател за бъдещо представяне. Стойността на вашата инвестиция може да се понижи, както и да се повиши, и може да не си върнете сумата, която сте инвестирали. Вие носите цялата отговорност за вашите инвестиционни решения. Binance не носи отговорност за загуби, които може да претърпите. За повече информация, моля, вижте нашите Условия за ползване и Предупреждение за риск. Това е генерално съобщение. Продуктите и услугите, посочени тук, може да не са налични във вашия регион.
