主要要點

  • 簽名消息是區塊鏈交易的一個重要方面,但如果處理不當,可能會使用戶面臨相當大的安全風險。

  • “eth_sign”函數允許用戶簽署任意消息,特別容易被濫用,可能使攻擊者完全控制受害者的資產。

  • 爲了保護自己,請始終使用可信賴的平臺,避免簽署不熟悉的消息,並隨時瞭解常見的騙局。

對於探索 Web3 領域的人來說,消息簽名對於授權交易、驗證身份以及與去中心化應用程序 (DApp) 交互至關重要。例如,空投平臺可能要求用戶簽署一條消息來證明擁有有資格獲得空投的特定錢包地址。雖然此過程可以實現許多關鍵的區塊鏈功能,但它也帶來了重大的安全風險。

在本文中,我們探討了在區塊鏈上和區塊鏈外簽署消息所帶來的潛在危險,並強調了用戶因簽署惡意消息而遭受財務損失的常見情況。

消息和交易簽名:理解差異

在去中心化領域,簽名對於授權交易和與 DApp 交互都至關重要。它們主要有兩種類型:鏈上(交易)簽名和鏈下(消息)簽名。

鏈上簽名(簽署交易)

鏈上簽名用於授權更改區塊鏈狀態的操作,例如轉移資金或執行智能合約。其工作原理如下:

鏈上簽名和驗證流程

  • 消息生成:當有人在區塊鏈上發起交易時,網絡會生成與該交易相關的消息,其中包含有關該交易的信息,例如發送者和收件人的地址、要轉賬的金額以及其他相關詳細信息。

  • 簽署消息:發起交易的用戶使用其私鑰“簽署”此消息。此過程涉及將加密算法應用於消息和用戶的私鑰,從而產生數字簽名。

  • 發送簽名的消息:簽名的消息連同原始消息一起發送到網絡。

  • 驗證:網絡使用交易用戶的公鑰驗證簽名,公鑰源自用戶的私鑰,但可以安全共享。如果簽名與消息和公鑰匹配,則確認帳戶持有人已授權交易。

  • 交易處理:如果簽名有效,網絡將處理交易。否則,交易將被拒絕。

當您使用加密錢包時,交易簽名過程通常會在後臺自動進行。大多數現代加密錢包都提供了一個用戶友好的界面,該界面抽象了技術細節,因此您看不到或直接與該過程交互。

鏈下簽名(簽署消息)

另一方面,鏈下簽名用於不影響區塊鏈狀態的操作,例如驗證用戶身份、登錄 DApp 或預授權資金轉賬。其工作原理如下:

  • 挑戰生成:應用程序生成一條獨特的消息作爲“挑戰”——要求用戶通過證明自己擁有相關地址來驗證自己的身份。此消息可能包含與登錄嘗試相關的特定詳細信息,例如時間戳或隨機數。

  • 簽名創建:用戶使用其私鑰對消息進行簽名,從而創建數字簽名。此簽名可證明他們擁有與錢包關聯的私鑰。

  • 簽名驗證:接收者使用您的公鑰驗證簽名。如果簽名有效,則確認用戶身份並授予其訪問權限。

Web3 用戶經常會出於各種目的與鏈下簽名進行交互——這種類型的簽名有可能被犯罪分子濫用。

風險:意外授權

有幾種方法可以對消息進行簽名,包括 eth_sign、personal_sign 和 eth_signTypedData。這些函數的安全級別各不相同,並且根據您使用的錢包,某些方法可能受支持,也可能不受支持。

  • eth_sign 函數允許用戶使用私鑰對任意消息進行簽名,這可能會帶來安全風險。此方法使用原始的、不可讀的消息格式,沒有任何前綴或上下文。

因此,用戶通常不瞭解他們所簽署內容的含義。最嚴重的風險是,簽署惡意消息可以授予攻擊者對您資產的完全控制權。

  • personal_sign 方法旨在提高安全性和用戶友好性。它在對消息進行哈希處理和簽名之前,會在其前面加上一個標準字符串作爲前綴,明確表明該消息是用於簽名的。此前綴有助於防止某些類型的攻擊,例如重放攻擊,在這種情況下,簽名的消息可能會在不同上下文中重複使用。

