Najważniejsze Wnioski
Podpisywanie wiadomości jest istotnym aspektem transakcji na blockchainie, ale jeśli nie jest obsługiwane ostrożnie, może narażać użytkowników na znaczne ryzyko bezpieczeństwa.
Funkcja 'eth_sign', która umożliwia użytkownikom podpisywanie dowolnych wiadomości, jest szczególnie podatna na nadużycia, co potencjalnie pozwala atakującym na uzyskanie pełnej kontroli nad aktywami ofiary.
Aby się chronić, zawsze korzystaj z zaufanych platform, unikaj podpisywania nieznanych wiadomości i bądź na bieżąco z powszechnymi oszustwami.
Dla tych, którzy eksplorują przestrzeń Web3, podpisywanie wiadomości jest niezbędne do autoryzacji transakcji, weryfikacji tożsamości i interakcji z zdecentralizowanymi aplikacjami (DApps). Na przykład platforma airdropowa może wymagać od użytkownika podpisania wiadomości, aby udowodnić posiadanie konkretnego adresu portfela uprawnionego do airdropu. Choć ten proces umożliwia wiele kluczowych funkcji blockchain, wprowadza również znaczne ryzyko bezpieczeństwa.
W tym artykule badamy potencjalne niebezpieczeństwa związane z podpisywaniem wiadomości na i poza blockchainem oraz podkreślamy powszechne scenariusze, w których użytkownicy mogą ponieść straty finansowe w wyniku podpisywania złośliwych wiadomości.
Podpisywanie wiadomości i transakcji: Zrozumienie różnicy
W zdecentralizowanej przestrzeni podpisy są niezbędne zarówno do autoryzacji transakcji, jak i interakcji z DApps. Występują w dwóch głównych typach: podpisy na łańcuchu (transakcje) i poza łańcuchem (wiadomości).
Podpisy na Łańcuchu (Podpisywanie Transakcji)
Podpisy na łańcuchu są używane do autoryzacji działań, które zmieniają stan blockchain, takich jak transfer funduszy lub wykonywanie inteligentnych kontraktów. Oto jak to działa:
Proces roboczy podpisywania i weryfikacji na łańcuchu
Generowanie wiadomości: Gdy ktoś inicjuje transakcję na blockchainie, sieć generuje wiadomość związaną z tą transakcją, która zawiera informacje na jej temat, takie jak adresy nadawcy i odbiorcy, kwotę do przetransferowania oraz inne istotne szczegóły.
Podpisywanie wiadomości: Użytkownik inicjujący transakcję "podpisuje" tę wiadomość swoim kluczem prywatnym. Proces ten polega na zastosowaniu algorytmu kryptograficznego do wiadomości i klucza prywatnego użytkownika, co skutkuje cyfrowym podpisem.
Wysyłanie podpisanej wiadomości: Podpisana wiadomość, wraz z oryginalną wiadomością, jest wysyłana do sieci.
Weryfikacja: Sieć weryfikuje podpis przy użyciu publicznego klucza użytkownika dokonującego transakcji, który pochodzi z jego klucza prywatnego, ale może być udostępniany bezpiecznie. Jeśli podpis pasuje do wiadomości i klucza publicznego, potwierdza, że właściciel konta autoryzował transakcję.
Przetwarzanie transakcji: Jeśli podpis jest ważny, sieć przetwarza transakcję. W przeciwnym razie transakcja jest odrzucana.
Kiedy używasz portfela kryptowalutowego, proces podpisywania transakcji zazwyczaj odbywa się automatycznie w tle. Większość nowoczesnych portfeli kryptowalutowych zapewnia przyjazny interfejs, który abstrahuje od szczegółów technicznych, więc nie widzisz ani nie wchodzisz bezpośrednio w interakcje z tym procesem.
Podpisy poza łańcuchem (Podpisywanie wiadomości)
Podpisy poza łańcuchem, z drugiej strony, są używane do działań, które nie wpływają na stan blockchain, takich jak weryfikacja tożsamości użytkownika, logowanie do DApp lub wstępne autoryzowanie transferów funduszy. Oto jak to działa:
Generowanie wyzwania: Aplikacja generuje unikalną wiadomość, która służy jako „wyzwanie” - prośba do użytkownika o uwierzytelnienie się poprzez udowodnienie, że posiada adres w pytaniu. Ta wiadomość może zawierać konkretne szczegóły związane z próbą logowania, takie jak znacznik czasu lub losowa liczba.
Tworzenie podpisu: Użytkownik podpisuje wiadomość swoim kluczem prywatnym, tworząc cyfrowy podpis. Ten podpis działa jako dowód, że posiada klucz prywatny związany z portfelem.
