Czy portfele, które na co dzień wchodzą w interakcję z łańcuchem, są nadal bezpieczne? Co musisz wiedzieć, jak zabezpieczyć swój portfel przed kradzieżą!

Nie proś o pomoc, jeśli chodzi o bezpieczeństwo sieci! Zachowaj ostrożność przed podpisaniem portfela MetaMask!
MetaMask to bardzo znany i najczęściej używany portfel cyfrowy szyfrowany EVM (Ethereum Virtual Machine). Wierzę, że każdy, kto jest zaznajomiony z cyfrową dziedziną kryptografii, korzystał z portfela MetaMask od czasu do czasu. Jednakże w miarę jak coraz więcej osób wkracza w zaszyfrowany obszar cyfrowy, liczba przypadków oszustw cyfrowych stopniowo rośnie, a przypadki kradzieży zasobów cyfrowych z powodu nieznajomości trybu działania łańcucha bloków stają się coraz częstsze.
Znajomy miał kiedyś taką sytuację. Najwyraźniej nie dokonał żadnych transakcji, ale stwierdził, że zasoby cyfrowe w jego portfelu zostały przeniesione bez powodu. Był pewien, że mnemoniczna fraza nie wyciekła do innych osób, ale on korzystał z portfela wielokrotnie logować się na różne konta w witrynie, brać udział w różnych interakcjach dApp itp. Dlatego jest bardzo prawdopodobne, że problem leży w sygnaturze.
Tym razem weźmiemy MetaMask jako przykład, aby porozmawiać o trzech problemach z podpisami w blockchainie.
Tak zwany podpis jest w rzeczywistości procesem uwierzytelniania tożsamości. Podobnie jak wtedy, gdy udajesz się do banku, aby wypłacić pieniądze, oprócz otrzymania instrukcji operacji, bank musi również przeprowadzić uwierzytelnienie tożsamości, aby upewnić się, że jesteś prawdziwym właścicielem konta. Uwierzytelnienie tożsamości banku może odbywać się za pomocą hasła, podpisu, pieczęci itp.
Podpis Blockchaina
To samo dotyczy transakcji w łańcuchu bloków, oprócz poinstruowania łańcucha bloków „co ma robić”, musisz także przeprowadzić uwierzytelnienie tożsamości, aby upewnić się, że jesteś prawdziwym właścicielem konta, zanim będziesz mógł wykonać odpowiednią czynność. operacja. To uwierzytelnienie tożsamości nazywamy „podpisem”.
Specyficzną metodą podpisywania jest użycie klucza prywatnego (klucza prywatnego) zapisanego w portfelu blockchain (takim jak MetaMask) w celu cyfrowego podpisania instrukcji wydanych za pomocą algorytmu szyfrowania. Podpis ten można wykonać za pomocą klucza publicznego Twojego adresu (Klucz publiczny ) jest porównywany w celu sprawdzenia, czy rzeczywiście jest to odpowiednia instrukcja wydana przez Ciebie, a proces uwierzytelniania zostaje zakończony. Dodatkowo akcja „podpisywania” nie wymaga nawijania. Można to również zrobić bez połączenia z Internetem.
Dlatego też, jeśli posiadasz ważny podpis transakcji i zgadzasz się z odpowiednimi instrukcjami transakcji (takimi jak przelew), możesz normalnie sfinalizować transakcję.
Wierzę, że w tym momencie sprytni czytelnicy dostrzegą tajemnicę. Podpis transakcji jest najwyższym priorytetem w całym procesie. Innymi słowy, oszust może sfałszować transakcję i oszukać podpis transakcji. Następnie oszust może użyć tego podpisu do wykonania sfałszowanej transakcji, powodując utratę aktywów w niewytłumaczalnych okolicznościach. Wyciek podpisów transakcji jest jednym z winowajców kradzieży wielu zasobów cyfrowych.
Znak osobisty
Wspólne podpisywanie logowania do Web3
Personal Sign można wykorzystać do podpisania fragmentu tekstu zakodowanego w formacie UTF-8. Dzięki tej metodzie MetaMask wyraźnie wyświetli podpisaną treść. Ta metoda jest powszechnie stosowana przy logowaniu do witryn internetowych.
