Cuidado con las estafas de visados a ciegas eth_sign: introducción, métodos y prevención

Recientemente, hemos notado un aumento en las estafas de firma a ciegas de eth_sign, con muchos usuarios siendo engañados para que firmen firmas de eth_sign aparentemente inocuas en sitios web desconocidos, lo que resulta en la pérdida de activos en sus billeteras. Para que entiendas mejor cómo funciona esta estafa, primero tenemos que explicarte qué es exactamente una firma eth_sign.

¿Qué es la firma eth_sign

En Ethereum, eth_sign es un método de firma ampliamente utilizado que permite a los usuarios firmar un mensaje utilizando su clave privada. Este mecanismo de firma es una parte fundamental de las transacciones de blockchain, ya que demuestra que una cuenta en particular es el originador de la transacción. En pocas palabras, es como si firmaras tu nombre en un pedazo de papel para demostrar que estás de acuerdo o apoyas lo que está en el papel.

Sin embargo, hay un problema que se pasa por alto fácilmente en el uso de eth_sign, es decir, a menudo se le conoce como “firma ciega”. Esto se debe a que cuando firmas un mensaje con eth_sign, es posible que no sepas exactamente lo que estás firmando, y es posible que no puedas verificar lo que representa exactamente la firma. Esto se debe a que la entrada de eth_sign es un carácter primitivo, no un formato legible por humanos. Es como firmar un contrato en un idioma que no entiendes, por eso se llama “señal ciega”.

Tácticas de estafa comunes

Ahora que entendemos el concepto de firmas eth_sign y firma ciega, podemos sumergirnos en los riesgos potenciales de eth_sign y cómo prevenir este tipo de estafa de firma ciega.

Debido a que eth_sign se puede usar para firmar cualquier tipo de mensaje, incluidas las transacciones y las instrucciones para contratos inteligentes, un tercero malintencionado puede engañarlo para que firme un mensaje que no comprende completamente, lo que hace que sus activos se transfieran a su cuenta. Para empeorar las cosas, es posible que le den un mensaje aparentemente inocuo para que lo firme, pero en realidad, el mensaje puede ser una instrucción de acción para que sus activos se transfieran a su cuenta una vez que firme.

Ante esta situación, ¿cómo debemos prevenirla?En respuesta a este tipo de fraudes, la nueva versión de imToken ha actualizado el sistema de control de riesgos. Cuando un usuario accede a una DApp de terceros y llama a eth_sign para firmar un mensaje, imToken proporcionará una ventana emergente de advertencia de riesgo para recordarle al usuario que la transacción actual puede ser potencialmente riesgosa e iniciará un enfriamiento de cuenta regresiva de 15 segundos. Dicha configuración está diseñada para dar al usuario tiempo suficiente para evaluar la necesidad y la seguridad de la operación de firma.

△ Ventana emergente de advertencia de riesgo de imToken

Recordatorios de seguridad

El equipo de seguridad de imToken desea recordarle que:

• Esté atento a todas las solicitudes que requieran firmas de _sign eth, especialmente aquellas de fuentes desconocidas o no confiables. Si tienes dudas sobre la autenticidad o el propósito de tu solicitud, no la firmes a la ligera.
• Asegúrese de que el mensaje o la solicitud de transacción procesada provenga de una fuente confiable, como un sitio web oficial, redes sociales oficiales o canales de comunicación verificados. Nunca confíes en enlaces, correos electrónicos o información privada de fuentes desconocidas.