Ledger CTO предупреждает об опасностях «подписи в слепую»
В связи с недавней атакой на OpenSea , выявившей уязвимости блокчейна, Шарль Гийеме, главный технический директор Ledger, предупреждает пользователей о «слепой подписи», которую он определяет как «согласие на транзакцию, которая будет подписана вслепую, без понимания того, что это значит».
Гийоме разобрал проблемы и выделил проблемы со слепой подписью. Технический директор Ledger отмечает, что согласие на транзакции требует подписания сообщения, которое будет отправлено в блокчейн. Пользователь — единственный, кто может подписывать транзакции закрытым ключом, в то время как другие могут проверить его правильность. «Проблема в том, что это сообщение по умолчанию неразборчиво. Это цифровая полезная нагрузка», — говорит Гиллеме.
Гиллеме также объяснил, что когда перевод монеты подписан, он обычно поддерживается кошельком, который «должным образом анализирует полезную нагрузку и отображает свое намерение». Однако, когда дело доходит до подписания сложных взаимодействий со смарт-контрактами, Гиллеме говорит, что «парсинг не всегда поддерживается должным образом, и у вас нет другого выбора, кроме как слепо согласиться на транзакцию, которую вы не понимаете».
«Это рискованно, потому что вы можете думать, что подписываете транзакцию для перевода части ваших средств на адрес А, в то время как на самом деле вы подписываете транзакцию для перевода всех ваших средств на адрес Б».
Эксперт по безопасности также привел примеры, когда слепая подпись приводила к значительным потерям. В последнем эксплойте OpenSea пользователи столкнулись с фишинговой атакой, которая привела к потере невзаимозаменяемых токенов (NFT) на сумму 1,7 миллиона долларов. Гиллеме отмечает, что в этом инциденте злоумышленники обманом заставили своих жертв слепо подписать сообщение, которое заставило их согласиться продать все свои NFT за 0 ETH.
«Злоумышленнику нужно было только подписать транзакцию, в которой говорится: «Я могу купить эти NFT за 0 ETH», а затем представить эти два сообщения OpenSea, чтобы фактически выполнить транзакцию, обменивающую 0 ETH на NFT всех жертв».
Когда его спросили, что, по его мнению, является решением проблемы слепой подписи, Гиллеме обратился к старой криптографической поговорке: «не доверяй, проверяй». Он советует криптопользователям «всегда проверять транзакцию, которую вы соглашаетесь подписать». Одним из предложений, выдвинутых экспертом по безопасности, является подписание транзакций с использованием надежных дисплеев, которые можно найти в аппаратных кошельках.