Securitatea portofelului Web3: Riscurile semnării mesajelor blockchain

Concluzii principale

• Semnarea mesajelor este un aspect esențial al tranzacționării pe blockchain, dar dacă nu este gestionată cu precauție, poate expune utilizatorii la riscuri considerabile de securitate.

• Funcția ‘eth_sign’, care le permite utilizatorilor să semneze mesaje arbitrare, este deosebit de vulnerabilă la abuz, permițând atacatorilor să obțină control total asupra activelor victimei.

• Pentru a te proteja, folosește întotdeauna platforme de încredere, evită semnarea mesajelor necunoscute și rămâi informat despre escrocheriile comune.

Pentru cei care explorează spațiul Web3, semnarea mesajelor este esențială pentru autorizarea tranzacțiilor, verificarea identităților și interacțiunea cu aplicațiile descentralizate (DApps). De exemplu, o platformă de airdrop poate solicita unui utilizator să semneze un mesaj pentru a dovedi deținerea unei adrese de portofel specifice eligibile pentru un airdrop. Deși acest proces permite multe funcții critice ale blockchain-ului, el introduce și riscuri semnificative de securitate.

În acest articol, explorăm pericolele potențiale asociate cu semnarea mesajelor pe și în afara blockchain-ului și subliniem scenariile comune în care utilizatorii pot suferi pierderi financiare ca rezultat al semnării mesajelor malițioase.

Semnarea mesajelor și tranzacțiilor: Înțelegerea diferenței

În spațiul descentralizat, semnăturile sunt esențiale atât pentru autorizarea tranzacțiilor, cât și pentru interacțiunea cu DApps. Ele vin în două tipuri principale: semnături on-chain (tranzacție) și off-chain (mesaj).

Semnături On-Chain (Semnarea unei tranzacții)

Semnăturile on-chain sunt folosite pentru a autoriza acțiuni care schimbă starea blockchain-ului, cum ar fi transferul de fonduri sau executarea contractelor inteligente. Iată cum funcționează:

Fluxul procesului de semnare și verificare on-chain

• Generarea mesajului: Atunci când cineva inițiază o tranzacție pe blockchain, rețeaua generează un mesaj legat de acea tranzacție, care conține informații despre aceasta, cum ar fi adresele expeditorului și destinatarului, suma care urmează a fi transferată și alte detalii relevante.

• Semnarea mesajului: Utilizatorul care inițiază o tranzacție "semnează" acest mesaj cu cheia sa privată. Acest proces implică aplicarea unui algoritm criptografic asupra mesajului și a cheii private a utilizatorului, rezultând o semnătură digitală.

• Trimiterea mesajului semnat: Mesajul semnat, împreună cu mesajul original, este trimis rețelei.

• Verificarea: Rețeaua verifică semnătura folosind cheia publică a utilizatorului care efectuează tranzacția, care este derivată din cheia sa privată, dar poate fi partajată în siguranță. Dacă semnătura se potrivește cu mesajul și cheia publică, confirmă că deținătorul contului a autorizat tranzacția.

• Procesarea tranzacției: Dacă semnătura este validă, rețeaua procesează tranzacția. În caz contrar, tranzacția este respinsă.

Când folosești un portofel cripto, procesul de semnare a tranzacției se desfășoară de obicei automat în fundal. Cele mai moderne portofele cripto oferă o interfață prietenoasă pentru utilizatori care ascunde detaliile tehnice, astfel încât nu vezi sau nu interacționezi direct cu procesul.

Semnături Off-Chain (Semnarea unui mesaj)

Semnăturile off-chain, pe de altă parte, sunt folosite pentru acțiuni care nu afectează starea blockchain-ului, cum ar fi verificarea identității utilizatorului, conectarea la un DApp sau pre-autorizarea transferurilor de fonduri. Iată cum funcționează:

• Generarea provocării: Aplicația generează un mesaj unic care servește drept „provocare” – o cerere pentru utilizator de a se autentifica demonstrând că deține adresa în cauză. Acest mesaj poate include detalii specifice legate de încercarea de autentificare, cum ar fi marca de timp sau un număr aleator.

