优惠论坛
标题: 签名:区块链钱包安全的新挑战(转) [打印本页]
作者: 22301 时间: 2023-10-4 14:37
标题: 签名:区块链钱包安全的新挑战(转)
与传统的中心化服务不同,区块链钱包并不直接持有用户的资产,只管理与区块链交互的关键凭证——私钥。当用户进行一笔交易时,需要使用私钥进行交易签名,一旦私钥泄露或丢失,资产将面临损失的风险。
签名的现状
区块链的早期,签名相对简单且风险较低,钱包主要的安全问题在于如何安全地存储私钥。随着 DeFi 和 NFT 等应用场景的兴起,链上交互变得越来越复杂。由于每一个 DApp 项目都有独特的签名交互方式,再加上多链多网络的维度,对于大多数人来说,理解各种复杂的签名交互背后的信息变得困难。
这也导致了钱包安全的新挑战,本身签名的规范多,解析困难,把面向开发者的结构化数据解析为普通用户可以理解的信息的挑战更大,还存在因为签名展示的不清晰导致的各种潜在攻击手段,如盲签名和签名钓鱼等。就在最近,Web3 反诈骗平台 Scam Sniffer 监测到有用户通过因为 Perimit 授权被钓鱼攻击,导致被盗 10 万 USDC。
在探索签名挑战的解决方案之前,理解各种签名方式至关重要。
签名的方式
为了使各应用能与区块链无缝交互,如读取区块数据或发送交易,必须有一个统一的连接标准。拿以太坊举例,以太坊的每个客户端都采纳了统一的 JSON-RPC 规范。
在这个规范中,与签名相关的接口有:eth_sendTransaction、eth_sign 等。从技术的视角,签名可分为两大类:链下签名和链上签名。根据具体签名应用场景,它们又可细分为签名登录 、签名授权、签名转账及签名合约互动等。
如何避免签名风险
不同的签名场景潜藏着不同的风险,特别是当签名过程复杂或不明确时,盲目签名可能导致资产损失。对钱包而言,「所见即所签」是解决盲签问题的关键原则,用户签署的内容应与他们所看到和预期的完全相符。为了实施这一原则,钱包要确保的是准确展示每一笔签名包含的可读信息,而不是向用户展示 16 进制的 RLP 编码,只有这样用户才能理解签名信息和风险。
此外,在非常规的操作中,智能的风险警示机制也至关重要。接下来,我们将分别针对这些场景,探讨潜在风险及其应对策略。
签名登录场景
1. eth_sign
以太坊最早的离线签名方式,目前已经不推荐使用。因为无法解析签名信息,非常容易被风险网站利用,伪造风险交易,而导致资产被盗。最简单方式,遇到无法解析展示的盲签名信息,直接拒绝签名,因为 eth_sign 签名无法做到所见即所签,所以社区衍生出 eth_personal_sign 和 EIP-712 等标准,让签名可视化。
2. eth_personal_sign
eth_personal_sign 是可读的离线签名方式,通常用于网站验证用户身份,签名登录网站,钱包需要清晰的展示签名的信息和来源网站的详情。为了展示更多的登录网站的信息,目前 ERC-4361「Sign In With Ethereum 」登录网络的标准支持范围也非常广,进一步提升了 eth_personal_sign 的安全性。
3. eth_signTypedData
遵循 EIP-712 标准,对于结构化数据进行 Hash 或签名,推荐离线签名的方式。慢雾有提到signTypedData_v4 也存在潜在的安全问题,虽然签名信息展示很清晰,但可能是钓鱼网站发起的一模一样的签名请求,后续会被滥用。
所以,对于钱包来说,不仅要支持解析 signTypedData 结构化数据,还需要显示签名来源的应用名称和 URL、交互的历史记录。对于非标准的 EIP-712 钱包,应该也有智能的风险提示。
签名转账场景
转账是钱包最大的用例,这中间涉及到以太坊原生代币 ETH 的转账,以及 ERC-20、ERC-721 标准的代币转账,像是慢雾开发的 MistTrack 等其他安全工具有提供相关的风险地址标签,需要钱包智能地帮助用户拦截或展示相关风险提示,避免更多人受骗。
除此之外,转账还存在一些非常规的场景,比如说转账到合约地址:正常钱包转账都是给 EOA 普通账户,如果收款地址为合约地址,需要特别注意,往往存在风险,当然也可能为合约钱包地址。对于钱包来说,如果可以智能的识别地址是普通地址还是合约地址,并针对合约地址增加特别的标签提示,可以帮助用户提高安全意识。
签名授权场景
1. Approve 授权
Approve 操作代表授权代币转账权限给目标合约以便自动完成交易,常用于 DEX 交易授权,对于钱包来说,需要支持展示授权详情,并且支持修改授权额度和时间,避免因为无限授权额度,导致资金风险敞口变大,建议每次只授权需要交易的数量。
针对 Approve 授权是给一个 EOA 个人地址的场景,需要注意此操作存在极高的钓鱼诈骗行为,Approve 更多是授权给智能合约地址,授权给个人地址属于非常规的行为,需要钱包能够智能识别这种场景并提供相关的风险提示。
2. Permit 授权
Permit 是在 EIP-2612 中提出的一个优化方案,用于改进 ERC-20 标准代币的交互方式。使用ERC-20 标准下进行 Approve 代币授权,需要支付 ETH 作为 Gas 费用。而通过 Permit 的方法,用户可以在链下私钥授权生成一个签名,拥有这个签名的人(如智能合约)可以直接调用 Permit 功能,从而进行代币转移,无需用户再支付 Approve 授权的 Gas 费用。
