Cuidado com o esquema de assinatura Ethereum: entenda os princípios e medidas de prevenção

Recentemente, um esquema de lavar os olhos que utiliza o mecanismo de assinatura do Ethereum chamou a atenção generalizada. Muitos usuários, sem saber, foram induzidos a assinar assinaturas aparentemente inofensivas em determinados sites, resultando no roubo de ativos em suas carteiras. Para ajudar todos a entenderem melhor como esse esquema funciona, precisamos primeiro explicar os princípios do mecanismo de assinatura do Ethereum.

Introdução ao mecanismo de assinatura Ethereum

Na rede Ethereum, a assinatura é um método de verificação amplamente utilizado, que permite aos usuários assinar mensagens com uma chave privada. Este mecanismo é uma parte central das transações em blockchain, pois pode provar que uma conta específica é a iniciadora da transação. Simplificando, é como assinar um documento na vida real para provar que você concorda ou apoia o conteúdo do documento.

No entanto, há um problema que pode ser facilmente ignorado durante o uso, que é o chamado "assinatura cega". Quando o usuário assina uma mensagem, pode não entender completamente o que está assinando e não consegue verificar o que essa assinatura representa especificamente. Isso ocorre porque a entrada da assinatura é geralmente em caracteres brutos, e não em um formato legível por humanos. É como assinar um contrato em uma língua estrangeira que não se entende, e é por isso que é chamado de "assinatura cega".

Métodos comuns de fraude

Após entender o mecanismo de assinatura do Ethereum e o conceito de assinatura cega, podemos explorar mais a fundo os seus potenciais riscos e como prevenir esse tipo de lavar os olhos.

Como as assinaturas podem ser utilizadas para qualquer tipo de mensagem, incluindo transações e instruções de contratos inteligentes, terceiros maliciosos podem induzir os usuários a assinarem uma mensagem que eles não compreendem completamente, resultando na transferência de ativos. Mais grave ainda, eles podem fornecer uma mensagem aparentemente inofensiva para que o usuário assine, mas que na verdade pode ser uma instrução de operação; uma vez assinada, os ativos do usuário serão transferidos para a conta do golpista.

Medidas de prevenção

Diante dessa situação, como devemos nos prevenir? Alguns aplicativos de carteira já começaram a atualizar seus sistemas de controle de risco. Por exemplo, quando os usuários acessam aplicativos de terceiros que utilizam a função de assinatura, a carteira fornece uma janela de aviso de risco, alertando os usuários de que a operação atual pode apresentar riscos potenciais e iniciando uma contagem regressiva de resfriamento. Essa configuração visa dar aos usuários tempo suficiente para avaliar a necessidade e segurança da operação de assinatura.

Aviso de segurança

Para este tipo de lavar os olhos, lembramos a todos:

• Mantenha-se alerta para todos os pedidos que requerem assinatura, especialmente aqueles de origem desconhecida ou não confiável. Se houver dúvidas sobre a autenticidade ou o propósito do pedido, nunca assine de forma leviana.
• Certifique-se de que as mensagens ou pedidos de transação que você está a tratar vêm de fontes confiáveis, como o site oficial, redes sociais oficiais ou canais de comunicação verificados. Nunca confie em links, e-mails ou informações privadas de origem desconhecida.

Ao aumentar a vigilância e entender os riscos potenciais, podemos proteger melhor os nossos ativos digitais e evitar tornar-nos vítimas deste tipo de lavar os olhos.