Hatta çoğu varlık hırsızlığı olayında son güvenlik kapısı (imza yetkilendirmesi) kullanıcının kendisi tarafından korunmaktadır.Kullanıcı dikkatli olursa ve imzanın içeriğini anlarsa büyük ihtimalle birçok riskten kaçınabilecektir.
Peki cüzdan imzası türleri nelerdir? Şüpheli işlemler nasıl tespit edilir? Daha sonra yazar bu konuyu kısaca tanıtacaktır.
İmza ve yetkilendirme arasındaki fark
Öncelikle imza ile yetkilendirme arasındaki farkı yaygınlaştırmak gerekiyor.
Basitçe söylemek gerekirse, kullanıcı imzası tıpkı bir şirket başkanının bir belgeyi imzalaması gibidir, bir kimlik doğrulama ve izin yöntemidir. Sıradan kimlik doğrulama, aktarım veya Dapp'teki işlemler olsun, tüm etkileşimler sonuçta imza işlemimizin devam etmesini gerektirir. M-cüzdanın gerçek kullanımında, kimlik doğrulama arayüzü (İmzala, Onayla vb. dahil) açıldığında uygulama imzanızı arar.Bir kimlik doğrulama imzaya eşdeğerdir.
Yetkilendirme (Onayla, İzin vb. dahil), imzaların bir alt kümesi olan uygulamaya belirli izinlerin verilmesidir (örneğin kullanıcı adına 0,1 ETH'nin altındaki transferler yapılabilir). Cüzdanın fiili kullanımında imza bir miktar yetkilendirme getirebilir ancak yetkilendirmenin kullanıcı tarafından imzalanması gerekir. Yetkilendirmenin kullanıcı deneyimini iyileştirmeyi amaçladığını belirtmekte fayda var, ancak yetkilendirme sırasında varlık hırsızlığını önlemek için yetkilendirilen nesneleri ve içeriği de dikkatli bir şekilde taramanız gerekir.
Özellikle tüylerini diken diken eden kullanıcılar için, etkileşimli görevleri yerine getirebilmek için cüzdanda çeşitli web sitesi yetkilendirmeleri toplanmış olabilir. Güvenli öneri, cüzdan yetkilendirmesini düzenli olarak kontrol etmek ve bazı şüpheli veya seyrek kullanılan web sitelerinin yetkilendirmesini iptal etmektir, aksi takdirde çalışkan kişilerdir. tüyleri diken diken eden Butik numarası başkası için dikilmiş bir gelinlik olabilir.
İptal, şu anda cüzdan yetkilendirmesini görüntülemek ve iptal etmek için en sık kullanılan web sitesidir. Bağlantı aşağıdaki gibidir:
https://revoke.cash
farklı imza türleri
Ethereum'da üç ana imza yöntemi vardır: Personal_Sign, EIP712 Sign (eth_signTypedData) ve Eth_Sign.
Kişisel_İmza
Personal_Sign en yaygın imza yöntemidir ve genellikle kimlik doğrulama ile web sitesi ve Dapp oturum açma işlemleri için kullanılır.
Aşağıdaki şekilde Opensea'ye giriş yaparken kullanılan Personal_Sign örnek olarak alınmıştır. Bu imzanın bölümlerini ve önlemlerini tek tek tanıtalım:
1. En üstte kullanıcının hesabı ve bakiyesi var, söylenecek fazla bir şey yok;
2. Aşağıda Opensea'nin alan adı verilmiştir. Çoğu kullanıcı bazen bu bilgiyi göz ardı eder, ancak kontrol etmeye değer çünkü bazı kimlik avı web siteleri, kullanıcıları kandırmak için aynı imzayı kendi alan adları altında taklit edecek, dolayısıyla tarayıcıda olup olmadığı. İster Dapp'te oturum açın, ister Dapp'te sonraki etkileşimli imzaları gerçekleştirin, alan adının doğru olup olmadığını kontrol etmeniz gerekir;
3. En altta ise aşağıdaki resimde işaretlenenler dahil olmak üzere toplam 6 adet içerik bulunmaktadır: (1) Hoş Geldiniz mesajı (2) Sorumluluk reddi sözleşmesi (3) Bu imzanın Gas maliyeti olmayacağını hatırlatma (4) ) Bu imzanın geçerli olduğunu hatırlatmak için 24 saat (5) süreyle imzalanan cüzdan adresi (6), imzanın benzersiz bir nonce olduğunu kanıtlar.