然而,EIP-2612 是 ERC-20 的扩展,所以 Permit 功能仅适用于新代币,现有的 ERC-20 代币无法从中受益。为了解决这个问题,Uniswap 提出了 Permit2 的标准,思路调用 ERC-20 Approve 来授权 Permit2 合约的操作权限。
慢雾提到,Permit 比 Approve 授权钓鱼更加危险,毕竟只要窃取到了签名就获得了授权。例如 DEX 里的挂单功能,只需要用户对某个消息进行签名,用户就可以在不支付Gas 的情况下将资产委托给 DEX 处理,但如果这个 DEX 是个钓鱼网站,伪造了恶意消息让用户签名,用户的资产就有可能丢失。Permit 签名作为链下行为,用户也很难注意到自己的签名是否已经泄露。
对于钱包来说,不仅需要可以解析 Permit 签名信息,为了避免钓鱼网站,也需要清晰展示来源网站,通过 Logo 和 URL,帮助用户判断其是否经过社区认证,是不是存在未知风险。
签名合约交互的场景
像是 Uniswap、Sushi、Tokenlon、OpenSea 和跨链桥等常见 DApp ,钱包也需要支持所见即所签,可以展示交易完成后预计的代币数量增加和减少的变化情况,帮助用户判断该笔交互是否符合预期,也可以从根源避免出现零元购的风险。
最后
我们探讨了各种签名应用场景的潜在风险和应对策略,但值得注意的是,这只是冰山一角,实际上还有许多其他的风险尚未提及。
在区块链世界中,新的技术和应用不断涌现,带来了新的挑战和风险。无论是作为钱包开发者还是用户,都需要保持关注,理解并应对这些风险,以便更好地利用区块链技术带来的便利。
- E/ ]4 h! _5 K: |# d
作者: 22301 时间: 2023-10-4 14:37
挑战倒也是不少的啦。
作者: jslinen 时间: 2023-10-4 20:29
NFT是现在年轻一代的东西啊,有什么新的东西NFT肯定也有了。
作者: bishao 时间: 2023-10-4 20:30
看到这个方法我认为也是必须了解起来了的哦。
作者: 不要脸最大 时间: 2023-10-4 20:34
使用这个方法有胜利会最容易的结果了呀。
作者: 大吉大利 时间: 2023-10-4 20:36
有盈利的时候就该撤,全部方法长玩就是输
作者: drogan 时间: 2023-10-4 20:36
推荐多半都有输赢,老哥还是要平定心情
作者: 一帆风顺发 时间: 2023-10-4 20:39
还行啊,现在我也就是用这个钱包
作者: 我的花园 时间: 2023-10-4 20:42
若什么事情都能够用NFT的话,是不是就越来越贬值?
作者: 徐子 时间: 2023-10-4 20:42
给建议还是需要理性的人啊,我也是来学习了
作者: 护国石柱 时间: 2023-10-4 20:44
是很好的,也是为数不多可以使用的钱包
作者: wodezhuanyong 时间: 2023-10-4 20:45
NFT这个东西看着还是很高级,可是我却没有这个NFT。
作者: anzizhong 时间: 2023-10-4 20:46
还是必定选有实力的钱包去交易哦。
作者: 小梦 时间: 2023-10-4 20:46
此次方法能赚到一天的生活费我也满足了。
作者: 中大奖 时间: 2023-10-4 20:47
其实各种方法的吧~这个也是留意一下了
作者: 星星知我心 时间: 2023-10-4 20:49
这样的建议我都是完全兴致缺缺了,做其它东西更好
作者: 赌神归来 时间: 2023-10-4 20:50
NFT被您弄的太有意思了,我都没有这个空闲去明白。
作者: yumi666 时间: 2023-10-4 20:50
推荐必须有对和不对的,因此大家还是要自己做判断
作者: 老衲来了 时间: 2023-10-4 20:51
这个方法实在是自己好好掌握,也是很棒的。
作者: hong29 时间: 2023-10-4 20:52
建议什么的与我毫无关系,全部兴趣不大了
作者: 徐子 时间: 2023-10-4 20:54
这么个的建议我也是要来看看,学习点东西了
作者: 想要水果机 时间: 2023-10-4 20:55
建议不要一下子全采纳,这只会感到很蠢
作者: xiaoyi 时间: 2023-10-4 20:55
给建议什么的都是大佬,我只是来围观一下而已
作者: 强强强123 时间: 2023-10-4 20:56
还是必须选择有实力的钱包去交易哦。
作者: 丁小荷 时间: 2023-10-4 20:59
NFT和元宇宙其实就是血肉相连的东西,有了NFT就有元宇宙这就是将来。
作者: 强强强123 时间: 2023-10-4 20:59
建议还是需要把握分寸的给,要不然是适得其反
作者: ouliangzhong 时间: 2023-10-4 21:00
现在感觉这个NFT就是非常的高端的,听说还很值钱一个。
作者: 知行合一 时间: 2023-10-4 21:03
楼主的这波推荐胜率不了解高不高。
作者: 林武风 时间: 2023-10-4 21:04
好多钱包的觉得的呢,为嘛我都不太明白的呢!
