近期,我們注意到eth_sign 盲簽騙局異常活躍,許多用戶在不明網站上被誘導簽署看似無害的eth_sign 簽名,結果造成錢包內的資產不翼而飛。為了讓大家更好地理解這種騙局的運作方式,我們需要首先解釋一下eth_sign 簽名到底是什麼。
什麼是eth_sign 簽名
在以太坊中,eth_sign 是一個被廣泛使用的簽名方法,它允許用戶使用他們的私鑰來簽署一條消息。這種簽名機制是區塊鏈交易的核心部分,因為它可以證明某個特定的賬戶是交易的發起者。簡單來說,這就像是你在一張紙上籤上你的名字,以證明你同意或者支持紙上的內容。
然而,eth_sign 的使用過程中有一個大家容易忽視的問題,那就是它常常被稱為「盲簽」。這是因為當你使用eth_sign 對一條消息進行簽名時,你可能並不完全知道你在簽名什麼,也無法反向查驗這個簽名具體代表的是什麼內容。這是因為eth_sign 的輸入是原始的字符,而不是一種人類可讀的格式。就好比你在一份看不懂的語言寫成的合同上簽名,這就是它被稱為「盲簽」的原因。
常見騙局手段
了解了eth_sign 簽名和盲籤的概念後,我們就可以深入探討eth_sign 的潛在風險,以及如何防範這類盲簽詐騙。
因為eth_sign 可以被用來簽署任何類型的消息,包括交易和智能合約的指令,所以惡意的第三方可能會誘導你簽署一條你並不完全理解的消息,導致你的資產被轉移到他們的賬戶。更糟糕的是,他們可能會給你一條看似無害的消息讓你簽名,但實際上,這條消息可能是一條操作指令,一旦你簽名,你的資產就會被轉移到他們的賬戶。
面對這種情況,我們應該如何防範呢?針對此類詐騙行為,imToken 新版本進行了風控系統升級。在用戶訪問第三方DApp 調用eth_sign 進行消息簽名時, imToken 將提供風險警告彈窗,提示用戶當前交易可能存在潛在風險,並啟動15 秒的倒計時冷卻。這樣的設置旨在給用戶足夠的時間來評估簽名操作的必要性和安全性。
△ imToken 風險警告彈窗
安全提醒
imToken 安全團隊在此提醒大家:
- 對所有要求使用eth_sign 簽名的請求保持警惕,尤其是來源不明或者不可信的請求。若對請求的真實性或目的存在疑慮,千萬不要輕易簽名。
- 確保處理的消息或交易請求來自於可信賴的途徑,如官方網站、官方社交媒體或已驗證的通訊渠道。切勿信任來源不明的鏈接、郵件或私人信息。