Logowanie OpenSea, o którym wspominaliśmy powyżej, wykorzystuje metodę podpisu osobistego.
Eth_Sign
Użytkownicy muszą być bardziej czujni, aby podpisać
ethsign to metoda podpisu udostępniona bardzo wcześnie przez MetaMask. Ta metoda wymaga podania 32-bajtowego numeru skrótu (Hash) do podpisu, a numer skrótu można uzyskać z dowolnej treści. Dlatego też za pomocą samego tego bezsensownego numeru skrótu powstaje podpis Autor nie będzie miał pojęcia, jaką treść podpisuje. Może to być transakcja, autoryzacja, żądanie logowania do witryny internetowej lub cokolwiek innego. Dlatego teraz MetaMask zaczął podpisywać tego typu podpisy Poproś o wyświetlenie czerwonego ostrzeżenia, aby ostrzec użytkowników przed wpadnięciem w oszustwo.
Kurczę, zadzwoń. Ethsign to bardzo niebezpieczna metoda podpisu, a także metoda podpisu wykorzystywana przez wiele oszustw. Logowanie OpenSea, o którym wspominaliśmy powyżej, wykorzystuje metodę podpisu osobistego.
Znak EIP712
Bardziej zaawansowana i bezpieczna metoda podpisywania transakcji
EIP712 Sign to bezpieczniejszy standard podpisu. Standard ten określa strukturę danych podpisu, a także dodaje ograniczenia zakresu danych, takich jak domena, adres umowy weryfikacyjnej itp.
Podpisy ERC712 są często używane podczas realizacji kontraktów, takich jak metatransakcje. Na przykład żądania podpisu EIP712 będą pojawiać się podczas wystawiania na giełdzie OpenSea NFT, obniżek cen i innych procesów.
Zaletą tego standardu jest to, że podpisujący wyraźnie widzą, co podpisują, co znacznie zmniejsza ryzyko wyłudzenia informacji. Nie oznacza to jednak, że ten rodzaj podpisu jest całkowicie bezpieczny Podczas składania podpisu musisz wyraźnie widzieć, co podpisujesz.
Wniosek
Podsumowując, nigdy nie można myśleć, że nie ma ryzyka, jeśli podpisu nie ma na łańcuszku. Wręcz przeciwnie, podpisy blockchain można faktycznie uznać za wszechmocne, zwłaszcza podpisy pojawiające się za pomocą ethsign. Zarówno zespoły programistów, jak i pojedyncze osoby muszą zachować szczególną ostrożność.
Oprócz bezpieczeństwa samej interakcji metamaski, inne zalecenia dotyczące bezpieczeństwa obejmują:
1. Klucz prywatny i fraza mnemoniczna nie mogą być pod żadnym pozorem udostępniane, nie należy używać schowka do kopiowania, robienia zdjęć, zrzutów ekranu ani przechowywania ich na dysku sieciowym. Pamiętaj, że klucz prywatny lub fraza mnemoniczna to wszystko, co masz w portfelu
2. Oddziel portfele gorące i zimne. Wszystkie transakcje muszą być przeprowadzane w portfelach gorących. Portfele zimne wykonują jedynie operacje transferu transakcji przychodzących i wychodzących. Jeśli chcesz sprzedać NFT w portfelu zimnym, wolisz wydać trochę paliwa na jego transfer najpierw do gorącego portfela.
3. Idąc do mennicy lub próbując niektórych dApps, najlepiej jest używać małego portfela
4. Najlepiej przechowywać duże ilości aktywów na giełdach lub w portfelach sprzętowych. Zwroty mnemoniczne dla portfeli sprzętowych można zapisywać wyłącznie ręcznie i nie można ich przechowywać w Internecie.
Mam nadzieję, że wszyscy będą szczęśliwi w świecie kryptowalut i zabezpieczą swoje portfele. Portfele są kluczem do naszego przetrwania w świecie web3. Jeśli klucz zostanie zgubiony lub skradziony, portfel nie będzie już należał do Ciebie. Jeśli tak się stanie, natychmiast go usuń zawartość portfela, portfele są przestarzałe.