Binance Blog опублікував нову статтю, висвітлюючи ризики безпеки, пов’язані з підписанням повідомлень у блокчейні. Ця стаття має на меті ознайомити користувачів із потенційними небезпеками та способами захисту від шахрайства.
Підписання повідомлень є важливою частиною транзакцій блокчейну, що дозволяє користувачам авторизувати дії, перевіряти особистість і взаємодіяти з децентралізованими програмами (DApps). Однак, якщо з нею поводитися не обережно, вона може наразити користувачів на серйозні загрози безпеці. Функція «eth_sign», яка дозволяє користувачам підписувати довільні повідомлення, особливо сприйнятлива до зловживання, потенційно дозволяючи зловмисникам отримати повний контроль над активами жертви. Щоб захиститися від таких ризиків, користувачам рекомендується використовувати надійні платформи, уникати підпису незнайомих повідомлень і бути в курсі поширених шахрайств.
У децентралізованому просторі підписи є необхідними як для авторизації транзакцій, так і для взаємодії з DApps. Вони поділяються на два основних типи: on-chain (транзакційні) та off-chain (повідомлення). On-chain підписи використовуються для авторизації дій, які змінюють стан блокчейну, такі як переказ коштів або виконання смарт-контрактів. Off-chain підписи, з іншого боку, використовуються для дій, які не впливають на стан блокчейну, такі як перевірка особистості користувача або вхід до DApp. Саме з off-chain підписами часто взаємодіють користувачі Web3, і саме їх можуть експлуатувати злочинці.
Стаття пояснює, що функція eth_sign дозволяє користувачам підписувати довільні повідомлення своїми приватними ключами, що створює потенційні ризики безпеки. Цей метод використовує сирий, нечитаємий формат повідомлення без будь-якого префікса або контексту, що змушує користувачів часто неправильно розуміти наслідки того, що вони підписують. Найбільший ризик полягає в тому, що підписання шкідливого повідомлення може надати зловмиснику повний контроль над активами користувача. Щоб зменшити ці ризики, стаття радить використовувати більш безпечні методи, такі як personal_sign та eth_signTypedData, які надають більше контексту та ясності щодо того, що підписується.
Приклади з реального життя ілюструють, як шахраї експлуатують підписання повідомлень. Наприклад, фальшиві NFT-ейрдропи та наслідування відомих проектів є поширеними тактиками, які використовуються для обману користувачів, щоб змусити їх підписати шкідливі повідомлення. Ці шахрайства часто створюють відчуття терміновості, тиснучи на користувачів діяти швидко, не перевіряючи легітимність пропозиції. Щоб захистити себе, користувачі повинні бути обережними з непрошеними пропозиціями, перевіряти автентичність акаунтів у соціальних мережах та використовувати безпечні гаманці, які забезпечують захист від шкідливих повідомлень.
Гаманець Binance Web3 вживає заходів для захисту користувачів, забороняючи функцію eth_sign, що запобігає падінню користувачів жертвами таких шахрайств. Стаття завершується підкресленням важливості залишатися в курсі подій та впроваджувати найкращі практики безпеки для забезпечення безпеки активів у екосистемі Web3.