Ryzyko podpisu na ślepo

Ślepe podpisywanie to podpisywanie transakcji bez prawdziwego widzenia, co ona zrobi, i przypomina podpisywanie czystego czeku w ciemnym pomieszczeniu. Zatwierdzasz, naciskając potwierdź, ale twoje oczy widzą jedynie ciąg nieczytelnych znaków. To jest podstawowa słabość wielu portfeli programowych i każdego ustawienia, gdzie czytelna intencja transakcji nie jest wysyłana do urządzenia, które podpisuje. Napastnicy ukrywają logikę w skomplikowanych wywołaniach smart kontraktów lub zatwierdzeniach, a następnie używają phishingu i inżynierii społecznej, aby skłonić cię do naciśnięcia jednego przycisku. Wynik może być wykonane tokeny, nieskończone zatwierdzenia lub aktywa przeniesione do adresów, którym nigdy nie zamierzałeś zaufać. Niebezpieczeństwo rośnie, ponieważ blockchainy pokazują dane w haszach i heksach, których ludzie nie mogą zrozumieć. Niektóre portfele po prostu wyświetlają "dane dostępne" lub hasz, a podpisujący nie może zweryfikować akcji. Lepszym podejściem jest Clear Signing, prosta idea z dwiema częściami: pokazanie jasnej intencji transakcji i pokazanie pól czytelnych dla ludzi. Gdy portfel przedstawia akcję, aktywo, kwotę i cel prostymi słowami, możesz dokonać wyboru oczami, a nie w ciemno. Portfele sprzętowe z bezpiecznymi ekranami i chronionymi ścieżkami wyświetlania pomagają, ponieważ są napędzane przez bezpieczny element, który opiera się na oszustwach i zapewnia, że bajty, które widzisz, pasują do bajtów, które podpisujesz. Jeśli oprogramowanie pośredniczące nie może przetłumaczyć szczegółów transakcji, bezpieczny ekran może nadal pokazywać tylko to, że dane istnieją, co oznacza, że dokonujesz ślepego podpisywania. Aby ograniczyć ryzyko, przenieś większość wartości do kont, których nigdy nie używasz do ryzykownych zatwierdzeń, i utrzymuj małe salda w kontach, które współdziałają z nowymi dappami. Zawsze badaj aplikację przed podłączeniem portfela. Weryfikuj oficjalną stronę i kod, jeśli możesz. Traktuj niespodziewane prośby z podejrzliwością. Kiedy musisz dokonać ślepego podpisu dla zaawansowanych funkcji, rób to tylko na minimalnie dofinansowanych kontach i tylko z platformami, które zweryfikowałeś. Szerokim rozwiązaniem dla ekosystemu jest standaryzacja, aby oprogramowanie portfeli, dappy i urządzenia podpisujące wymieniały się zrozumiałymi dla ludzi intencjami. Standardy Clear Signing mają na celu przekształcenie nieprzejrzystych haszy w czytelne instrukcje i uczynienie podpisywania świadomym działaniem, a nie rytuałem wykonywanym w ciemności. W praktyce przyjmij sprzętowy podpisywer z chronionym wyświetlaczem, segreguj aktywa i weryfikuj każdą aplikację, zanim pozwolisz na jakiekolwiek zatwierdzenie, a zamienisz wiele ślepych okręgów w linie, które możesz śledzić.