• Crearea semnăturii: Utilizatorul semnează mesajul cu cheia sa privată, creând o semnătură digitală. Această semnătură acționează ca dovadă că deține cheia privată asociată cu portofelul.

• Verificarea semnăturii: Destinatarul verifică semnătura folosind cheia ta publică. Dacă semnătura este validă, confirmă identitatea utilizatorului și îi oferă acces.

Este vorba despre semnături off-chain cu care utilizatorii Web3 interacționează adesea în diferite scopuri – și este acest tip de semnătură care are potențialul de a fi abuzat de criminali.

Riscul: Autorizare neintenționată

Există mai multe metode pentru semnarea mesajelor, inclusiv eth_sign, personal_sign și eth_signTypedData. Aceste funcții au niveluri variate de securitate și, în funcție de portofelul pe care îl folosești, unele metode pot fi acceptate sau nu.

• Funcția eth_sign le permite utilizatorilor să semneze mesaje arbitrare cu cheile lor private, ceea ce poate prezenta riscuri de securitate. Această metodă folosește un format de mesaj brut, nerecuperabil, fără niciun prefix sau context.

Din acest motiv, utilizatorii adesea nu înțeleg implicațiile a ceea ce semnează. Cel mai grav risc este că semnarea unui mesaj malițios poate oferi atacatorului control total asupra activelor tale.

• Metoda personal_sign este concepută pentru a fi mai sigură și prietenoasă cu utilizatorii. Aceasta prefixează mesajul cu un șir standard înainte de a hash-ui și semna, făcând clar că mesajul este destinat semnării. Acest prefix ajută la protejarea împotriva anumitor tipuri de atacuri, cum ar fi atacurile de replay, unde un mesaj semnat ar putea fi reutilizat într-un context diferit.

• Metoda eth_signTypedData este folosită pentru a semna date structurate, oferind mai mult context și claritate despre ceea ce se semnează. Aceasta permite dezvoltatorilor să definească structura datelor semnate, făcând-o mai transparentă și mai ușor de înțeles.

Ce este phishing-ul eth_sign?

În esență, eth_sign este un mecanism criptografic care le permite utilizatorilor să semneze mesaje arbitrare. Această semnătură servește ca dovadă digitală că proprietarul contului a autorizat conținutul mesajului. Cu toate acestea, problema apare atunci când aceste mesaje semnate pot fi interpretate și executate de contracte inteligente în moduri care nu sunt imediat evidente pentru utilizator. Un mesaj care pare a fi un șir inofensiv de caractere poate, în realitate, să autorizeze atacatorii să preia controlul total asupra contului tău. Să descompunem mecanica unui atac tipic de phishing eth_sign:

1. Configurarea: Atacatorii creează adesea site-uri web sau aplicații false care mimează platforme legitime. Acestea ar putea fi burse descentralizate, piețe NFT sau alte servicii bazate pe blockchain.

2. Momeala: Utilizatorii sunt atrași să se conecteze la aceste platforme false prin diverse metode – emailuri phishing, reclame înșelătoare sau chiar linkuri false în grupurile de socializare. Atacatorii creează adesea un sentiment de urgență, susținând că utilizatorul trebuie să semneze rapid pentru a profita de o ofertă limitată sau pentru a preveni anumite consecințe negative.

3. Captura: Site-ul atacatorilor solicită utilizatorului să semneze un mesaj folosind eth_sign. Cu toate acestea, mesajul pe care utilizatorul îl semnează este foarte diferit de ceea ce crede. Ar putea oferi permisiunea de a efectua orice acțiune malițioasă pe care escrocul o dorește.

Etapele unui atac de phishing eth_sign

Tactici populare pentru a exploata semnarea mesajelor includ airdropuri false; DApps malițioase create pentru a părea legitime, dar care au ca scop exclusiv furtul de fonduri; servicii false de minare NFT; emailuri phishing; impersonarea suportului pentru clienți; și crearea de interfețe false pentru poduri cross-chain. Toate aceste instrumente malefice servesc scopului de a face utilizatorii să creadă că semnează un mesaj legitim, în timp ce, de fapt, oferă criminalilor acces la fondurile lor digitale.

