警惕eth_sign盲签骗局：介绍、手段及防范

近期，我们注意到 eth_sign 盲签骗局异常活跃，许多用户在不明网站上被诱导签署看似无害的 eth_sign 签名，结果造成钱包内的资产不翼而飞。为了让大家更好地理解这种骗局的运作方式，我们需要首先解释一下 eth_sign 签名到底是什么。

什么是eth_sign 签名

在以太坊中，eth_sign 是一个被广泛使用的签名方法，它允许用户使用他们的私钥来签署一条消息。这种签名机制是区块链交易的核心部分，因为它可以证明某个特定的账户是交易的发起者。简单来说，这就像是你在一张纸上签上你的名字，以证明你同意或者支持纸上的内容。

然而，eth_sign 的使用过程中有一个大家容易忽视的问题，那就是它常常被称为「盲签」。这是因为当你使用 eth_sign 对一条消息进行签名时，你可能并不完全知道你在签名什么，也无法反向查验这个签名具体代表的是什么内容。这是因为 eth_sign 的输入是原始的字符，而不是一种人类可读的格式。就好比你在一份看不懂的语言写成的合同上签名，这就是它被称为「盲签」的原因。

常见骗局手段

了解了 eth_sign 签名和盲签的概念后，我们就可以深入探讨 eth_sign 的潜在风险，以及如何防范这类盲签诈骗。

因为 eth_sign 可以被用来签署任何类型的消息，包括交易和智能合约的指令，所以恶意的第三方可能会诱导你签署一条你并不完全理解的消息，导致你的资产被转移到他们的账户。更糟糕的是，他们可能会给你一条看似无害的消息让你签名，但实际上，这条消息可能是一条操作指令，一旦你签名，你的资产就会被转移到他们的账户。

面对这种情况，我们应该如何防范呢？针对此类诈骗行为，imToken 新版本进行了风控系统升级。在用户访问第三方 DApp 调用 eth_sign 进行消息签名时， imToken 将提供风险警告弹窗，提示用户当前交易可能存在潜在风险，并启动 15 秒的倒计时冷却。这样的设置旨在给用户足够的时间来评估签名操作的必要性和安全性。

△ imToken 风险警告弹窗

安全提醒

imToken 安全团队在此提醒大家：

• 对所有要求使用 eth_sign 签名的请求保持警惕，尤其是来源不明或者不可信的请求。若对请求的真实性或目的存在疑虑，千万不要轻易签名。
• 确保处理的消息或交易请求来自于可信赖的途径，如官方网站、官方社交媒体或已验证的通讯渠道。切勿信任来源不明的链接、邮件或私人信息。