Principalele produse la pachet

• Semnarea mesajelor este un aspect esențial al tranzacțiilor pe blockchain, dar dacă nu este tratată cu precauție, poate expune utilizatorii la riscuri considerabile de securitate.

• Funcția „eth_sign”, care permite utilizatorilor să semneze mesaje arbitrare, este deosebit de vulnerabilă la abuz, permițând atacatorilor să obțină control complet asupra activelor victimei.

• Pentru a vă proteja, utilizați întotdeauna platforme de încredere, evitați să semnați mesaje necunoscute și rămâneți informat despre înșelătoriile obișnuite.

Pentru cei care explorează spațiul Web3, semnarea mesajelor este esențială pentru autorizarea tranzacțiilor, verificarea identităților și interacțiunea cu aplicațiile descentralizate (DApps). De exemplu, o platformă de airdrop poate cere unui utilizator să semneze un mesaj pentru a dovedi deținerea unei anumite adrese de portofel eligibile pentru un airdrop. Deși acest proces permite multe funcții blockchain critice, introduce și riscuri semnificative de securitate.

În acest articol, explorăm pericolele potențiale asociate cu semnarea mesajelor pe și în afara blockchainului și evidențiem scenarii comune în care utilizatorii pot suferi pierderi financiare ca urmare a semnării mesajelor rău intenționate.

Semnarea mesajelor și a tranzacțiilor: înțelegerea diferenței

În spațiul descentralizat, semnăturile sunt esențiale atât pentru autorizarea tranzacțiilor, cât și pentru interacțiunea cu DApps. Ele vin în două tipuri principale: semnături în lanț (tranzacție) și în afara lanțului (mesaj).

Semnături în lanț (semnarea unei tranzacții) 

Semnăturile în lanț sunt folosite pentru a autoriza acțiuni care schimbă starea blockchain-ului, cum ar fi transferul de fonduri sau executarea de contracte inteligente. Iată cum funcționează:

Fluxul de lucru al procesului de semnare și verificare în lanț

• Generarea mesajelor: Când cineva inițiază o tranzacție pe blockchain, rețeaua generează un mesaj unic legat de acea tranzacție, care conține informații despre aceasta, cum ar fi adresele expeditorului și destinatarului, suma care trebuie transferată și alte detalii relevante.

• Semnarea mesajului: utilizatorul care inițiază o tranzacție „semnează” acest mesaj cu cheia privată. Acest proces presupune aplicarea unui algoritm criptografic la mesaj și la cheia privată a utilizatorului, rezultând o semnătură digitală.

• Trimiterea mesajului semnat: mesajul semnat, împreună cu mesajul original, este trimis în rețea.

• Verificare: Rețeaua verifică semnătura folosind cheia publică a utilizatorului care efectuează tranzacții, care este derivată din cheia privată a acestuia, dar poate fi partajată în siguranță. Dacă semnătura se potrivește cu mesajul și cheia publică, aceasta confirmă că titularul contului a autorizat tranzacția.

• Procesarea tranzacției: Dacă semnătura este validă, rețeaua procesează tranzacția. În caz contrar, tranzacția este respinsă.

Când utilizați un portofel cripto, procesul de semnare a tranzacției are loc de obicei automat în fundal. Cele mai multe portofele cripto moderne oferă o interfață ușor de utilizat, care abstrage detaliile tehnice, astfel încât să nu vedeți sau să interacționați direct cu procesul.

Semnături în afara lanțului (semnarea unui mesaj)

Semnăturile în afara lanțului, pe de altă parte, sunt folosite pentru acțiuni care nu afectează starea blockchain-ului, cum ar fi verificarea identității utilizatorului, conectarea la un DApp sau preautorizarea transferurilor de fonduri. Iată cum funcționează:

• Generarea provocării: aplicația generează un mesaj unic care servește drept „provocare” – o solicitare pentru utilizator de a se autentifica prin dovedirea că deține adresa în cauză. Acest mesaj poate include detalii specifice legate de încercarea de conectare, cum ar fi marca temporală sau un număr aleatoriu.