Ceea ce face aceste atacuri deosebit de periculoase este că ele exploatează comportamentul condiționat al utilizatorilor Web3 de a semna mesaje pentru a-și verifica identitatea sau a aproba acțiuni. Mulți utilizatori tind să semneze astfel de mesaje fără a înțelege pe deplin implicațiile.

Exemple din viața reală

Airdropul NFT fals

Escrocii își manipulează adesea victimele cu promisiunea de recompense neașteptate. Un utilizator din acest exemplu din viața reală a primit un airdrop NFT nesolicitat în portofelul său, cu expeditorii pretinzând că utilizatorul a câștigat o recompensă semnificativă și că trebuie doar să-și convertească voucherul NFT în bani.

Pentru a revendica premiul, utilizatorul este transferat pe un site web legat pentru a semna un mesaj, care este prezentat într-un format hexazecimal nerecuperabil. Presupunând că acesta este o parte standard a procesului de verificare, utilizatorul semnează. Cu toate acestea, acest mesaj este o autorizație ingenios mascată care acordă escrocului control asupra activelor utilizatorului, rezultând în transferuri neautorizate din portofelul său.

În scurt timp, utilizatorul observă că o sumă semnificativă de tokenuri este transferată din portofelul său fără consimțământul său, realizând prea târziu că a fost păcălit.

Concluzie Cheie: Fii atent la orice oferte sau airdropuri nesolicitate, în special cele care promit recompense semnificative. Verifică întotdeauna legitimitatea sursei înainte de a lua orice acțiune suplimentară.

Impersonarea unui proiect cunoscut

Escrocii impersonifică adesea proiecte sau conturi reputate pentru a crea un sentiment de credibilitate. În acest exemplu, criminalii au creat un cont fals pe X care mimează contul oficial Baby Doge Coin. Impersonatorul a obținut un badge de verificare aurie pentru a adăuga un strat de credibilitate.

Contul fals a anunțat un nou airdrop pentru deținătorii Baby Doge Coin și a inclus un link către un site web unde utilizatorii puteau revendica noul token. Postarea a câștigat rapid popularitate, ceea ce a adăugat și mai mult la aparența sa de legitimitate. Utilizatorii au vizitat linkul furnizat, și-au conectat portofelele și au semnat un mesaj pentru a-și confirma identitatea și a revendica airdropul.

Ceea ce victimele nu știau este că mesajul semnat a autorizat transferul tokenurilor din portofelele lor către adresa atacatorului. Cei mai mulți utilizatori și-au dat seama că a fost o înșelătorie doar când au observat că tokenurile lor Baby Doge Coin au dispărut din portofele.

Concluzie Cheie: Verifică întotdeauna autenticitatea conturilor de social media cu care interacționezi și exercită precauție cu orice mesaje care solicită semnătura ta. Discrepanțele mici, cum ar fi un nume de utilizator ușor diferit sau incorect, sunt esențiale pentru a face distincția între real și fals. În acest exemplu, mânerul X al contului escrocului a fost subtil modificat pentru a citi aproape ca cel real, cu o vocală dublată la sfârșit.

Un airdrop fals de tokenuri noi

Crearea unui sentiment de urgență este o altă tactică pe care escrocii o folosesc pentru a împinge utilizatorii să ia decizii pripite. În acest exemplu, un utilizator care derula prin feed-ul său de socializare a observat o postare de la ceea ce pare a fi un proiect de criptomonedă legitim, anunțând un nou airdrop pentru un token numit “Sunwaves.” Postarea susține că există o fereastră limitată de 24 de ore pentru a revendica airdropul.

Intrigați de anunț, utilizatorii vizitează site-ul menționat în postare, care îi determină să-și conecteze portofelele și să finalizeze mai multe etape de verificare, inclusiv semnarea unui mesaj pentru a-și confirma identitatea și a revendica airdropul.