  • eth_signTypedData 方法用於對結構化數據進行簽名,提供有關所簽名內容的更多背景信息和清晰度。它允許開發人員定義所簽名數據的結構,使其更加透明且更易於理解。

什麼是 eth_sign 網絡釣魚?

eth_sign 的核心是一種加密機制,允許用戶對任意消息進行簽名。此簽名可作爲帳戶所有者已授權該消息內容的數字證明。但是,當這些簽名的消息可以通過智能合約以用戶無法立即察覺的方式進行解釋和執行時,就會出現問題。看似無害的字符串消息實際上可以授權攻擊者完全控制您的帳戶。讓我們分解一下典型的 eth_sign 網絡釣魚攻擊的機制:

1. 設置:攻擊者經常創建模仿合法平臺的虛假網站或應用程序。這些可能是去中心化交易所、NFT 市場或其他基於區塊鏈的服務。

2. 誘餌:通過各種方式誘使用戶連接到這些虛假平臺 - 釣魚電子郵件、誤導性廣告,甚至是社交媒體羣組中的虛假鏈接。攻擊者通常會製造一種緊迫感,聲稱用戶需要快速簽名才能利用限時優惠或避免一些負面後果。

3. 誘餌:攻擊者的網站要求用戶使用 eth_sign 簽署一條消息。然而,用戶簽署的消息與他們所想的完全不同。它可以授予執行詐騙者想要的任何惡意操作的權限。

eth_sign 網絡釣魚攻擊的階段

利用消息簽名的常見策略包括虛假空投;看似合法但目的卻是竊取資金的惡意 DApp;虛假 NFT 鑄造服務;釣魚電子郵件;冒充客戶支持;以及創建虛假跨鏈橋接口。所有這些邪惡工具的目的都是讓用戶相信他們正在簽署合法消息,而事實上,它們讓犯罪分子能夠獲取他們的數字資金。

這些攻擊尤其危險的原因在於,它們利用 Web3 用戶的條件性行爲來簽署消息,以驗證其身份或批准操作。許多用戶傾向於在沒有完全理解其含義的情況下籤署此類消息。

現實生活中的例子

假 NFT 空投

詐騙者經常用意想不到的獎勵來操縱受害者。在這個現實生活中的例子中,一位用戶的錢包裏收到了未經請求的 NFT 空投,發送者聲稱該用戶贏得了一筆可觀的獎勵,只需要將他們的 NFT 代金券兌換成錢。

爲了領取獎金,用戶會被轉到一個鏈接網站,簽署一條消息,該消息以不可讀的十六進制格式呈現。用戶認爲這是驗證過程的標準部分,於是簽署了該消息。然而,這條消息是一條巧妙僞裝的授權,它授予詐騙者對用戶資產的控制權,導致未經授權從其錢包中轉賬。

不久之後,用戶發現大量代幣在未經他們同意的情況下被從他們的錢包中轉出,當他們意識到自己被騙時已經太晚了。

關鍵點:警惕任何未經請求的優惠或空投,尤其是那些承諾提供豐厚獎勵的優惠或空投。在採取任何進一步行動之前,請務必驗證來源的合法性。

冒充知名項目

詐騙者經常冒充知名項目或賬戶,以營造可信度。在此示例中,犯罪分子在 X 上創建了一個假賬戶,模仿官方 Baby Doge Coin 賬戶。冒充者已獲得黃金驗證徽章,以增加可信度。

 

該虛假賬戶宣佈爲 Baby Doge Coin 持有者提供新的空投,幷包含一個網站鏈接,用戶可以在該網站上領取新代幣。該帖子迅速獲得關注,這進一步增加了其合法性。用戶訪問提供的鏈接,連接他們的錢包,並簽署一條消息以確認他們的身份並領取空投。

受害者不知道的是,簽名的消息授權將代幣從他們的錢包轉移到攻擊者的地址。大多數用戶只有在注意到他們的 Baby Doge Coin 代幣從他們的錢包中消失時才意識到這是一個騙局。