Weryfikacja podpisu: Odbiorca weryfikuje podpis przy użyciu twojego klucza publicznego. Jeśli podpis jest ważny, potwierdza tożsamość użytkownika i przyznaje mu dostęp.
To są podpisy poza łańcuchem, z którymi użytkownicy Web3 często muszą się kontaktować w różnych celach - to ten typ podpisu ma potencjał do nadużyć przez przestępców.
Ryzyko: Niezamierzona autoryzacja
Istnieje kilka metod podpisywania wiadomości, w tym eth_sign, personal_sign i eth_signTypedData. Funkcje te mają różne poziomy bezpieczeństwa, a w zależności od używanego portfela, niektóre metody mogą być wspierane lub nie.
Funkcja eth_sign pozwala użytkownikom podpisywać dowolne wiadomości za pomocą ich kluczy prywatnych, co może potencjalnie stwarzać ryzyko bezpieczeństwa. Ta metoda wykorzystuje surowy, nieczytelny format wiadomości bez żadnego prefiksu lub kontekstu.
Z tego powodu użytkownicy często nie rozumieją konsekwencji tego, co podpisują. Najcięższe ryzyko polega na tym, że podpisanie złośliwej wiadomości może przyznać atakującemu pełną kontrolę nad twoimi aktywami.
Metoda personal_sign została zaprojektowana, aby być bardziej bezpieczna i przyjazna dla użytkownika. Prefiksuje wiadomość standardowym ciągiem przed haszowaniem i podpisywaniem, co sprawia, że wiadomość jest jasna, że jest przeznaczona do podpisania. Ten prefiks pomaga chronić przed pewnymi rodzajami ataków, takimi jak ataki typu replay, gdzie podpisana wiadomość mogłaby być użyta w innym kontekście.
Metoda eth_signTypedData jest używana do podpisywania strukturalnych danych, dostarczając więcej kontekstu i przejrzystości na temat tego, co jest podpisywane. Umożliwia to deweloperom zdefiniowanie struktury danych, które są podpisywane, co czyni je bardziej przejrzystymi i łatwiejszymi do zrozumienia.
Czym jest phishing eth_sign?
W swojej istocie, eth_sign to mechanizm kryptograficzny, który pozwala użytkownikom podpisywać dowolne wiadomości. Ten podpis służy jako cyfrowy dowód, że właściciel konta zatwierdził treść wiadomości. Problem pojawia się, gdy te podpisane wiadomości mogą być interpretowane i wykonywane przez inteligentne kontrakty w sposób, który nie jest od razu oczywisty dla użytkownika. Wiadomość, która wydaje się być nieszkodliwym ciągiem znaków, może w rzeczywistości upoważnić atakujących do przejęcia pełnej kontroli nad twoim kontem. Przyjrzyjmy się mechanizmowi typowego ataku phishingowego eth_sign:
1. Przygotowanie: Atakujący często tworzą fałszywe strony internetowe lub aplikacje, które naśladują legalne platformy. Mogą to być zdecentralizowane giełdy, rynki NFT lub inne usługi oparte na blockchain.
2. Przynęta: Użytkownicy są kuszeni do połączenia się z tymi fałszywymi platformami na różne sposoby - phishingowe e-maile, mylące reklamy, a nawet fałszywe linki w grupach na mediach społecznościowych. Atakujący często tworzą poczucie pilności, twierdząc, że użytkownik musi szybko podpisywać, aby skorzystać z ograniczonej oferty lub zapobiec negatywnym konsekwencjom.
3. Hak: Strona atakujących prosi użytkownika o podpisanie wiadomości za pomocą eth_sign. Jednak wiadomość, którą użytkownik podpisuje, jest bardzo różna od tego, co myśli. Może to przyznać pozwolenie na wykonanie jakiejkolwiek złośliwej akcji, którą chce oszust.
Etapy ataku phishingowego eth_sign
Popularne taktyki wykorzystywania podpisywania wiadomości obejmują fałszywe airdropy; złośliwe DApps stworzone, aby wyglądać na legalne, ale których jedynym celem jest kradzież funduszy; fałszywe usługi mintowania NFT; phishingowe e-maile; podszywanie się pod wsparcie klienta; i tworzenie fałszywych interfejsów mostów międzyłańcuchowych. Wszystkie te niecne narzędzia mają na celu sprawienie, aby użytkownicy uwierzyli, że podpisują legalną wiadomość, podczas gdy w rzeczywistości dają przestępcom dostęp do swoich cyfrowych funduszy.
