加密货币最致命的弱点? 盲签名解读

5月 12, 2022
7 min
进阶
要点总结:
– 随着去中心化金融和 NFT 去中心化应用程序的飞速发展,用户与智能合约的交互方式也变得越发复杂。 诈骗者总是在寻找新的漏洞。
盲签名就是诈骗者用来窃取用户资产的新型骗局之一。
– 目前去中心化应用程序和 NFT 使用的智能合约对当前一代加密钱包构成了挑战,因为加密钱包无法完全提取和显示此类智能合约的代码(包含关键合约详情),导致用户只能在不了解所签署内容的情况下进行签名。
– 加密货币逐渐融入主流,越来越多人开始了解有关如何保护资产安全的知识,诈骗者骗取用户资产的机会也越来越少。 因此,他们不再试图强行攻破,而是通过诱使您进行盲签名来帮助他们破解。
– Ledger 的使命是确保每一笔交易绝对透明且安全,也就是说让您在每次签名时都能查阅合约数据。 为此,我们的最新升级将对所有集成的去中心化应用程序采用透明签名。
虽然尚未纳入 Ledger Live 的去中心化应用程序仍然需要盲签名,但您可以按照这些步骤安全地进行盲签名。

如果您听说过盲签名,但还不确定它的含义,那么不用再看别处了。 接下来,我们将为您解读这个概念。

如果您正在阅读本文,相信您已经知道,加密货币是当下的热门资产。 无论您拥有的是币、代币还是 NFT,确保资产安全都能让我们自己从中受益。 您会说,“我知道!”。 决不能与任何人分享我的私钥或恢复短语。 嗯,没错,但这并不是全部。

随着加密圈内去中心化金融和去中心化应用程序的飞速发展,用户与智能合约的交互方式也变得越发复杂。 诈骗者 一直在寻找交易过程中的新漏洞,自然而然他们就会想出以骗取您辛苦赚来的加密资产为目的的新一代骗局。 诈骗者 骗局很难被识破,即使对于加密专家来说也颇具挑战。

盲签名就是诈骗者用来窃取用户资产的新型骗局之一。 接下来,我们将解释什么是盲签名, 盲签名诈骗的运作方式,以及您该如何避免陷入其中。

什么是盲签名?

在讨论盲签名的数字化运作方式之前,我们先说说现实世界中用笔和纸签署的基础概念。 我们有管理双方关系的合同;无论是要求每周工作 40 小时的雇佣合同,还是需要每月支付的 Netflix 订阅,您签署合同,就代表您同意按照合同条款执行。 签署合同, 即表明您已经阅读并理解这些条件,也同意遵守这些条件。

签署数字合同

智能合约 是合同的数字版本,也是为去中心化应用程序、NFT 以及去中心化金融的各项要素提供支持的基础设施。 假设您从贷方借了一些加密货币,每个月您需要连本带利以固定金额偿还这些加密货币。 您在使用私钥核实协议时,其实就是在对智能合约进行数字签名。

但是,如果您实际上看不到合同呢? 让我们再说回最初的问题。 

目前去中心化应用程序和 NFT 使用的智能合约对当前一代加密钱包构成了挑战,因为加密钱包无法以用户理解的语言完全提取和显示这类智能合约的代码(包含关键合约详情)。 换句话说,钱包仍在紧紧追赶消费者的最新选择。

那么这对我有何影响?

让我们通过一个真实案例来说明这对您的交易有何影响。 首先,我们要明确一点,无论何时使用计算机屏幕签署任何交易,从技术上讲,都属于盲签名。

假设您只通过软钱包进行交易:您的(计算机或手机)显示屏已连接到互联网,因此显示屏很容易受到黑客攻击. 也就是说,您在任何情况下都不应完全信任显示您所签署的详细内容的屏幕,因为屏幕始终有可能受到黑客攻击并显示错误信息,误导您去签署其他内容。 一旦确认交易,您就完成了“盲签名”,基于信任批准了这项交易。

使用 Ledger Nano 等硬件钱包的目的就是要杜绝这类风险。 您的钱包保持离线状态,是黑客无法侵入的安全空间,所以钱包屏幕会始终显示特定交易的真实详情。 这就是我们的“可信任显示屏”在确保您清楚了解您要同意的具体内容方面非常重要的原因。

尽管 Nano 钱包会始终显示准确的交易详情,但是它只有在能够掌握详情时才能正确显示。不过实际情况并非总是如此。

假设您采取了正确的安全保护措施,您正在同时使用 Ledger 设备以及连接到去中心化应用程序的软钱包进行互换 – 很棒! 