• Crearea semnăturii: utilizatorul semnează mesajul cu cheia privată, creând o semnătură digitală. Această semnătură acționează ca dovadă că dețin cheia privată asociată portofelului.

• Verificarea semnăturii: destinatarul verifică semnătura folosind cheia dumneavoastră publică. Dacă semnătura este validă, aceasta confirmă identitatea utilizatorului și îi acordă acces.

Utilizatorii Web3 interacționează adesea cu semnăturile în afara lanțului în diverse scopuri – și acest tip de semnătură are potențialul de a fi abuzat de criminali. 

Riscul: Autorizarea neintenționată

Există mai multe metode de semnare a mesajelor, inclusiv eth_sign, personal_sign și eth_signTypedData. Aceste funcții au niveluri diferite de securitate și, în funcție de portofelul pe care îl utilizați, unele metode pot fi sau nu acceptate. 

• Funcția eth_sign permite utilizatorilor să semneze mesaje arbitrare cu cheile lor private, ceea ce poate prezenta riscuri de securitate. Această metodă utilizează un format de mesaj brut, care nu poate fi citit, fără niciun prefix sau context. 

Din această cauză, utilizatorii adesea nu înțeleg implicațiile a ceea ce semnează. Cel mai sever risc este că semnarea unui mesaj rău intenționat poate oferi atacatorului control deplin asupra activelor dvs.

• Metoda personal_sign este concepută pentru a fi mai sigură și mai ușor de utilizat. Prefixează mesajul cu un șir standard înainte de hashing și semnare, arătând clar că mesajul este destinat semnării. Acest prefix ajută la protejarea împotriva anumitor tipuri de atacuri, cum ar fi atacurile de reluare, unde un mesaj semnat ar putea fi reutilizat într-un context diferit.

• Metoda eth_signTypedData este folosită pentru a semna date structurate, oferind mai mult context și claritate cu privire la ceea ce este semnat. Permite dezvoltatorilor să definească structura datelor care sunt semnate, făcându-le mai transparente și mai ușor de înțeles.

Ce este eth_sign Phishing?

În esență, eth_sign este un mecanism criptografic care permite utilizatorilor să semneze mesaje arbitrare. Această semnătură servește drept dovadă digitală că proprietarul contului a autorizat conținutul mesajului. Cu toate acestea, problema apare atunci când aceste mesaje semnate pot fi interpretate și executate prin contracte inteligente în moduri care nu sunt imediat evidente pentru utilizator. Un mesaj care pare a fi un șir inofensiv de caractere poate, în realitate, să autorizeze atacatorii să preia controlul deplin asupra contului dvs. Să dezvăluim mecanismele unui atac tipic de phishing eth_sign:

1. Configurare: Atacatorii creează adesea site-uri sau aplicații false care imită platformele legitime. Acestea ar putea fi schimburi descentralizate, piețe NFT sau alte servicii bazate pe blockchain.

2. Momeala: Utilizatorii sunt îndemnați să se conecteze la aceste platforme false prin diferite mijloace – e-mailuri de phishing, anunțuri înșelătoare sau chiar link-uri false în grupurile de social media. Atacatorii creează adesea un sentiment de urgență, susținând că utilizatorul trebuie să semneze rapid pentru a profita de o ofertă pe timp limitat sau pentru a preveni unele consecințe negative.

3. The Hook: site-ul atacatorilor solicită utilizatorului să semneze un mesaj folosind eth_sign. Cu toate acestea, mesajul pe care îl semnează utilizatorul este foarte diferit de ceea ce crede. Ar putea acorda permisiunea de a efectua orice acțiune rău intenționată pe care o dorește escrocul.

Etapele unui atac de tip phishing eth_sign

Tacticile populare pentru a exploata semnarea mesajelor includ airdrops false; DApp-uri rău intenționate create pentru a arăta legitime, dar al căror singur scop este de a fura fonduri; servicii de batere NFT false; e-mailuri de phishing; uzurparea identității asistenței pentru clienți; și crearea de interfețe false cross-chain bridge. Toate aceste instrumente nefaste servesc scopul de a face utilizatorii să creadă că semnează un mesaj legitim, în timp ce, de fapt, le oferă infractorilor acces la fondurile lor digitale.

