Atenção ao esquema de assinatura eth_sign: princípios, métodos e medidas de prevenção

Recentemente, os esquemas de assinatura eth_sign têm surgido frequentemente, com muitos usuários sendo induzidos a realizar assinaturas eth_sign que parecem inofensivas em sites desconhecidos, resultando em perdas de ativos nas carteiras. Para ajudar todos a entender melhor o mecanismo de operação desse esquema, precisamos primeiro entender a essência da assinatura eth_sign.

Introdução à assinatura eth_sign

eth_sign é um método de assinatura amplamente utilizado no Ethereum, que permite aos usuários assinar mensagens com a sua chave privada. Este mecanismo é o núcleo das transações em blockchain, utilizado para provar que uma conta específica iniciou uma transação. Em termos simples, isso é semelhante a assinar um documento para indicar concordância ou apoio.

No entanto, existe um problema que pode ser facilmente ignorado durante o uso de eth_sign, conhecido como "assinatura cega". Quando os usuários assinam uma mensagem com eth_sign, frequentemente não conseguem compreender totalmente o conteúdo da assinatura, nem verificar de forma reversa o significado específico da assinatura. Isso ocorre porque a entrada de eth_sign é um caractere bruto, e não um formato legível por humanos. É como assinar um contrato escrito em uma língua estranha, por isso é chamado de "assinatura cega".

Métodos comuns de lavar os olhos

Após entender os conceitos de assinatura eth_sign e assinatura cega, podemos explorar os potenciais riscos do eth_sign e as medidas de prevenção.

Como o eth_sign pode ser utilizado para assinar vários tipos de mensagens, incluindo transações e instruções de contratos inteligentes, partes maliciosas podem induzir os usuários a assinar mensagens que não compreendem completamente, resultando na transferência de ativos. Mais grave ainda, elas podem fornecer mensagens que parecem inofensivas para que os usuários assinem, mas que, na verdade, são instruções de operação; uma vez assinadas, os ativos do usuário serão transferidos.

Diante desta situação, algumas aplicações de carteira atualizaram o sistema de controle de riscos nas novas versões. Quando os usuários chamam o eth_sign através de aplicações de terceiros para assinar mensagens, a carteira exibe uma janela de alerta de risco, avisando que a transação atual pode apresentar riscos potenciais, e inicia uma contagem decrescente de 15 segundos. Este design visa dar aos usuários tempo suficiente para avaliar a necessidade e a segurança da operação de assinatura.

Sugestões de segurança

Para proteger a segurança dos ativos, os usuários devem ter em atenção os seguintes pontos:

1. Mantenha-se alerta a todos os pedidos que exigem a assinatura eth_sign, especialmente aqueles de origem desconhecida ou não confiável. Se tiver dúvidas sobre a autenticidade ou a finalidade do pedido, não assine facilmente.

2. Certifique-se de que as mensagens ou pedidos de transação que você está a processar vêm de fontes confiáveis, como sites oficiais, redes sociais oficiais ou canais de comunicação verificados. Não confie em links, e-mails ou informações privadas de fontes desconhecidas.

3. Utilize aplicações de carteira que suportam a funcionalidade de aviso de risco, leia atentamente as informações de aviso ao realizar operações de assinatura e considere cuidadosamente antes de decidir se deve continuar.

4. Mantenha-se atualizado sobre as notícias de segurança em blockchain, conheça as últimas táticas de lavar os olhos e medidas de prevenção, e aumente a sua consciência de segurança.

5. Se encontrar situações incertas, pode procurar ajuda de profissionais ou da comunidade, não tome decisões que possam afetar a segurança dos ativos sozinho.

Ao manter-se alerta, compreender os riscos potenciais e adotar medidas de precaução adequadas, os usuários podem reduzir significativamente a probabilidade de se tornarem vítimas de um esquema de assinatura eth_sign. No mundo blockchain, manter a cautela e o aprendizado contínuo é fundamental para proteger os próprios ativos.