Безопасны ли кошельки, которые ежедневно взаимодействуют в цепочке? Что нужно знать о том, как предотвратить кражу кошелька!

Не просите помощи, когда дело касается сетевой безопасности! Будьте осторожны, прежде чем подписывать свой кошелек MetaMask!
MetaMask — это очень известный и наиболее широко используемый цифровой кошелек с шифрованием EVM (Виртуальная машина Ethereum). Я считаю, что любой, кто знаком с цифровой криптографической областью, в то или иное время использовал кошелек MetaMask. Однако по мере того, как все больше и больше людей входят в зашифрованную цифровую сферу, случаи цифрового мошенничества постепенно увеличиваются, а случаи кражи цифровых активов из-за незнания режима работы блокчейна становятся все более распространенными.
У друга однажды была такая ситуация. Он явно не совершал никаких транзакций, но обнаружил, что цифровые активы в его кошельке были переведены без всякой причины. Он был уверен, что мнемоническая фраза не утекла к другим, но он воспользовался кошельком. много раз входить в разные учетные записи сайта, участвовать в различных взаимодействиях с dApp и т. д. Поэтому весьма вероятно, что проблема кроется в подписи.
На этот раз мы возьмем MetaMask в качестве примера и поговорим о трех проблемах с подписями в блокчейне.
Так называемая подпись на самом деле представляет собой процесс аутентификации личности. Точно так же, как когда вы идете в банк, чтобы снять деньги, помимо получения инструкций по операции банк также должен выполнить аутентификацию личности, чтобы убедиться, что вы являетесь реальным владельцем счета. Аутентификация банковской личности может осуществляться по паролю, подписи, печати и т.д.
Подпись блокчейна
То же самое относится и к транзакциям в блокчейне. Когда вы проводите транзакцию, помимо указания блокчейну «что делать», вам также необходимо выполнить аутентификацию личности, чтобы убедиться, что вы являетесь реальным владельцем учетной записи, прежде чем вы сможете выполнить соответствующие действия. операция. Эту аутентификацию личности мы называем «подписью».
Конкретный метод подписи заключается в использовании вашего закрытого ключа (закрытого ключа), сохраненного в кошельке с блокчейном (например, MetaMask), для цифровой подписи инструкций, которые вы выдали с помощью алгоритма шифрования. Эту подпись можно сделать с помощью открытого ключа вашего адреса (открытого ключа). ) сравнивается, чтобы убедиться, что это действительно соответствующая инструкция, выданная вами, и процесс аутентификации завершен. Кроме того, действие «подписания» не требует намотки. Это также можно сделать без подключения к Интернету.
Таким образом, если у вас есть действительная подпись транзакции и вы соответствуете соответствующим инструкциям по транзакции (например, переводу), вы можете завершить транзакцию в обычном режиме.
Я считаю, что на этом этапе умные читатели могут разглядеть тайну. Подпись транзакции является главным приоритетом во всем процессе. Другими словами, мошенник может подделать транзакцию и обмануть вашу подпись транзакции. Затем мошенник может использовать эту подпись для выполнения поддельной транзакции, в результате чего вы потеряете активы при необъяснимых обстоятельствах. Утечка подписей транзакций является одной из причин кражи многих цифровых активов.
Персональный знак
Общая подпись для входа в Web3
Персональный знак можно использовать для подписи фрагмента текста в кодировке UTF-8. Используя этот метод, MetaMask будет четко отображать подписанный контент. Этот метод обычно используется для входа на веб-сайт.
Для входа в OpenSea, о котором мы упоминали выше, используется метод личного входа.
Eth_Sign
Пользователям необходимо быть более внимательными, чтобы подписать
ethsign — это метод подписи, предоставленный MetaMask очень рано. Этот метод требует передачи 32-байтового хеш-числа (Hash) для подписи, и хеш-номер можно получить из любого контента. Таким образом, только с помощью этого бессмысленного хеш-числа подпись. Автор понятия не имеет, какой контент он подписывает. Это может быть транзакция, авторизация, запрос на вход на сайт или что-то еще. Поэтому сейчас MetaMask начал подписывать этот тип подписи. . Запросите всплывающее красное предупреждение, чтобы предупредить пользователей о том, что они не могут стать жертвой мошенничества.
Данг, позвони в колокольчик. Ethsign — очень опасный метод подписи, а также метод подписи, используемый многими мошенниками. Для входа в OpenSea, о котором мы упоминали выше, используется метод личного входа.
Знак EIP712
Более продвинутый и безопасный метод подписания транзакций.
EIP712 Sign — это более безопасный стандарт подписи. Этот стандарт определяет структуру данных подписи, а также добавляет ограничения по объему данных, такие как домен, адрес контракта проверки и т. д.
Подписи ERC712 часто используются при выполнении контрактов, таких как метатранзакции. Например, запросы на подпись EIP712 будут появляться во время листинга OpenSea NFT, снижения цен и других процессов.
Преимущество этого стандарта заключается в том, что подписывающие стороны могут четко видеть, что они подписывают, что значительно снижает риск стать жертвой фишинга. Однако это не означает, что такая подпись абсолютно безопасна. Подписываясь, вы должны четко видеть, что подписываете.
Заключение
Подводя итог, нельзя думать, что риска нет, если подписи нет в цепочке. Напротив, подписи блокчейна на самом деле можно считать всемогущими, особенно подписи, которые появляются с помощью ethsign. И команды разработчиков, и отдельные лица должны быть особенно осторожны.
Помимо безопасности самого взаимодействия метамаски, другие рекомендации по безопасности включают в себя:
1. Приватный ключ и мнемоническую фразу нельзя выдавать ни при каких обстоятельствах, а также не использовать для копирования буфер обмена, а также делать фотографии, скриншоты или хранить их на сетевом диске. Помните, что закрытый ключ или мнемоническая фраза — это все, что есть в вашем кошельке.
2. Отдельные горячие и холодные кошельки. Все транзакции должны выполняться в горячих кошельках. Холодные кошельки выполняют только операции ввода и вывода. Если вы хотите продать NFT в холодном кошельке, вам лучше потратить немного газа на его перевод. сначала на горячий кошелек.
3. Собираясь чеканить монеты или пробуя некоторые dApps, лучше всего использовать небольшой кошелек.
4. Большие объемы активов лучше всего хранить на биржах или аппаратных кошельках. Мнемонические фразы для аппаратных кошельков можно писать только от руки и нельзя хранить в Интернете.
Я надеюсь, что все будут счастливы в мире криптовалют и защитят свои кошельки. Кошельки — это ключ к нашему выживанию в мире web3. Если ключ потерян или украден, кошелек больше не принадлежит вам. Если это произойдет, немедленно удалите его. содержимое кошелька, кошелек устарел.