Ceea ce face ca aceste atacuri să fie deosebit de periculoase este că exploatează comportamentul condiționat al utilizatorilor Web3 pentru a semna mesaje pentru a le verifica identitatea sau a aproba acțiuni. Mulți utilizatori tind să semneze astfel de mesaje fără a înțelege pe deplin implicațiile. 

Exemple din viața reală

Airdrop fals NFT

Escrocii își manipulează adesea victimele cu promisiunea unor recompense neașteptate. Un utilizator din acest exemplu din viața reală a primit un airdrop nesolicitat NFT în portofel, expeditorii susținând că utilizatorul câștigase o recompensă semnificativă și trebuia doar să-și transforme voucherul NFT în bani. 

Pentru a revendica premiul, utilizatorul este transferat pe un site web legat pentru a semna un mesaj, care este prezentat într-un format hexazecimal care nu poate fi citit. Presupunând că aceasta este o parte standard a procesului de verificare, utilizatorul semnează. Cu toate acestea, acest mesaj este o autorizare deghizată inteligent care acordă escrocului controlul asupra activelor utilizatorului, ducând la transferuri neautorizate din portofelul acestuia.

La scurt timp după, utilizatorul observă că o cantitate semnificativă de jetoane sunt transferate din portofel fără acordul său, realizând prea târziu că au fost înșelați.

Element cheie: Atenție la orice oferte nesolicitate sau airdrops, în special cele care promit recompense semnificative. Verificați întotdeauna legitimitatea sursei înainte de a lua orice altă acțiune.

Uzurparea identității unui proiect bine-cunoscut

Escrocii deseori uzurpa identitatea unor proiecte sau conturi reputate pentru a crea un sentiment de credibilitate. În acest exemplu, criminalii au creat un cont fals pe X, imitând contul oficial Baby Doge Coin. Imitatorul obținuse o insignă de verificare de aur pentru a adăuga un strat de credibilitate.

Contul fals a anunțat un nou airdrop pentru deținătorii de monede Baby Doge și a inclus un link către un site web de unde utilizatorii puteau revendica noul token. Postul a câștigat rapid acțiune, ceea ce a adăugat și mai mult aspectului său de legitimitate. Utilizatorii au vizitat linkul furnizat, și-au conectat portofelele și au semnat un mesaj pentru a-și confirma identitatea și a revendica airdrop-ul. 

Ceea ce victimele nu știau este că mesajul semnat a autorizat transferul de jetoane din portofelele lor la adresa atacatorului. Majoritatea utilizatorilor și-au dat seama că este o înșelătorie doar când au observat că jetoanele lor Baby Doge Coin dispăruseră din portofel. 

Element cheie: verificați întotdeauna autenticitatea conturilor de rețele sociale cu care interacționați și fiți atenți la orice mesaje care vă solicită semnătura. Micile discrepanțe, cum ar fi un nume de utilizator ușor diferit sau incorect, sunt esențiale pentru a distinge realul de fals. În acest exemplu, mânerul X al contului escrocului a fost modificat subtil pentru a se citi aproape ca cel real, cu o vocală dublată la sfârșit.

Un nou Airdrop fals

Crearea unui sentiment de urgență este o altă tactică pe care o folosesc escrocii pentru a-i împinge pe utilizatori să ia decizii pripite. În acest exemplu, un utilizator care derulează prin feedul de rețele sociale a observat o postare din ceea ce pare a fi un proiect de criptomonedă legitim, anunțând un nou airdrop pentru un token numit „Sunwaves”. Postarea susține că există o fereastră limitată de 24 de ore pentru a revendica airdrop.

Intrigați de anunț, utilizatorii vizitează site-ul web menționat în postare, ceea ce îi determină să-și conecteze portofelele și să parcurgă mai mulți pași de verificare, inclusiv semnarea unui mesaj pentru a-și confirma identitatea și a revendica airdrop-ul.

Cu toate acestea, acest mesaj semnat acordă escrocului permisiunea de a transfera jetoane din portofelul utilizatorului. Utilizatorul observă rapid că jetoanele, inclusiv activele valoroase, au fost transferate fără consimțământul său.