Cu toate acestea, acest mesaj semnat oferă escrocului permisiunea de a transfera tokenuri din portofelul utilizatorului. Utilizatorul observă rapid că tokenuri, inclusiv active valoroase, au fost transferate fără consimțământul său.

Concluzie Cheie: Fii sceptic cu privire la orice oferte care creează un sentiment de urgență. Escrocii adesea îi presează pe utilizatori să acționeze rapid pentru a-i împiedica să își ia timp să evalueze și să verifice legitimitatea ofertei.

Cum te protejează Binance Web3 Wallet

Pentru a elimina posibilitatea ca utilizatorii să cadă victimă unui scam eth_sign, această funcție este interzisă în Binance Web3 Wallet. Ce înseamnă acest lucru în practică este că, odată ce eth_sign este declanșat pentru o tranzacție, utilizatorii vor fi imediat avertizați că această tranzacție este extrem de riscantă din cauza unei cereri de semnătură potențial malițioase. Finalizarea unei astfel de tranzacții nu va fi posibilă.

Protejarea ta de escrocherii

Pentru a evita escrocheriile de semnare a mesajelor în spațiul Web3, este esențial să iei măsuri de precauție:

1. Folosește platforme de încredere: Semnează doar mesaje pe platforme în care ai încredere. Dacă o platformă pare suspectă din orice motiv, este mai bine să o eviți.

2. Nu avea încredere în airdropuri neașteptate: Fii precaut cu privire la ofertele nesolicitate care par prea bune pentru a fi adevărate, în special cele care promit recompense substanțiale.

3. Verifică URL-urile DApp: Verifică întotdeauna că URL-ul este legitim înainte de a interacționa cu o aplicație descentralizată. Escrocii creează adesea URL-uri care arată similar cu cele reale.

4. Folosește portofele sigure: Folosește portofele reputabile care oferă măsuri de securitate împotriva mesajelor malițioase. De exemplu, Binance Web3 Wallet a interzis funcția eth_sign pentru a preveni astfel de atacuri.

5. Rămâi informat: Fii la curent cu cele mai recente tactici de escrocherie și cele mai bune practici de securitate în spațiul blockchain.

Gânduri finale

Explorarea spațiului descentralizat al serviciilor și aplicațiilor Web3 poate fi o aventură magnifică. Cu toate acestea, acest mediu are propriile sale riscuri, necesitând ca utilizatorii să fie vigilenți și informați. Escrocii pot exploata instrumente precum semnarea mesajelor și impersonarea pentru a efectua tranzacții neautorizate, rezultând în pierderi financiare semnificative. Fii conștient de aceste riscuri și adoptă câteva practici și obiceiuri de securitate simple pentru a te proteja. Exercită întotdeauna precauție și rămâi vigilent pentru a asigura securitatea activelor tale în ecosistemul Web3.

Lectură suplimentară

• Protejează-ți crypto: Înțelegerea atacurilor globale continue cu malware și ce facem pentru a le opri

• Cum să eviți și să raportezi escrocheriile de servicii false

• Binance previne pierderi potențiale de 2.4 miliarde de dolari pentru utilizatori în 2024 până acum

Declinarea riscurilor: Criptomonedele sunt supuse unui risc de piață ridicat și volatilitate a prețurilor. Ar trebui să investești doar în produsele cu care ești familiarizat și unde înțelegi riscurile asociate. Ar trebui să iei în considerare cu atenție experiența ta de investiție, situația financiară, obiectivele de investiție și toleranța la risc și să consulți un consilier financiar independent înainte de a face orice investiție. Acest material nu ar trebui să fie interpretat ca sfat financiar. Performanța trecută nu este un indicator de încredere pentru performanța viitoare. Valoarea investiției tale poate scădea la fel de bine cum poate crește, iar este posibil să nu recuperezi suma pe care ai investit-o. Ești singurul responsabil pentru deciziile tale de investiție. Binance nu este responsabil pentru pierderile pe care le poți suferi. Pentru mai multe informații, te rugăm să consulți Termenii noștri de utilizare și Avertismentul de risc. Acesta este un anunț general. Produsele și serviciile menționate aici pot să nu fie disponibile în regiunea ta.