Cuidado com eth_sign fraudes com vistos cegos: introdução, métodos e prevenção

Recentemente, notamos um aumento nos golpes de assinatura cega eth_sign, com muitos usuários sendo enganados para assinar assinaturas eth_sign aparentemente inócuas em sites desconhecidos, resultando na perda de ativos em suas carteiras. Para lhe dar uma melhor compreensão de como esse golpe funciona, precisamos primeiro explicar o que é exatamente uma assinatura eth_sign.

O que é eth_sign assinatura

No Ethereum, eth_sign é um método de assinatura amplamente utilizado que permite aos usuários assinar uma mensagem usando sua chave privada. Este mecanismo de assinatura é uma parte central das transações blockchain, pois prova que uma determinada conta é o originador da transação. Para simplificar, é como se você assinasse seu nome em um pedaço de papel para provar que concorda ou apoia o que está no papel.

No entanto, há um problema que é facilmente negligenciado no uso de eth_sign, ou seja, é muitas vezes referido como “assinatura cega”. Isso ocorre porque quando você assina uma mensagem com eth_sign, talvez não saiba exatamente o que está assinando e talvez não consiga verificar o que exatamente a assinatura representa. Isso ocorre porque a entrada para eth_sign é um caractere primitivo, não um formato legível por humanos. É como assinar um contrato em uma língua que você não entende, e é por isso que é chamado de “sinal cego”.

Táticas comuns de fraude

Agora que entendemos o conceito de assinaturas eth_sign e assinatura cega, podemos mergulhar nos riscos potenciais de eth_sign e como evitar esse tipo de golpe de assinatura cega.

Como eth_sign pode ser usado para assinar qualquer tipo de mensagem, incluindo transações e instruções para contratos inteligentes, um terceiro mal-intencionado pode induzi-lo a assinar uma mensagem que você não entende completamente, fazendo com que seus ativos sejam transferidos para sua conta. Para piorar a situação, eles podem lhe dar uma mensagem aparentemente inócua para você assinar, mas, na realidade, a mensagem pode ser uma instrução de ação de que seus ativos são transferidos para a conta deles depois que você assinar.

Diante dessa situação, como devemos evitá-la?Em resposta a tais fraudes, a nova versão do imToken atualizou o sistema de controle de risco. Quando um usuário acessa um DApp de terceiros e chama eth_sign para assinar uma mensagem, o imToken fornecerá uma janela pop-up de aviso de risco para lembrar o usuário de que a transação atual pode ser potencialmente arriscada e iniciar uma contagem regressiva de 15 segundos. Essa configuração é projetada para dar ao usuário tempo suficiente para avaliar a necessidade e a segurança da operação de assinatura.

△ pop-up de aviso de risco imToken

Lembretes de segurança

A equipe de segurança do imToken gostaria de lembrá-lo que:

• Esteja atento a todos os pedidos que exijam assinaturas eth_sign, especialmente aqueles de fontes desconhecidas ou não confiáveis. Se tiver dúvidas sobre a autenticidade ou finalidade do seu pedido, não o assine de ânimo leve.
• Certifique-se de que a mensagem ou solicitação de transação processada vem de uma fonte confiável, como um site oficial, mídia social oficial ou canais de comunicação verificados. Nunca confie em links, e-mails ou informações privadas de fontes desconhecidas.