近期,我们发现多起关于eth_sign签名的钓鱼事件。钓鱼网站1:https://moonbirds-exclusive
;//RLPencodeconstrawTransaction=rlp
;//RLPencodeconstsignedRawTransaction=rlp.encode();而如上所述,eth_sign方法可以对任意哈希进行签名,那么自然可以对我们签名后的bytes32数据进行签名。因此攻击者只需要在我们连接DApp后获取我们的地址对我们账户进行分析查询,即可构造出任意数据让我们通过eth_sign进行签名。这种钓鱼方式对用户会有很强的迷惑性,以往我们碰到的授权类钓鱼在MetaMask会给我直观的展示出攻击者所要我们签名的数据。如下所示,MetaMask展示出了此钓鱼网站诱导用户将NFT授权给恶意地址。
而当攻击者使用eth_sign方法让用户签名时,如下所示,MetaMask展示的只是一串bytes32的哈希。
总结
本文主要介绍eth_sign签名方式的钓鱼手法。虽然在签名时MetaMask会有风险提示,但若结合钓鱼话术干扰,没有技术背景的普通用户很难防范此类钓鱼。建议用户在遇到此类钓鱼时提高警惕,认准域名,仔细检查签名数据,必要时可以安装安全插件,如:RevokeCash、ScamSniffer等,同时注意插件提醒。原地址
聚币Jubi将于2021年1月13日18:00上线FXS/USDT:据官方消息,聚币Jubi将于2021年1月13日18:00(UTC+8)上线FXS(Frax),FXS的充值提现已开放。在聚币Jubi存入FXS可获得“充币挖矿”双倍算力。
Frax是一个分数算法稳定币。Frax协议向世界介绍了一种加密货币的概念,即部分靠抵押支撑,部分靠算法稳定。[2021/1/13 16:04:46]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。