Слепая подпись. Подробнее о наиболее уязвимой составляющей криптовалют

Часто слышали о слепой подписи, но до сих пор не понимаете смысла этого словосочетания? Тогда вы по адресу. Вот понятное объяснение данной концепции.

Криптовалюты сегодня — едва ли не самый желанный актив в мире. С учётом этого безопасное хранение монет, токенов и NFT является жизненной необходимостью. Да, вы наверняка об этом слышали — равно как и о том, что нельзя делиться с кем-либо своей мнемонической фразой из 24 слов и приватными ключами. Всё это правда, однако на этом методы защиты криптовалют не заканчиваются.

Сегодня пользователи криптоактивов взаимодействуют со сложными смарт-контрактами самыми разными способами, что происходит на фоне популяризации категории DeFi и децентрализованных приложений. Одновременно с этим есть и мошенники, которые ищут всё новые уязвимости в процедуре проведения транзакций. Из-за них возникло обилие скамов, предназначенных для кражи ваших драгоценных криптоактивов. Одновременно с этим подобные схемы порой может не разглядеть даже знаток криптовалют.

При этом они активно используют так называемую слепую подпись, которая остаётся относительно малоизвестным, но крайне действенным инструментом скамеров. В данной статье мы расскажем о сути слепой подписи, принципах работы мошеннических схем с её применением, а также средствах защиты от скамеров.

Что такое слепая подпись?

Прежде чем обсуждать данную концепцию в цифровом мире, необходимо разобраться с основами в реальном. Контракты нужны для регулирования взаимодействий между людьми. Это может быть трудовой договор, который обязывает сотрудника работать 40 часов в неделю, или же подписка на Netflix, взимающая плату каждый месяц. В целом подпись в контракте означает согласие с изложенными в нём пунктами. Подписывая контракт, вы подтверждаете, что ознакомились с описанными в нем условиями и требованиями и согласны их выполнять.

Подпись в цифровых контрактах

Смарт-контракты – это инфраструктура, на базе которой работают децентрализованные приложения, NFT и многие составляющие мира DeFi. По сути это цифровая версия обычных контрактов. Представим, что вы берёте в долг криптовалюту у кредитора. Условия сделки — ежемесячная выплата части суммы и определённых процентов сверху. На этом всё: как только вы подтвердите соглашение с помощью приватного ключа, вы по сути подпишитесь под смарт-контрактом в цифровом виде.

Но что, если содержимое контракта будет скрыто? Это возвращает нас к первоначальному вопросу. 

Смарт-контракты в современных децентрализованных приложениях и NFT-токенах стали серьёзной проблемой для криптовалютных кошельков. Дело в том, что их код с главными составляющими контракта нельзя извлечь и как следует отобразить на понятном для пользователей языке. Иначе говоря, кошельки всё ещё не готовы к современным готовым решениям для пользователей.

Что это значит для пользователей?

Рассмотрим реальный пример, который наглядно покажет важность осознанной подписи при проведении транзакции. Однако для начала уточним: если вы подписываете транзакции с помощью экрана ПК, технически это можно считать слепой подписью.

Допустим, вы проводите транзакцию с помощью софтверного кошелька. Поскольку экран вашего смартфона или ПК подключён к интернету, его содержимое можно взломать. То есть по сути экран отображает информацию для подписи, которой нельзя полностью доверять. Всё же всегда есть вероятность того, что хакеры добрались до вашего экрана, и теперь он запрашивает подпись совершенно не для тех данных, которые показывает. А значит подтверждение такой транзакции будет считаться «слепой подписью», поскольку вы одобряете что-то исключительно на доверии.

Смысл использования аппаратных кошельков по типу Ledger Nano заключается как раз в устранении этого слабого места. Аппаратные кошельки — это безопасная среда без доступа к интернету, из-за чего до них не могут добраться хакеры. А значит экраны таких устройств показывают лишь актуальные и правдивые данные по каждой транзакции. Соответственно, в таком случае пользователь будет точно знать, на какие условия при подписи транзакции он соглашается.