Co sprawia, że te ataki są szczególnie niebezpieczne, to fakt, że wykorzystują one warunkowe zachowanie użytkowników Web3, aby podpisywali wiadomości w celu weryfikacji swojej tożsamości lub zatwierdzenia działań. Wielu użytkowników podpisuje takie wiadomości, nie rozumiejąc w pełni ich konsekwencji.
Przykłady z życia
Fałszywy Airdrop NFT
Oszustwa często manipulują swoimi ofiarami obietnicą nieoczekiwanych nagród. Użytkownik w tym przykładzie otrzymał niezamówiony airdrop NFT w swoim portfelu, a nadawcy twierdzili, że użytkownik wygrał znaczną nagrodę i musiał tylko przekształcić swój kupon NFT na pieniądze.
Aby odebrać nagrodę, użytkownik jest przenoszony na powiązaną stronę internetową, aby podpisać wiadomość, która jest prezentowana w nieczytelnym formacie szesnastkowym. Zakładając, że jest to standardowa część procesu weryfikacji, użytkownik podpisuje. Jednak ta wiadomość jest sprytnie zamaskowaną autoryzacją, która przyznaje oszustowi kontrolę nad aktywami użytkownika, co skutkuje nieautoryzowanymi transferami z ich portfela.
Wkrótce po tym użytkownik zauważa, że znaczna ilość tokenów jest transferowana z jego portfela bez jego zgody, zdając sobie sprawę zbyt późno, że został oszukany.
Kluczowa uwaga: Uważaj na wszelkie niezamówione oferty lub airdropy, szczególnie te, które obiecują znaczne nagrody. Zawsze weryfikuj legalność źródła przed podjęciem jakichkolwiek dalszych działań.
Podszywanie się pod znany projekt
Oszustwa często podszywają się pod uznawane projekty lub konta, aby stworzyć poczucie wiarygodności. W tym przykładzie przestępcy stworzyli fałszywe konto na X, naśladujące oficjalne konto Baby Doge Coin. Podszywacz uzyskał złoty znak weryfikacji, aby dodać dodatkową warstwę wiarygodności.
Fałszywe konto ogłosiło nowy airdrop dla posiadaczy Baby Doge Coin i zawierało link do strony, na której użytkownicy mogli odebrać nowy token. Post szybko zyskał popularność, co jeszcze bardziej zwiększyło jego wygląd wiarygodności. Użytkownicy odwiedzili podany link, połączyli swoje portfele i podpisali wiadomość, aby potwierdzić swoją tożsamość i odebrać airdrop.
Czego ofiary nie wiedziały, to że podpisana wiadomość upoważniała do transferu tokenów z ich portfeli na adres atakującego. Większość użytkowników zdała sobie sprawę, że to oszustwo, gdy zauważyli, że ich tokeny Baby Doge Coin zniknęły z ich portfeli.
Kluczowa uwaga: Zawsze weryfikuj autentyczność kont w mediach społecznościowych, z którymi się kontaktujesz, i zachowuj ostrożność wobec wszelkich wiadomości żądających twojego podpisu. Małe niezgodności, takie jak nieco inna lub niepoprawna nazwa użytkownika, są kluczowe do odróżnienia prawdziwego od fałszywego. W tym przykładzie, nazwa konta oszusta na X została subtelnie zmieniona, aby wyglądała prawie jak prawdziwa, z jedną podwójną samogłoską na końcu.
Fałszywy Airdrop Nowego Tokena
Tworzenie poczucia pilności to kolejna taktyka, którą oszuści wykorzystują, aby zmusić użytkowników do podejmowania pochopnych decyzji. W tym przykładzie użytkownik przeglądający swoją tablicę mediów społecznościowych zauważył post z tego, co wydaje się być legalnym projektem kryptowalutowym, ogłaszającym nowy airdrop dla tokena o nazwie „Sunwaves”. Post twierdzi, że istnieje ograniczone 24-godzinne okno na odebranie airdropu.
Zaintrygowani ogłoszeniem, użytkownicy odwiedzają stronę internetową wymienioną w poście, która zachęca ich do połączenia swoich portfeli i ukończenia kilku kroków weryfikacyjnych, w tym podpisania wiadomości, aby potwierdzić swoją tożsamość i odebrać airdrop.
Jednak ten podpisany komunikat przyznaje oszustowi pozwolenie na transfer tokenów z portfela użytkownika. Użytkownik szybko zauważa, że tokeny, w tym cenne aktywa, zostały przetransferowane bez ich zgody.