Element cheie: Fii sceptic față de orice oferte care creează un sentiment de urgență. Escrocii îi presează adesea pe utilizatori să acționeze rapid pentru a-i împiedica să-și ia timp să evalueze și să verifice legitimitatea ofertei.

Cum vă ține în siguranță portofelul Binance Web3

Pentru a elimina posibilitatea ca utilizatorii să cadă în fața unei escrocherii Eth_sign, această funcție este interzisă în Binance Web3 Wallet. În practică, aceasta înseamnă că, odată ce eth_sign este declanșat pentru o tranzacție, utilizatorii vor fi imediat solicitați că această tranzacție este foarte riscantă din cauza unei solicitări de semnătură potențial rău intenționate. Finalizarea unei astfel de tranzacții nu va fi posibilă. 

Protejați-vă de înșelătorii

Pentru a evita escrocherii cu semnarea mesajelor în spațiul Web3, este esențial să luați măsuri de precauție: 

1. Utilizați platforme de încredere: semnați mesajele numai pe platformele în care aveți încredere. Dacă o platformă pare suspectă din orice motiv, cel mai bine este să o evitați.

2. Nu aveți încredere în Airdrop-uri neașteptate: Fiți atenți la ofertele nesolicitate care par prea bune pentru a fi adevărate, în special cele care promit recompense substanțiale. 

3. Verificați adresele URL DApp: verificați întotdeauna dacă adresa URL este legitimă înainte de a interacționa cu o aplicație descentralizată. Escrocii creează adesea adrese URL care arată similar cu cele reale. 

4. Utilizați portofele securizate: utilizați portofele de renume care oferă măsuri de securitate împotriva mesajelor rău intenționate. De exemplu, Binance Web3 Wallet a interzis funcția eth_sign pentru a preveni astfel de atacuri.

5. Rămâneți informat: fiți la curent cu cele mai recente tactici de înșelătorie și cele mai bune practici de securitate din spațiul blockchain.

Gânduri de închidere

Explorarea spațiului descentralizat al serviciilor și aplicațiilor Web3 poate fi o aventură magnifică. Cu toate acestea, acest mediu are propriile riscuri, impunând utilizatorilor să fie vigilenți și informați. Escrocii pot exploata instrumente precum semnarea mesajelor și uzurparea identității pentru a efectua tranzacții neautorizate, ceea ce duce la pierderi financiare semnificative. Fiind conștient de aceste riscuri și adoptând câteva practici și obiceiuri simple de securitate, vă puteți proteja. Fiți întotdeauna precauți și fiți vigilenți pentru a vă asigura securitatea activelor în ecosistemul Web3.

Lectură suplimentară

• Protejați-vă cripto-ul: înțelegerea atacurilor globale de malware în curs și a ceea ce facem pentru a le opri

• Cum să evitați și să raportați înșelătoriile false de servicii

• Binance previne până acum pierderi potențiale de utilizatori de 2,4 miliarde USD în 2024

Declinarea răspunderii privind riscurile: Criptomonedele sunt supuse unui risc ridicat de piață și volatilității prețurilor. Ar trebui să investiți numai în produse cu care sunteți familiarizat și în care înțelegeți riscurile asociate. Ar trebui să luați în considerare cu atenție experiența dumneavoastră în investiții, situația financiară, obiectivele de investiție și toleranța la risc și să consultați un consilier financiar independent înainte de a face orice investiție. Acest material nu trebuie interpretat ca un sfat financiar. Performanța trecută nu este un indicator de încredere al performanței viitoare. Valoarea investiției dvs. poate scădea sau crește și este posibil să nu primiți înapoi suma investită. Sunteți singurul responsabil pentru deciziile dvs. de investiții. Binance nu este responsabil pentru pierderile pe care le puteți suferi. Pentru mai multe informații, consultați Termenii de utilizare și Avertismentul privind riscurile. Acesta este un anunț general. Este posibil ca produsele și serviciile menționate aici să nu fie disponibile în regiunea dvs.