關鍵要點:始終驗證您與之互動的社交媒體帳戶的真實性,並謹慎對待任何要求您簽名的消息。細微的差異(例如略有不同或不正確的用戶名)是區分真假的關鍵。在此示例中,詐騙者帳戶的 X 名稱被巧妙地修改,讀起來幾乎與真實名稱一樣,末尾有一個元音加倍。

虛假的新代幣空投

製造緊迫感是詐騙者用來迫使用戶倉促做出決定的另一種策略。在這個例子中,一位用戶在瀏覽社交媒體時注意到一條看似合法的加密貨幣項目的帖子,宣佈將爲一種名爲“Sunwaves”的代幣進行新的空投。該帖子聲稱,領取空投的時間只有 24 小時。

受到該公告興趣影響的用戶訪問了帖子中提到的網站,該網站提示他們連接錢包並完成幾個驗證步驟,包括簽署一條消息以確認他們的身份並領取空投。

然而,這條簽名信息卻授予了詐騙者從用戶錢包中轉移代幣的權限。用戶很快發現,包括有價值的資產在內的代幣在未經他們同意的情況下被轉走了。

關鍵要點:對任何製造緊迫感的優惠持懷疑態度。詐騙者通常會向用戶施壓,要求他們迅速採取行動,以防止他們花時間評估和驗證優惠的合法性。

Binance Web3 錢包如何保障你的安全

爲了消除用戶陷入 eth_sign 騙局的可能性,該功能在幣安 Web3 錢包中被禁止。這在實踐中意味着,一旦交易觸發 eth_sign,用戶將立即被提示該交易由於潛在的惡意簽名請求而具有高風險。完成這樣的交易將是不可能的。

保護自己免受詐騙

爲了避免 Web3 空間中的消息簽名詐騙,必須採取預防措施:

1. 使用可信平臺:僅在您信任的平臺上籤署消息。如果某個平臺因任何原因看起來可疑,最好避免使用它。

2. 不要相信意外的空投:對那些看似好得令人難以置信的主動提供的優惠要保持謹慎,尤其是那些承諾提供豐厚獎勵的優惠。

3. 驗證 DApp URL:在與去中心化應用程序交互之前,請務必檢查 URL 是否合法。詐騙者經常創建與真實 URL 相似的 URL。

4. 使用安全錢包:使用信譽良好的錢包,這些錢包可提供針對惡意消息的安全措施。例如,幣安 Web3 錢包已禁止使用 eth_sign 函數來防止此類攻擊。

5. 隨時瞭解:掌握區塊鏈領域最新的詐騙策略和安全最佳實踐。

結束語

探索 Web3 服務和應用程序的去中心化空間可能是一次偉大的冒險。然而,這種環境有其自身的風險,需要用戶保持警惕和知情。詐騙者可以利用消息簽名和模仿等工具進行未經授權的交易,從而造成重大財務損失。通過意識到這些風險並採取一些簡單的安全做法和習慣,您可以保護自己。始終保持謹慎和警惕,以確保您在 Web3 生態系統中的資產安全。

進一步閱讀

  • 保護你的加密貨幣:瞭解正在發生的全球惡意軟件攻擊以及我們爲阻止這些攻擊所採取的措施

  • 如何避免和舉報虛假服務詐騙

  • 到目前爲止,幣安在 2024 年避免了 24 億美元的潛在用戶損失

風險免責聲明:加密貨幣面臨較高的市場風險和價格波動。您應僅投資您熟悉且瞭解相關風險的產品。在進行任何投資之前,您應該仔細考慮您的投資經驗、財務狀況、投資目標和風險承受能力,並諮詢獨立的財務顧問。本材料不應被視爲財務建議。過去的表現並不是未來表現的可靠指標。您的投資價值可能會下跌,也可能會上漲,您可能無法收回您投資的金額。您對自己的投資決策負全部責任。幣安對您可能遭受的任何損失概不負責。有關更多信息,請參閱我們的使用條款和風險警告。這是一般性聲明。此處提及的產品和服務可能在您所在的地區不可用。