Всё верно: экраны аппаратных кошельков Ledger Nano отображают детали каждой транзакции. Однако происходит это лишь тогда, когда эти данные доступны — а подобное бывает не всегда.

Представим, что вы знакомы с основами безопасности криптоактивов. Вы проводите операцию по обмену монет с помощью аппаратного кошелька Ledger в паре с софтверным кошельком, который подключён к децентрализованному приложению. 

Как уже было отмечено выше, большинство софтверных кошельков, выполняющих роль промежуточного ПО между вашим устройством и децентрализованным приложением, неспособно извлечь все данные о транзакции из смарт-контракта.. То есть даже несмотря на использование устройства Ledger для одобрения и проведения транзакции, аппаратный кошелёк не сможет отобразить все её детали.  Причина здесь заключается в промежуточном ПО, которое банально не в состоянии передать необходимые данные.

Вместо этого устройство отобразит надпись «Data Present» (Данные есть). При этом увидеть нужную информацию по типу разновидности транзакции, курса монеты, адреса получателя и прочего возможности не будет. Вот как это выглядит:

Поскольку деталей смарт-контракта мы не видим, подтверждать транзакцию в данном случае придётся исключительно на доверии. Это и называется «слепая подпись».

С учётом вышесказанного можно понять, что слепая подпись – это очень опасная затея, однако многие пользователи криптовалют всё равно ей грешат. Понять их нетрудно, ведь обычно люди даже не читают пользовательские соглашения на различных платформах. Вывод одназначен: при принятии подобных решений чаще всего учитывается репутация стороны, с которой мы взаимодействуем.

Новые мошеннические схемы при помощи слепой подписи

Сегодня криптовалюты становятся всё более популярными, из-за чего многие люди знакомятся с основами их безопасного хранения. На фоне этого у мошенников остаётся меньше вариантов для кражи ваших криптоактивов. Поэтому они не идут напролом, а надеются на вашу помощь в ограблении.

Ярким примером подобного являются раздачи NFT-токенов на не особо популярных сайтах. Всё же сейчас NFT в тренде, и подобные раздачи созданы для его использования. Однако прежде чем предоставлять слепую подпись для подобных подарков, обязательно задайтесь важными вопросами. Если это непопулярная команда, можно ли верить её представителям? И действительно ли подпись транзакции предоставит доступ к NFT, или же она может навредить?

Переписка на различных платформах — ещё один источник риска. Для иллюстрацию этого вспомним недавнюю историю с мошенниками, которые выдавали себя за технических сотрудников платформы OpenSea в Discord. В частности, они связались с опытным коллекционером NFT-токенов, которому требовалась техническая помощь. Разговор шёл об учётной записи пользователя, причём последний действительно поверил в то, что имеет дело с техподдержкой. По ходу беседы скамеры попросили инвестора одобрить транзакцию с помощью его аппаратного кошелька Ledger Nano, при этом детали контракта были скрыты. В итоге он подтвердил транзакцию, которая на самом деле предоставляла доступ к его хранилищу криптоактивов. Ну а представители «техподдержки» оказались мошенниками, причём схему они продумали заранее.

Это один из примеров того, как опытный пользователь криптовалют может попасть в ловушку в повседневной жизни.

Не доверяйте — проверяйте

Все подобные схемы обмана завязаны на cоциальной инженерии. В целом мошенники стараются создать атмосферу непринуждённости и доверия, чтобы будущая жертва ослабила бдительность. В приведённом примере коллекционер NFT-токенов подписал транзакцию вслепую, поскольку доверял собеседникам и действительно видел в них представителей торговой платформы.

Подобные разновидности скамов с последующей кражей криптовалют становятся всё более распространёнными. Причиной этого стали высокие темпы развития криптоиндустрии, которые сделали слепую подпись негласной нормой. Но теперь пора это исправить.

