近期,我们注意到 eth_sign 盲签局异常活跃,许多用户在不明网站上被诱导签署看似无害的 eth_sign 签名,结果造成钱包内的资产不翼而飞。为了让大家更好地理解这种局的运作方式,我们需要首先解释一下 eth_sign 签名到底是什么。
在以太坊中,eth_sign 是一个被广泛使用的签名方法,它允许用户使用他们的私钥来签署一条消息。这种签名机制是区块链交易的核心部分,因为它可以证明某个特定的账户是交易的发起者。简单来说,这就像是你在一张纸上签上你的名字,以证明你同意或者支持纸上的内容。
警惕DeFi项目上的ERC777代币风险:近日频发黑客利用某些DeFi项目与ERC777兼容性问题实施攻击的事件,据慢雾区情报,慢雾安全团队分析发现知名Pooltogether也是采用ERC777标准实现,请各大项目方和DeFi用户提高警惕,做好相应的防护措施,及时排查代码中是否存在相应的重入风险,在需要时可联系慢雾安全团队协助。[2020/4/20]
然而,eth_sign 的使用过程中有一个大家容易忽视的问题,那就是它常常被称为「盲签」。这是因为当你使用 eth_sign 对一条消息进行签名时,你可能并不完全知道你在签名什么,也无法反向查验这个签名具体代表的是什么内容。这是因为 eth_sign 的输入是原始的字符,而不是一种人类可读的格式。就好比你在一份看不懂的语言写成的合同上签名,这就是它被称为「盲签」的原因。
警惕Voice钓鱼网站:近期名为voiceairdrop的EOS钓鱼账号,在伪装Voice官方赠送代币,Voice官网为Voice.com 。希望EOS社区用户多加警惕,不要轻易泄露自己的私钥,保护自己的资产安全。(IMEOS)[2020/3/17]
了解了 eth_sign 签名和盲签的概念后,我们就可以深入探讨 eth_sign 的潜在风险,以及如何防范这类盲签。
声音 | 盈科律师事务所高级合伙人王风和:警惕科技金融企业从事ICO及比特币非法交易活动:近日,盈科律师事务所高级合伙人、中国金融办工作协会互联网金融专委会主任王风和在一场互联网金融风险防控沙龙上表示,要特别警惕科技金融企业从事ICO及比特币非法交易活动。建议园区紧密监控园区内区块链技术企业是否涉嫌ICO进行金融,一旦发现应依法坚决进行处理,坚守系统性风险的底线。金融机构和支付机构不得直接或间接为客户提供与虚拟货币相关的服务,建议在法律允许的范围内采用实名银行账户联动体系、采取反措施等,压缩交易。[2018/7/12]
因为 eth_sign 可以被用来签署任何类型的消息,包括交易和智能合约的指令,所以恶意的第三方可能会诱导你签署一条你并不完全理解的消息,导致你的资产被转移到他们的账户。更糟糕的是,他们可能会给你一条看似无害的消息让你签名,但实际上,这条消息可能是一条操作指令,一旦你签名,你的资产就会被转移到他们的账户。
imToken
企业专栏
阅读更多
金色荐读
金色财经 善欧巴
迪新财讯
Chainlink预言机
区块律动BlockBeats
白话区块链
金色早8点
Odaily星球日报
欧科云链
MarsBit
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。