Kluczowa uwaga: Bądź sceptyczny wobec wszelkich ofert, które tworzą poczucie pilności. Oszuści często naciskają na użytkowników, aby działali szybko, aby uniemożliwić im czas na ocenę i weryfikację legalności oferty.
Jak Portfel Web3 Binance Chroni Cię
Aby wyeliminować możliwość, że użytkownicy padną ofiarą oszustwa eth_sign, ta funkcja jest zbanowana w Portfelu Web3 Binance. Co to oznacza w praktyce, to że gdy eth_sign zostanie wywołany dla transakcji, użytkownicy będą natychmiast informowani, że ta transakcja jest bardzo ryzykowna z powodu potencjalnie złośliwej prośby o podpis. Ukończenie takiej transakcji nie będzie możliwe.
Ochrona przed oszustwami
Aby unikać oszustw związanych z podpisywaniem wiadomości w przestrzeni Web3, istotne jest podjęcie środków ostrożności:
1. Używaj Zaufanych Platform: Podpisuj wiadomości tylko na platformach, którym ufasz. Jeśli jakaś platforma wydaje się podejrzana z jakiegokolwiek powodu, najlepiej jej unikać.
2. Nie Ufaj Niezamówionym Airdropom: Bądź ostrożny wobec niezamówionych ofert, które wydają się zbyt dobre, aby były prawdziwe, zwłaszcza tych obiecujących znaczne nagrody.
3. Weryfikuj URL DApp: Zawsze sprawdzaj, czy URL jest legalny, zanim zaczniesz interakcję z zdecentralizowaną aplikacją. Oszuści często tworzą URL-e, które wyglądają podobnie do prawdziwych.
4. Używaj Bezpiecznych Portfeli: Korzystaj z renomowanych portfeli, które oferują środki bezpieczeństwa przeciwko złośliwym wiadomościom. Na przykład, Portfel Web3 Binance zbanował funkcję eth_sign, aby zapobiec takim atakom.
5. Bądź Na Bieżąco: Bądź na bieżąco z najnowszymi taktykami oszustw i najlepszymi praktykami bezpieczeństwa w przestrzeni blockchain.
Podsumowanie
Eksplorowanie zdecentralizowanej przestrzeni usług i aplikacji Web3 może być wspaniałą przygodą. Jednak to środowisko ma swoje własne ryzyka, wymagając od użytkowników czujności i informacji. Oszuści mogą wykorzystywać narzędzia takie jak podpisywanie wiadomości i podszywanie się, aby przeprowadzać nieautoryzowane transakcje, co prowadzi do znacznych strat finansowych. Będąc świadomym tych ryzyk i przyjmując kilka prostych praktyk bezpieczeństwa i nawyków, możesz się chronić. Zawsze zachowuj ostrożność i bądź czujny, aby zapewnić bezpieczeństwo swoich aktywów w ekosystemie Web3.
Dalsze Czytanie
Chroń Swoje Kryto: Zrozumienie Trwających Globalnych Ataków Złośliwego Oprogramowania i Co Robimy, aby je Zatrzymać
Jak Unikać i Zgłaszać Fałszywe Oszustwa Usługowe
Binance Zapobiega Stratom Użytkowników w Wysokości 2,4 Miliarda Dolarów w 2024 Roku do tej Pory
Zastrzeżenie Ryzyka: Kryptowaluty są narażone na wysokie ryzyko rynkowe i zmienność cen. Powinieneś inwestować tylko w produkty, z którymi jesteś zaznajomiony i w których rozumiesz związane z nimi ryzyka. Powinieneś dokładnie rozważyć swoje doświadczenie inwestycyjne, sytuację finansową, cele inwestycyjne oraz tolerancję ryzyka i skonsultować się z niezależnym doradcą finansowym przed dokonaniem jakiejkolwiek inwestycji. Materiał ten nie powinien być interpretowany jako porada finansowa. Wyniki z przeszłości nie są wiarygodnym wskaźnikiem przyszłych wyników. Wartość Twojej inwestycji może zarówno wzrosnąć, jak i zmaleć, i możesz nie odzyskać kwoty, którą zainwestowałeś. Jesteś wyłącznie odpowiedzialny za swoje decyzje inwestycyjne. Binance nie ponosi odpowiedzialności za jakiekolwiek straty, które możesz ponieść. Aby uzyskać więcej informacji, zapoznaj się z naszym Regulaminem i Ostrzeżeniem o Ryzyku. To jest ogłoszenie ogólne. Produkty i usługi wymienione tutaj mogą nie być dostępne w Twoim regionie.