Ancak uygulamaların tüm Personal_Sign mesajları Opensea gibi "ne görüyorsan onu imzalarsın" düzeyine ulaşamaz. Bazı uygulama grafiklerinin yazılması kolaydır ve Opensea kadar eksiksiz değildir ve bazıları doğrudan okunamayan bir dize sunar. Kullanıcılar tarafından imzalanması (genelde "kör imzalama" olarak bilinir), herhangi bir güvenlik sorunu olmasa bile bu tür bir projenin kullanıcı deneyimine dikkat edilmediği anlamına gelebilir.
EIP712 İşareti(eth_signTypedData)
EIP712 İşareti daha okunabilir bir imza yöntemidir, bu nedenle genellikle NFT'lerin satın alınması ve satılması, takas etkileşimleri, yönetişim oylaması vb. gibi sözleşme etkileşimleriyle ilgili imzalar için kullanılır.
Aşağıdaki şekilde gösterildiği gibi, hesap, bakiye ve alan adı dahil olmak üzere üstteki bilgiler Personal_Sign'a benzer. Aradaki fark, alt mesajın sadece okunabilir olması değil aynı zamanda farklı türlere göre (Kimden, Cüzdan, Kime, Tutar,) görüntülenmesidir. vb.), kullanıcıların daha fazlasını yapmasına olanak tanır. İmzalanacak içeriğin doğru olup olmadığını kontrol etmek iyidir.
Ancak bu, EIP712 Sign'ın kesinlikle güvenli olduğu anlamına gelmez, eğer kullanıcı imzalarken içeriği hiç okumazsa, ne kadar detaylı olursa olsun faydasız olacaktır. Tıpkı bu Galxe saldırısında olduğu gibi imzada da işlem içeriği açıkça yazıyordu (her ne kadar EIP712 Sign olmasa da) ancak bazı kullanıcılar yine de etkilendi.
Eth_Sign
Eth_Sign, MetaMask tarafından çok erken dönemde sağlanan bir imza yöntemidir. Çok tehlikeli bir imza yöntemi olarak kabul edilir ve genellikle dolandırıcılar tarafından kullanılır. Eth_Sign tam bir "kör imza" olduğundan, alttaki mesajda sunulan dize okunamaz. Kullanıcının neyi imzaladığı hakkında hiçbir fikri yoktur. Bu, bir web sitesine giriş isteği veya yetkilendirme olabileceği gibi, tüm varlıklarınızı transfer eden bir işlem de olabilir.
Bu nedenle, Eth_Sign imzalı MetaMask ile karşılaşıldığında, kullanıcılara dolandırıcılığa girmemelerini hatırlatmak için genellikle kırmızı bir uyarı (aşağıda gösterildiği gibi) verilir, ancak bu, herhangi bir uyarı yapılmaması olasılığını ortadan kaldırmaz. Kısaca kullanıcı olarak bu tür "kör imza" ile karşılaştığınızda hiç imza atmamak en güvenli yoldur.
Tabii ki, "kör imza" içeriği için bir tanımlama hilesi, eğer dize "0x" ile başlıyorsa, imzanın bir işlem içerme olasılığı yüksektir; eğer "0x" ile başlamıyorsa, bu olabilir; Kimlik doğrulama veya yetkilendirme (aşağıdaki resim).
Özetle
Sadece saldırının ne olduğunu anlamamız değil, daha da önemlisi kendimiz için alarmı çalmamız gerekiyor.
Yukarıdakiler, çeşitli imza yöntemlerine ve imzalarken dikkat etmeniz gereken hususlara kısa bir giriş niteliğindedir. Bilgisayar korsanlarının kimlik avı ve saldırı yöntemleri sürekli güncellendiğinden, bu, tüm kimlik avı saldırılarından kaçınmanıza yardımcı olmayabilir. Ancak her durumda akılda tutulması gereken tek şey, "imzanın" son güvenlik kapısını korumanız gerektiğidir. Gerçek etkileşimlerde, imza ne kadar küçük olursa olsun veya web sitesi ne kadar iyi bilinirse yetkilendirilsin, bunu yapmanız gerekir. dikkatli olun ve imzalanacak içeriği dikkatlice doğrulayın.
