Rizika slepého podpisu

Slepé podepisování je podepisování transakce, aniž byste skutečně viděli, co udělá, a připadá to jako podepisování prázdného šeku ve slabě osvětlené místnosti. Schvalujete stisknutím potvrdit, ale vaše oči se setkají pouze s řetězcem nečitelných znaků. Toto je základní slabina mnoha softwarových peněženek a jakéhokoli nastavení, kde není čitelný záměr transakce odeslán na zařízení, které podepisuje. Útočníci skrývají logiku v komplexních voláních chytrých kontraktů nebo schváleních a poté používají phishing a sociální inženýrství, aby vás přiměli k jedinému stisknutí tlačítka. Výsledkem mohou být vyprázdněné tokeny, nekonečná schválení nebo aktiva přesunutá na adresy, kterým jste nikdy nechtěli důvěřovat. Nebezpečí roste, protože blockchainy zobrazují data v hashe a hex, které lidé nedokážou rozluštit. Některé peněženky jednoduše zobrazují „data jsou přítomna“ nebo hash, a podepisující nedokáže ověřit akci. Lepší přístup je Clear Signing, jednoduchý nápad se dvěma částmi: ukázat jasný záměr transakce a ukázat pole srozumitelná pro člověka. Když peněženka představí akci, aktiva, částku a cíl v prostých slovech, můžete učinit rozhodnutí očima a ne slepou důvěrou. Hardwarové peněženky s bezpečnými obrazovkami a chráněnými zobrazovacími cestami pomáhají, protože jsou řízeny bezpečným prvkem, který odolává falšování a zajišťuje, že bajty, které vidíte, odpovídají bajtům, které podepisujete. Pokud middleware nemůže překládat detaily transakce, bezpečná obrazovka může stále ukazovat pouze to, že data existují, což znamená, že slepě podepisujete. Pro omezení rizika přesunujte většinu hodnoty na účty, které nikdy nepoužíváte pro riziková schválení, a udržujte malé zůstatky na účtech, které interagují s novými dappami. Vždy zkoumejte aplikaci před připojením své peněženky. Ověřte oficiální web a kód, pokud můžete. Zacházejte s neočekávanými žádostmi s podezřením. Když musíte slepě podepisovat pro pokročilé funkce, dělejte to pouze na minimálně financovaných účtech a pouze na platformách, které jste ověřili. Širším řešením pro ekosystém je standardizace, aby software peněženky, dapp a podepisovací zařízení vyměňovaly čitelný záměr člověka. Standardy Clear Signing mají za cíl transformovat neprůhledné hashe na čitelné pokyny a učinit podepisování záměrným aktem namísto rituálu prováděného ve tmě. V praxi přijměte hardwarový podpis s chráněným displejem, segregujte aktiva a ověřte každou aplikaci před tím, než dovolíte jakékoli schválení, a přeměníte mnoho slepých kruhů na linie, které můžete sledovat.