В связи с недавней атакой на OpenSea, высветившей уязвимости блокчейна, Чарльз Гийеме, технический директор Ledger, предупреждает пользователей о «слепой подписи», которую он определяет как «согласие на транзакцию, которая будет подписана вслепую, без понимания того, что это значит».

В интервью Cointelegraph Гийоме разобрал проблемы и выделил проблемы со слепой подписью. Технический директор Ledger отмечает, что согласие на транзакции требует подписания сообщения, которое будет отправлено в блокчейн. Пользователь — единственный, кто может подписывать транзакции закрытым ключом, в то время как другие могут проверить его правильность. «Проблема в том, что это сообщение по умолчанию неразборчиво. Это цифровая полезная нагрузка», — говорит Гиллеме.

Гиллеме также объяснил, что когда перевод монеты подписан, он обычно поддерживается кошельком, который «должным образом анализирует полезную нагрузку и отображает свое намерение». Однако когда дело доходит до подписания сложных взаимодействий со смарт-контрактами, Гиллеме говорит, что «парсинг дисплея не всегда поддерживается должным образом, и у вас нет другого выбора, кроме как слепо согласиться на транзакцию, которую вы не понимаете».

«Это рискованно, потому что вы можете думать, что подписываете транзакцию по переводу части ваших средств на адрес А, в то время как вы на самом деле подписываете транзакцию по переводу всех ваших средств на адрес Б».

Эксперт по безопасности также привел примеры, когда слепая подпись приводила к значительным потерям. В последнем эксплойте OpenSea пользователи столкнулись с фишинговой атакой, которая привела к потере невзаимозаменяемых токенов (NFT) на сумму 1,7 миллиона долларов. Гиллеме отмечает, что в этом инциденте злоумышленники обманом заставили своих жертв слепо подписать сообщение, которое заставило их согласиться продать все свои NFT за 0 ETH.

«Злоумышленнику нужно было только подписать транзакцию, в которой говорилось: «Я могу купить эти NFT за 0 ETH», а затем представить эти два сообщения OpenSea, чтобы фактически выполнить транзакцию, обменивающую 0 ETH на NFT всех жертв».

Когда его спросили, что, по его мнению, является решением проблемы слепой подписи, Гиллеме обратился к старой криптографической пословице: «Не доверяй, проверяй». Он советует криптопользователям «всегда проверять транзакцию, которую вы соглашаетесь подписать». Одним из предложений, выдвинутых экспертом по безопасности, является подписание транзакций с использованием надежных дисплеев, которые можно найти в аппаратных кошельках.

Источник