Как использовать децентрализованные приложения без рисков?

Главная миссия Ledger — обеспечить полную прозрачность и безопасность каждой вашей транзакции. Это значит, что вы сможете ознакомиться с данными контракта при подписи каждого сообщения на аппаратном кошельке. Последнее обновление устройств Ledger как раз гарантирует прозрачную подпись в каждом интегрированном децентрализованном приложении. Благодаря этому уязвимость ликвидируется, а криптоактивы пользователей защищаются куда надёжнее.

Обновление аппаратных кошельков Ledger состоит из двух важных улучшений. Прежде всего, теперь устройства Nano могут читать и отображать данные смарт-контрактов многих децентрализованных приложений. Вдобавок недавний запуск Каталога приложений в рамках Ledger Live открывает доступ ко многим децентрализованным приложениям и DeFi-платформам. А значит взаимодействие с ними будет проводиться внутри экосистемы Ledger в полной безопасности.

Самое время сделать слепую подпись частью прошлого.

Для примера взглянем на транзакцию в рамках децентрализованной биржи ParaSwap.

Как показано выше, вместо старой надписи «Data Present» (Данные есть) теперь устройство Nano предоставляет полную информацию о транзакции, которая вдобавок защищена невзламываемым экраном. А значит подтверждать транзакцию на доверии больше не придётся.

Новых интеграций с Ledger становится всё больше. На фоне этого Каталог приложений от Ledger превращается в наиболее безопасное место для взаимодействия с децентрализованными приложениями.

А что если децентрализованное приложение не интегрировано?

Ledger Live — платформа с открытым исходным кодом. Это значит, что вы можете создать собственный плагин для взаимодействия с приложением по собственной инициативе, благодаря чему пользователи Ledger Live будут в состоянии подписывать транзакции осознанно, а не вслепую. И этим явно стоит заняться.

Пока с Ledger Live интегрированы не все децентрализованные приложения, некоторые транзакции по-прежнему нуждаются в использовании кошельков-посредников. А значит в случае использования промежуточного ПО между вашим устройством и децентрализованным приложением от вас может вновь потребоваться слепая подпись. И хотя это не лучшая перспектива, обезопасить свои криптоактивы и снизить риск их кражи всё же реально. Вот ключевые рекомендации:

• Не используйте незнакомые децентрализованные приложения и всегда перепроверяйте их подлинность.
  
• Относитесь с опаской к сообщениям в социальных сетях и мессенджерах. Всё же если незнакомец активно пытается с вами связаться, у него могут быть не самые хорошие намерения. Помните, это может быть кто угодно. И ни за что не переходите по полученным ссылкам.

• Какой бы ни была проводимая транзакция, устройство Ledger Nano по-прежнему отвечает за постоянное хранение ваших приватных ключей за пределами интернета. Поэтому его использование гарантирует дополнительный уровень безопасности криптоактивов.

• И, конечно же, никогда не раскрывайте вашу мнемоническую фразу из 24 слов кому-либо, не сохраняйте её на устройствах с интернет-подключением и не вводите её в софтверных кошельках. Напоминаем ещё раз: фразу восстановления с устройства Ledger можно вводить исключительно на устройствах Ledger.

За ваши криптовалюты отвечаете вы

У слепой подписи есть две стороны: прежде всего это технологический пробел, который провоцирует человеческие ошибки. Именно поэтому в данном случае от вас требуется объективный взгляд на происходящее.

Ваш аппаратный кошелёк может быть самым современным и продвинутым в мире, однако последним рубежом защиты ваших криптоактивов являетесь именно вы. Поэтому для повышения безопасности криптоактивов Ledger продолжает расширять Каталог приложений, который позволяет наслаждаться новыми возможностями в мире монет без существенных рисков.

Если вы хотите понимать суть криптовалютных скамов и заодно избежать их, рекомендуем ознакомиться с эпизодом School of Block под названием «Влезаем в шкуру мошенника» (Head of a Scammer).