¿Siguen siendo seguras las carteras que interactúan en la cadena todos los días? ¡Lo que necesitas saber sobre cómo evitar que te roben la cartera!

¡No pida ayuda cuando se trata de seguridad de la red! ¡Tenga cuidado antes de firmar su billetera MetaMask!
MetaMask es una billetera digital cifrada EVM (Ethereum Virtual Machine) muy famosa y más utilizada. Creo que cualquiera que esté familiarizado con el campo digital criptográfico ha usado una billetera MetaMask en un momento u otro. Sin embargo, a medida que más y más personas ingresan al campo digital cifrado, los casos de fraude digital aumentan gradualmente y los casos de robo de activos digitales debido a la falta de familiaridad con el modo de funcionamiento de la cadena de bloques se están volviendo cada vez más comunes.
Una vez, un amigo tuvo una situación así. Claramente no realizó ninguna transacción, pero descubrió que los activos digitales en su billetera se transfirieron sin ningún motivo. Estaba seguro de que la frase mnemotécnica no se filtró a otros, pero había usado la billetera. iniciar sesión en diferentes cuentas del sitio web muchas veces, participar en diferentes interacciones de dApp, etc. Por lo tanto, es muy probable que el problema esté en la firma.
Esta vez tomaremos MetaMask como ejemplo para hablar sobre tres problemas de firmas en blockchain.
La llamada firma es en realidad un proceso de autenticación de identidad. Al igual que cuando vas a un banco a retirar dinero, además de recibir tus instrucciones de operación, el banco también debe realizar una autenticación de identidad para garantizar que eres el verdadero propietario de la cuenta. La autenticación de la identidad bancaria se puede realizar mediante contraseña, firma, sello, etc.
Firma de cadena de bloques
Lo mismo ocurre con las transacciones en la cadena de bloques. Cuando realiza una transacción, además de indicarle a la cadena de bloques "qué hacer", también debe realizar la autenticación de identidad para asegurarse de que usted es el propietario real de la cuenta antes de poder realizar la transacción correspondiente. operación. Esta autenticación de identidad es lo que llamamos "firma".
El método específico de firma es utilizar su clave privada (Clave privada) guardada en una billetera blockchain (como MetaMask) para firmar digitalmente las instrucciones que emitió a través de un algoritmo de cifrado. Esta firma se puede realizar con la clave pública de su dirección (Clave pública). ) se compara para verificar que efectivamente sea la instrucción correspondiente emitida por usted y se completa el proceso de autenticación. Además, la acción de "firmar" no requiere cuerda. También se puede hacer sin conexión a internet.
Por lo tanto, siempre que tenga una firma de transacción válida y coincida con las instrucciones de transacción correspondientes (como una transferencia), puede completar una transacción normalmente.
En este punto, creo que los lectores inteligentes pueden ver el misterio. La firma de la transacción es la máxima prioridad en todo el proceso. En otras palabras, un estafador puede falsificar una transacción y defraudar su firma de transacción. Luego, el estafador puede usar esta firma para ejecutar la transacción falsificada, provocando que usted pierda activos en circunstancias inexplicables. La filtración de firmas de transacciones es uno de los culpables del robo de muchos activos digitales.
Signo personal
Firma de inicio de sesión común en Web3
Personal Sign se puede utilizar para firmar un fragmento de texto codificado en UTF-8. Con este método, MetaMask mostrará claramente el contenido firmado. Este método se utiliza comúnmente para iniciar sesión en sitios web.
El inicio de sesión de OpenSea que mencionamos anteriormente utiliza el método de signo personal.
Signo_eth
Los usuarios deben estar más alerta para firmar
ethsign es un método de firma proporcionado por MetaMask desde muy temprano. Este método requiere pasar un número hash de 32 bytes (Hash) para la firma, y ​​el número hash se puede obtener de cualquier contenido, por lo tanto, solo con este número hash sin sentido, se puede obtener la firma. El autor no tendrá idea de qué contenido está firmando. Este contenido puede ser una transacción, una autorización, una solicitud de inicio de sesión en un sitio web o cualquier otra cosa. Por lo tanto, ahora MetaMask ha comenzado a firmar este tipo de firma. Solicite que aparezca una advertencia roja para advertir a los usuarios que eviten caer en una estafa.
Maldita sea, toca el timbre. Ethsign es un método de firma muy peligroso y también es el método de firma utilizado por muchas estafas. El inicio de sesión de OpenSea que mencionamos anteriormente utiliza el método de signo personal.
Signo EIP712
Un método más avanzado y seguro para firmar transacciones
EIP712 Sign es un estándar de firma más seguro. Este estándar especifica la estructura de los datos de la firma y también agrega restricciones de alcance a los datos, como el dominio, la dirección del contrato de verificación, etc.
Las firmas ERC712 se utilizan a menudo en la ejecución de contratos, como metatransacciones. Por ejemplo, las solicitudes de firma EIP712 aparecerán durante la cotización de OpenSea NFT, la reducción de precios y otros procesos.
La ventaja de este estándar es que los firmantes pueden ver claramente lo que están firmando, lo que reduce en gran medida el riesgo de sufrir phishing. Sin embargo, esto no significa que este tipo de firma sea absolutamente segura. Al firmar, debes ver claramente lo que estás firmando.
Conclusión
En resumen, nunca se puede pensar que no hay riesgo si la firma no está en la cadena. Por el contrario, las firmas de blockchain en realidad pueden considerarse omnipotentes, especialmente las firmas que aparecen usando ethsign. Tanto los equipos de desarrollo como los individuos deben tener mucho cuidado.
Además de la seguridad de la interacción de la metamáscara en sí, otras recomendaciones de seguridad incluyen:
1. La clave privada y la frase mnemotécnica no se pueden proporcionar bajo ninguna circunstancia, y no utilice el portapapeles para copiar, ni puede tomar fotografías, capturas de pantalla ni almacenarlas en un disco de red. Recuerde que la clave privada o frase mnemotécnica lo es todo en su billetera
2. Separe las billeteras frías y calientes. Todas las transacciones deben realizarse en billeteras frías. Las billeteras frías solo realizan operaciones de entrada y salida de transferencia. Si desea vender un NFT en una billetera fría, preferirá gastar un poco de gasolina para transferirlo. primero a la billetera caliente.
3. Cuando vayas a Mint o cuando pruebes algunas dApps, es mejor usar una billetera pequeña.
4. Es mejor almacenar grandes cantidades de activos en intercambios o billeteras de hardware. Las frases mnemotécnicas para billeteras de hardware solo se pueden escribir a mano y no se pueden almacenar en Internet.
Espero que todos sean felices en el mundo de las criptomonedas y protejan sus billeteras. Las billeteras son la clave para nuestra supervivencia en el mundo web3. Si la clave se pierde o se la roban, la billetera ya no le pertenece. Si esto sucede, retírela inmediatamente. contenido de la billetera, las billeteras están en desuso.