I portafogli che interagiscono ogni giorno sulla catena sono ancora sicuri? Quello che devi sapere per evitare che ti venga rubato il portafoglio!

Non chiedere aiuto quando si tratta di sicurezza della rete! Fai attenzione prima di firmare il tuo portafoglio MetaMask!
MetaMask è un portafoglio digitale crittografato EVM (Ethereum Virtual Machine) molto famoso e ampiamente utilizzato. Credo che chiunque abbia familiarità con il campo digitale crittografico abbia utilizzato un portafoglio MetaMask prima o poi. Tuttavia, man mano che sempre più persone entrano nel campo digitale crittografato, i casi di frode digitale stanno gradualmente aumentando e i casi di furto di risorse digitali a causa della scarsa familiarità con la modalità operativa della blockchain stanno diventando sempre più comuni.
Un amico una volta si è trovato in una situazione del genere. Chiaramente non ha effettuato alcuna transazione, ma ha scoperto che le risorse digitali nel suo portafoglio erano state trasferite senza motivo. Era sicuro che la frase mnemonica non fosse trapelata ad altri, ma aveva utilizzato il portafoglio accedere più volte a diversi account del sito Web, partecipare a diverse interazioni dApp, ecc. Pertanto, è molto probabile che il problema risieda nella firma.
Questa volta prenderemo MetaMask come esempio per parlare di tre problemi di firma sulla blockchain.
La cosiddetta firma è in realtà un processo di autenticazione dell'identità. Proprio come quando ti rechi in banca per prelevare denaro, oltre a ricevere le istruzioni per l'operazione, la banca deve anche effettuare l'autenticazione dell'identità per garantire che tu sia il vero proprietario del conto. L'autenticazione dell'identità bancaria può essere effettuata tramite password, firma, sigillo, ecc.
Firma blockchain
Lo stesso vale per le transazioni sulla blockchain. Quando effettui una transazione, oltre a istruire la blockchain su "cosa fare", devi anche eseguire l'autenticazione dell'identità per assicurarti di essere il vero proprietario dell'account prima di poter eseguire la corrispondente. operazione. Questa autenticazione dell'identità è ciò che chiamiamo "firma".
Il metodo specifico di firma consiste nell'utilizzare la tua chiave privata (Chiave privata) salvata in un portafoglio blockchain (come MetaMask) per firmare digitalmente le istruzioni emesse tramite un algoritmo di crittografia. Questa firma può essere eseguita tramite la chiave pubblica del tuo indirizzo (Chiave pubblica). ) viene confrontato per verificare che si tratti effettivamente dell'istruzione corrispondente impartita dall'utente e il processo di autenticazione è completato. Inoltre, l'azione di "firma" non richiede avvolgimento. Si può fare anche senza connessione internet.
Pertanto, finché si dispone di una firma di transazione valida e si abbinano le istruzioni di transazione corrispondenti (come il trasferimento), è possibile completare normalmente una transazione.
A questo punto, credo che i lettori intelligenti possano vedere il mistero. La firma della transazione è la massima priorità nell’intero processo. In altre parole, un truffatore può falsificare una transazione e frodare la firma della transazione, quindi può utilizzare questa firma per eseguire la transazione contraffatta, provocando la perdita di beni in circostanze inspiegabili. La fuga di firme delle transazioni è uno dei colpevoli del furto di molte risorse digitali.
Segno personale
Firma di accesso Web3 comune
Il segno personale può essere utilizzato per firmare un pezzo di testo codificato UTF-8. Utilizzando questo metodo, MetaMask visualizzerà chiaramente il contenuto firmato. Questo metodo è comunemente utilizzato per gli accessi ai siti Web.
L'accesso OpenSea menzionato sopra utilizza il metodo Personal Sign.
Eth_Segno
Gli utenti devono essere più attenti a firmare
ethsign è un metodo di firma fornito molto presto da MetaMask. Questo metodo richiede il passaggio di un numero hash di 32 byte (Hash) per la firma e il numero hash può essere ottenuto da qualsiasi contenuto Pertanto, con questo solo numero hash senza significato, la firma L'autore non avrà idea del contenuto che sta firmando. Questo contenuto potrebbe essere una transazione, un'autorizzazione, una richiesta di accesso al sito Web o qualsiasi altra cosa. Pertanto, il rischio è molto elevato. Ora MetaMask ha iniziato a firmare questo tipo di firma Richiedi che venga visualizzato un avviso rosso per avvisare gli utenti di evitare di cadere in una truffa.
Cavolo, suona il campanello. Ethsign è un metodo di firma molto pericoloso ed è anche il metodo di firma utilizzato da molte truffe. L'accesso OpenSea menzionato sopra utilizza il metodo Personal Sign.
Segno EIP712
Un metodo più avanzato e sicuro per firmare le transazioni
EIP712 Sign è uno standard di firma più sicuro. Questo standard specifica la struttura dei dati della firma e aggiunge anche restrizioni sull'ambito dei dati, come dominio, indirizzo del contratto di verifica, ecc.
Le firme ERC712 vengono spesso utilizzate nell'esecuzione dei contratti come le metatransazioni. Ad esempio, le richieste di firma EIP712 verranno visualizzate durante la quotazione NFT di OpenSea, la riduzione dei prezzi e altri processi.
Il vantaggio di questo standard è che i firmatari possono vedere chiaramente cosa stanno firmando, riducendo notevolmente il rischio di phishing. Tuttavia, ciò non significa che questo tipo di firma sia assolutamente sicuro Quando si firma, è necessario vedere chiaramente cosa si sta firmando.
Conclusione
In sintesi, non si può mai pensare che non vi sia alcun rischio se la firma non è sulla catena. Al contrario, le firme blockchain possono effettivamente essere considerate onnipotenti, in particolare le firme che compaiono utilizzando ethsign. Sia i team di sviluppo che gli individui devono prestare particolare attenzione.
Oltre alla sicurezza dell'interazione stessa con la metamaschera, altre raccomandazioni sulla sicurezza includono:
1. La chiave privata e la frase mnemonica non possono essere fornite in nessun caso e non utilizzare gli appunti per copiare, né scattare foto, acquisire schermate o archiviarli su un disco di rete. Ricorda che la chiave privata o la frase mnemonica è tutto nel tuo portafoglio
2. Portafogli caldi e freddi separati. Tutte le transazioni devono essere eseguite nei portafogli caldi. I portafogli freddi eseguono solo operazioni di trasferimento in entrata e in uscita. Se desideri vendere un NFT in un portafoglio freddo, preferiresti spendere un po' di gas per trasferirlo prima al portafoglio caldo.
3. Quando si va a coniare, o quando si provano alcune dApp, è meglio usare un piccolo portafoglio
4. È meglio conservare grandi quantità di asset negli scambi o negli hardware wallet Le frasi mnemoniche per gli hardware wallet possono essere scritte solo a mano e non possono essere archiviate su Internet.
Spero che tutti siano felici nel mondo delle criptovalute e proteggano i propri portafogli. I portafogli sono la chiave per la nostra sopravvivenza nel mondo web3. Se la chiave viene persa o rubata, il portafoglio non ti appartiene più contenuto delle risorse del portafoglio, i portafogli sono deprecati.