Sind Wallets, die täglich auf der Kette interagieren, noch sicher? Was Sie wissen müssen, um den Diebstahl Ihres Portemonnaies zu verhindern!

Bitten Sie nicht um Hilfe, wenn es um Netzwerksicherheit geht! Seien Sie vorsichtig, bevor Sie Ihr MetaMask-Wallet signieren!
MetaMask ist eine sehr bekannte und am weitesten verbreitete digitale Geldbörse mit EVM-Verschlüsselung (Ethereum Virtual Machine). Ich glaube, dass jeder, der mit dem kryptografischen digitalen Bereich vertraut ist, schon einmal eine MetaMask-Geldbörse verwendet hat. Da jedoch immer mehr Menschen in den Bereich der digitalen Kryptowährung einsteigen, kommt es immer häufiger zu digitalen Betrugsfällen und es kommt immer häufiger vor, dass digitale Vermögenswerte aufgrund von Unkenntnis der Funktionsweise der Blockchain gestohlen werden.
Ein Freund hatte einmal eine solche Situation. Er hat offensichtlich keine Transaktionen durchgeführt, stellte jedoch fest, dass die digitalen Vermögenswerte in seiner Brieftasche ohne Grund übertragen wurden. Er war sich sicher, dass die mnemonische Phrase nicht an andere weitergegeben wurde, aber er hatte die Brieftasche verwendet B. sich mehrmals bei verschiedenen Konten auf einer Website anzumelden, an verschiedenen dApp-Interaktionen teilzunehmen usw. Daher ist es sehr wahrscheinlich, dass das Problem in der Signatur liegt.
Dieses Mal nehmen wir MetaMask als Beispiel, um über drei Signaturprobleme in der Blockchain zu sprechen.
Bei der sogenannten Signatur handelt es sich eigentlich um ein Verfahren zur Authentifizierung der Identität. Genauso wie wenn Sie zu einer Bank gehen, um Geld abzuheben, muss die Bank zusätzlich zu den Anweisungen zur Vorgehensweise auch eine Identitätsprüfung durchführen, um sicherzustellen, dass Sie der tatsächliche Kontoinhaber sind. Die Authentifizierung der Bankidentität kann durch Passwort, Unterschrift, Siegel usw. erfolgen.
Blockchain-Signatur
Das Gleiche gilt für Transaktionen auf der Blockchain. Zusätzlich zu den Anweisungen an die Blockchain, „was zu tun ist“, müssen Sie auch eine Identitätsauthentifizierung durchführen, um sicherzustellen, dass Sie der tatsächliche Kontoinhaber sind, bevor Sie die entsprechende Transaktion durchführen können Betrieb. Diese Identitätsauthentifizierung nennen wir „Signatur“.
Die spezifische Methode zum Signieren besteht darin, Ihren privaten Schlüssel (Private Key), der in einer Blockchain-Wallet (z. B. MetaMask) gespeichert ist, zu verwenden, um die von Ihnen ausgegebenen Anweisungen über einen Verschlüsselungsalgorithmus digital zu signieren. Diese Signatur kann mit dem öffentlichen Schlüssel Ihrer Adresse (Public Key) erfolgen ) wird verglichen, um sicherzustellen, dass es sich tatsächlich um die entsprechende von Ihnen erteilte Anweisung handelt, und der Authentifizierungsprozess ist abgeschlossen. Darüber hinaus erfordert die Aktion „Unterschreiben“ keine Abwicklung. Dies ist auch ohne Internetverbindung möglich.
Daher können Sie eine Transaktion normal abschließen, solange Sie über eine gültige Transaktionssignatur verfügen und mit den entsprechenden Transaktionsanweisungen (z. B. Überweisung) übereinstimmen.
An diesem Punkt glaube ich, dass kluge Leser das Geheimnis erkennen können. Die Transaktionssignatur hat im gesamten Prozess oberste Priorität. Mit anderen Worten: Ein Betrüger kann eine Transaktion fälschen und Ihre Transaktionssignatur betrügen. Dann kann der Betrüger diese Signatur verwenden, um die gefälschte Transaktion auszuführen, was dazu führt, dass Sie unter unerklärlichen Umständen Vermögenswerte verlieren. Der Verlust von Transaktionssignaturen ist einer der Gründe für den Diebstahl vieler digitaler Vermögenswerte.
