Méfiez-vous des escroqueries eth_sign aux visas à l’aveugle : introduction, méthodes et prévention

Récemment, nous avons remarqué une recrudescence des escroqueries à la signature à l’aveugle de l’eth_sign, de nombreux utilisateurs étant amenés à signer des signatures eth_sign apparemment inoffensives sur des sites Web inconnus, ce qui entraîne la perte d’actifs dans leurs portefeuilles. Pour vous permettre de mieux comprendre le fonctionnement de cette escroquerie, nous devons d’abord vous expliquer ce qu’est exactement une signature eth_sign.

Qu’est-ce que la signature eth_sign

Dans Ethereum, eth_sign est une méthode de signature largement utilisée qui permet aux utilisateurs de signer un message à l’aide de leur clé privée. Ce mécanisme de signature est un élément essentiel des transactions blockchain, car il prouve qu’un compte particulier est à l’origine de la transaction. Pour le dire simplement, c’est comme si vous signiez votre nom sur un morceau de papier pour prouver que vous êtes d’accord ou que vous soutenez ce qui est sur le papier.

Cependant, il y a un problème qui est facilement négligé dans l’utilisation de l’eth_sign, c’est-à-dire qu’il est souvent appelé « signature aveugle ». En effet, lorsque vous signez un message avec eth_sign, il se peut que vous ne sachiez pas exactement ce que vous signez et que vous ne puissiez pas vérifier inversement ce que la signature représente exactement. Cela est dû au fait que l’entrée pour eth_sign est un caractère primitif, et non un format lisible par l’homme. C’est comme signer un contrat dans une langue que vous ne comprenez pas, c’est pourquoi on l’appelle un « signe à l’aveugle ».

Tactiques d’escroquerie courantes

Maintenant que nous comprenons le concept d’eth_sign signatures et de signature à l’aveugle, nous pouvons nous plonger dans les risques potentiels de l_sign et comment prévenir ce type d’escroquerie à la signature aveugle.

Étant donné que eth_sign peut être utilisé pour signer n’importe quel type de message, y compris les transactions et les instructions pour les contrats intelligents, un tiers malveillant peut vous inciter à signer un message que vous ne comprenez pas entièrement, ce qui entraîne le transfert de vos actifs sur son compte. Pour aggraver les choses, ils peuvent vous donner un message apparemment inoffensif à signer, mais en réalité, le message peut être une instruction d’action selon laquelle vos actifs sont transférés sur leur compte une fois que vous avez signé.

Face à cette situation, comment devrions-nous l’éviter ?En réponse à de telles fraudes, la nouvelle version d’imToken a mis à niveau le système de contrôle des risques. Lorsqu’un utilisateur accède à une DApp tierce et appelle eth_sign pour signer un message, imToken fournit une fenêtre contextuelle d’avertissement de risque pour rappeler à l’utilisateur que la transaction en cours peut être potentiellement risquée et lancer un compte à rebours de 15 secondes. Une telle configuration est conçue pour donner à l’utilisateur suffisamment de temps pour évaluer la nécessité et la sécurité de l’opération de signature.

△ Fenêtre contextuelle d’avertissement de risque imToken

Rappels de sécurité

L’équipe de sécurité d’imToken tient à vous rappeler que :

• Soyez vigilant à l’égard de toutes les demandes qui nécessitent des signatures _sign éthiques, en particulier celles provenant de sources inconnues ou non fiables. Si vous avez des doutes sur l’authenticité ou l’objet de votre demande, ne la signez pas à la légère.
• Assurez-vous que le message ou la demande de transaction traitée provient d’une source fiable, telle qu’un site Web officiel, des médias sociaux officiels ou des canaux de communication vérifiés. Ne faites jamais confiance aux liens, aux e-mails ou aux informations privées provenant de sources inconnues.