作者: 林武风 时间: 2023-10-4 21:05
NFT怎样应该怎么玩的好,或许还是需要技能吧。
作者: hong29 时间: 2023-10-4 21:07
还可以啊,现在我也就是用这个钱包
作者: 小夏Sherry 时间: 2023-10-4 21:08
建议需要冷静的人,不然的话索性不给更好。
作者: 不洗脸都帅 时间: 2023-10-4 21:08
按照惯例来看看今天的推荐如何的了
作者: 老龙口 时间: 2023-10-4 21:09
钱包这么多,到底选择哪一个确实不容易。
作者: 洋森 时间: 2023-10-4 21:09
这个钱包挺好使用,反正吧都是需要小心安全第一啊!
作者: 百战 时间: 2023-10-4 21:09
我也鼓励大家多多出来做推荐,有报酬大家一起共享
作者: 小梦 时间: 2023-10-4 21:10
其实每个方法的吧~这个也是留意一下了
作者: 春娇与小智 时间: 2023-10-4 21:12
方法最后一段话觉得是实用的,但是在我面前就难以实现,毕竟好运太差了。
作者: 南相楚 时间: 2023-10-4 21:15
钱包一般肯定是会选择能够相信的啊
作者: gkfbuw 时间: 2023-10-4 21:17
推荐也是要看情况的,这个应该挺好
作者: bishao 时间: 2023-10-4 21:19
老哥的这波推荐胜率不知道高不高。
作者: wuzhaoshichao 时间: 2023-10-4 21:19
这个也是能看看大家推荐的钱包了的!
作者: 高文胜 时间: 2023-10-4 21:20
钱包也不用真么多,有一个就可以的了。
作者: 朱古力 时间: 2023-10-4 21:20
我也来学校这个推荐会怎么了。
作者: 心随你动 时间: 2023-10-4 21:20
这个钱包我还真的不了解到的.
作者: mxsj2016k 时间: 2023-10-4 21:21
NFT原来还可以这么投资,我实在都跟不上时代了
作者: jslinen 时间: 2023-10-4 21:22
这一次方法可以赢钱一天的生活费我也满足了。
作者: yumi666 时间: 2023-10-4 21:23
给建议什么的都是牛逼的人,我只是来学习一下而已
作者: Lhrlhrgo 时间: 2023-10-4 21:23
推荐学得再多,干脆亲自执行更好
作者: 小希哥 时间: 2023-10-4 21:23
NFT原来还可以这么玩,我实在都跟不上时代了
作者: 万家灯火 时间: 2023-10-4 21:25
菠菜肯定有推荐,这是不能缺少的
作者: 小希哥 时间: 2023-10-4 21:26
有了NFT越来越便捷,这样就会达成共识
作者: 越前龙马 时间: 2023-10-4 21:26
好多钱包的感觉的呢,为嘛我都不太清楚的呢!
作者: liuxin960 时间: 2023-10-4 21:27
这个推荐瞅起来挺好,有必要的话可以跟。
作者: 不傻不成气候 时间: 2023-10-4 21:28
各个方法也是值得去看看收藏下的啦。
作者: 洋森 时间: 2023-10-4 21:28
根据习惯来看看今天的推荐如何的了
作者: leconer 时间: 2023-10-4 21:29
我也没有买过这NFT方面的事情,知识贫乏呀
作者: linxiaoshan888 时间: 2023-10-4 21:31
建议的还是看人的,不必定所有都好
作者: stareshiny 时间: 2023-10-4 21:32
今次方法也还是非常好的收获来的啊
作者: 一路顺风 时间: 2023-10-4 21:34
这些的建议我也是要来凑热闹看,学学点东西了
作者: 想要水果机 时间: 2023-10-4 21:37
这个方法能够自己好好控制,也是很好的。
作者: 朱古力 时间: 2023-10-4 21:49
推荐也是要看实际情景的,这个应该挺好
作者: rainwang 时间: 2023-10-5 18:36
看了那么多关于黑客的帖子,感觉钱包安全真是问题
作者: 赚钱小样 时间: 2023-10-8 09:28
新挑战这个是要看一下的了
作者: 爱美的女人 时间: 2023-10-9 20:31
新挑战的看来是很安全
作者: 爬格子的瘦书生 时间: 2023-10-10 17:33
挑战也是肯定有不少,怎么去迎接呢
| 欢迎光临 优惠论坛 (https://www.tcelue.co/) |
Powered by Discuz! X3.1 |