Persönliches Zeichen
Allgemeine Web3-Anmeldesignatur
Mit Personal Sign kann ein UTF-8-codierter Text signiert werden. Mit dieser Methode zeigt MetaMask den signierten Inhalt deutlich an. Diese Methode wird häufig für Website-Anmeldungen verwendet.
Das oben erwähnte OpenSea-Login verwendet die Personal Sign-Methode.
Eth_Sign
Benutzer müssen beim Signieren aufmerksamer sein
ethsign ist eine Signaturmethode, die sehr früh von MetaMask bereitgestellt wurde. Diese Methode erfordert die Übergabe einer 32-Byte-Hash-Nummer (Hash) zur Signatur, und die Hash-Nummer kann aus jedem Inhalt erhalten werden. Daher kann die Signatur allein verwendet werden Der Autor hat keine Ahnung, welchen Inhalt er signiert, eine Autorisierung, eine Website-Anmeldeanfrage oder irgendetwas anderes. Daher besteht ein sehr hohes Risiko Eine rote Warnung erscheint, um Benutzer zu warnen, nicht in einen Betrug zu verfallen.
Verdammt, klingel mal. Ethsign ist eine sehr gefährliche Signaturmethode und wird auch von vielen Betrügern verwendet. Das oben erwähnte OpenSea-Login verwendet die Personal Sign-Methode.
EIP712-Zeichen
Eine fortschrittlichere und sicherere Methode zum Signieren von Transaktionen
EIP712 Sign ist ein sichererer Signaturstandard. Dieser Standard legt die Struktur von Signaturdaten fest und fügt außerdem Umfangsbeschränkungen für Daten hinzu, z. B. Domäne, Verifizierungsvertragsadresse usw.
ERC712-Signaturen werden häufig bei der Vertragsabwicklung wie Metatransaktionen verwendet. EIP712-Signaturanfragen werden beispielsweise während der OpenSea-NFT-Listung, Preissenkung und anderen Prozessen angezeigt.
Der Vorteil dieses Standards besteht darin, dass Unterzeichner deutlich sehen können, was sie unterschreiben, was das Risiko von Phishing erheblich verringert. Dies bedeutet jedoch nicht, dass diese Art der Signatur absolut sicher ist. Beim Unterschreiben müssen Sie deutlich erkennen, was Sie unterschreiben.
Abschluss
Zusammenfassend lässt sich sagen, dass man nie davon ausgehen kann, dass kein Risiko besteht, wenn sich die Signatur nicht in der Kette befindet. Im Gegenteil, Blockchain-Signaturen können tatsächlich als allmächtig angesehen werden, insbesondere Signaturen, die mithilfe von Ethsign angezeigt werden. Sowohl Entwicklungsteams als auch Einzelpersonen müssen besonders vorsichtig sein.
Zusätzlich zur Sicherheit der Metamask-Interaktion selbst umfassen weitere Sicherheitsempfehlungen:
1. Der private Schlüssel und die mnemonische Phrase dürfen unter keinen Umständen weitergegeben werden. Verwenden Sie die Zwischenablage nicht zum Kopieren. Machen Sie auch keine Fotos oder Screenshots und speichern Sie sie auch nicht auf einer Netzwerkfestplatte. Denken Sie daran, dass der private Schlüssel oder die mnemonische Phrase alles in Ihrer Brieftasche ist
2. Getrennte Hot- und Cold-Wallets müssen in Hot-Wallets durchgeführt werden. Wenn Sie einen NFT in einem Cold-Wallet verkaufen möchten, geben Sie lieber etwas Benzin für die Übertragung aus zuerst zur Hot Wallet.
3. Wenn Sie mit dem Mint beginnen oder einige dApps ausprobieren, verwenden Sie am besten eine kleine Brieftasche
4. Es ist am besten, große Mengen an Vermögenswerten in Börsen oder Hardware-Wallets aufzubewahren. Mnemonische Phrasen für Hardware-Wallets können nur von Hand geschrieben und nicht im Internet gespeichert werden.
Ich hoffe, dass jeder in der Kryptowelt glücklich ist und seine Geldbörsen der Schlüssel zu unserem Überleben in der Web3-Welt ist. Wenn der Schlüssel verloren geht oder gestohlen wird, gehört die Geldbörse sofort Inhalt der Wallet-Assets, Wallets sind veraltet.