Технический директор Ledger предупреждает пользователей криптовалют об опасностях «слепого подписания»

В связи с недавней атакой на OpenSea, высветившей уязвимости блокчейна, Шарль Гильмет, главный технический директор Ledger, предупреждает пользователей о «слепом подписании», которое он определяет как «согласие на подписание транзакции вслепую, без понимания того, что это означает». 

В интервью Cointelegraph Гийемет разложил по полочкам проблемы и выделил вопросы, связанные со слепым подписанием. Главный технический директор Ledger отмечает, что согласие на транзакции требует подписания сообщения для отправки в блокчейн. Пользователь является единственным, кто способен подписывать транзакции закрытым ключом, в то время как другие могут проверить его правильность. «Проблема в том, что это сообщение по умолчанию не является понятным. Это цифровая полезная нагрузка», — говорит Гийемет.

Гийемет также пояснил, что когда подписывается перевод монет, он обычно поддерживается кошельком, который «правильно анализирует полезную нагрузку и отображает ее намерение». Однако, когда дело доходит до подписания сложных взаимодействий с умными контрактами, Гийемет говорит, что «разбор отображения не всегда поддерживается должным образом, и у вас нет выбора, кроме как слепо согласиться на транзакцию, которую вы не понимаете».

«Это рискованно, потому что вы можете думать, что подписываете транзакцию для перемещения части ваших средств на адрес A, в то время как на самом деле вы подписываете транзакцию для перемещения всех ваших средств на адрес B».

Эксперт по безопасности также привел примеры, когда слепое подписание приводило к значительным потерям. В последнем эксплойте OpenSea пользователи столкнулись с фишинговой атакой, которая привела к потере неиграбельных токенов (NFT) на сумму 1,7 миллиона долларов. Гиллемет отмечает, что в этом инциденте злоумышленники обманом заставили своих жертв подписать вслепую сообщение, в котором они соглашались продать все свои NFT за 0 ETH.

«Злоумышленнику нужно было только подписать транзакцию, говорящую «Я согласен купить эти NFT за 0 ETH», а затем представить эти два сообщения OpenSea для фактического выполнения транзакции, обменивающей 0 ETH на все NFT жертвы».

Когда его спросили, что, по его мнению, является решением проблемы слепой подписи, Гийемет обратился к старой крипто-поговорке «не доверяй, проверяй». Он советует пользователям криптовалют «всегда проверять транзакцию, которую вы соглашаетесь подписать». Одно из предложений, которое выдвинул эксперт по безопасности, — это подписание транзакций с помощью доверенных дисплеев, которые можно найти на аппаратных кошельках.