但是我们之前提到过,大多数软件钱包(即您的设备和去中心化应用程序之间的中间件)无法读取并完全提取交易的智能合约要素. 这意味着,即使您使用 Ledger 设备验证并完成交易,设备也无法向您显示完整交易详情, 因为中间件本身没有可以传输的信息。

在这种情况下,设备只会显示“Data Present”(数据展现),您无法在确认之前查看关键交易详情,例如操作、价格、接收地址等。 看起来是这样的:

由于没有合约的详细内容,您的唯一选择只能是再次基于信任核实您的交易。 因此它被称为盲签名

这样看来,盲签名存在极大风险,但我们大多数人都犯过这样的错误;您最后一次阅读签署新服务的用户协议是什么时候? 我们做出的许多决策其实是依据交易对象的声誉。

盲签名引发新型欺诈

加密货币逐渐融入主流,越来越多人开始了解有关如何保护资产安全的知识,诈骗者骗取用户资产的机会也越来越少。 因此,他们不再试图强行攻破,而是利用您来帮助他们破解。

不知名网站上的 NFT 项目发布就是典型的例子,NFT 热潮让人们对这类数字资产产生巨大需求,而 NFT 项目发布就是在利用这种狂热心情。 但是为 NFT 项目发布进行盲签名之前,请想一想,如果这个品牌鲜有人知,您能确定正在核实的交易就是您本要达成的交易吗?

私信也存在着这类风险。 最近有一起事件,诈骗者在 Discord 上冒充 OpenSea 技术管理员。 一位经验丰富的收藏家需要技术帮助,随后他开始与自称服务顾问的诈骗者讨论自己的账户。 在聊天过程中,顾问要求他使用 Ledger Nano 批准交易调用,但并未提供任何合约详情。 实际上,他当时验证的交易是提供保险库的访问权限,而顾问的真实身份是诈骗者,因此整个场景不过是一场骗局。

这个例子足以说明,只要情景足够令人信服,即使是经验丰富的加密货币用户也会犯错。

不要轻信 – 要核实

这种性质的诈骗都是在利用社会工程学。 诈骗者精心营造出一种让您信任他们并放松警惕的环境 – 在这种情况下,受害者会认为对方是信誉良好的服务台工作人员,并在信任的基础上进行盲签名交易。

加密货币行业的发展速度之快使盲签名成为了业界常态,这类骗局也因此越来越普遍。 是时候让我们的设备发挥作用了。

如何才能安心使用去中心化应用程序?

Ledger 的使命是确保每一笔交易绝对透明且安全,也就是说让您在每次签名时都能查阅您的合约数据。 为此,我们的最新升级将对所有集成的去中心化应用程序采用透明签名。 这种方法可以消除漏洞风险,营造最安全流畅的用户体验。

为了实现这一目标,此次升级在两个方面做出了重大改进。 您的 Nano 设备现在可以读取和显示一系列去中心化应用程序的智能合约信息;不仅如此,我们最近在 Ledger Live 上推出的应用目录可以让您在 Ledger 设备的安全保障下使用各种去中心化金融和去中心化应用程序,这样一来,您就可以将 Ledger 生态系统作为您常用的去中心化应用程序和服务的安全门户。

让盲签名成为过去式!

看看下面这个 ParaSwap 交易,它对您意味着什么:

如上例所示,Nano 可在绝对安全的环境下通过“可信任显示屏”显示完整的交易详情,而不只是显示“Data Present”(数据展现),因此您现在只需要核实交易,不必再信任交易。

随着集成的新应用不断增加,Ledger 的应用目录也在去中心化应用程序安全性方面成为了行业领军者。

如果我需要的去中心化应用程序没有集成怎么办?

Ledger Live 是一个开放的开源平台,无论是什么项目,您都可以自行编写插件,使其兼容 Ledger Live,并允许您的用户进行透明签名。 还等什么呢?行动起来吧!

与此同时,虽然我们的集成在不断扩展,但我们也知道,有些交易仍然需要中介钱包。 如果您通过中间件核实交易,那么您可能仍需要进行盲签名。 如果是这种情况,您也可以采取一些措施来降低受骗的风险。

  • 不要使用您从未听说过的去中心化应用程序,请务必仔细检查应用程序的真实性。
  • 对社交媒体上的私信持怀疑态度:如果有不认识的人主动联系您,先考虑一下原因。 请记住,这个人可能是任何人(不要点击任何链接)。
  • 无论您进行哪种类型的交易,Ledger Nano 始终是确保您的私钥保持离线状态的重要工具。 使用 Nano 可为各种交互操作增加一重安全保障。
  • 还有,决不要向任何人透露您的恢复短语,也不要将它保存在联网设备上或输入软件钱包中,只可以在您的 Ledger 设备上输入 Ledger 恢复短语,请一定要记住!

您的资产守护者是您自己

盲签名有两个要素:它是一种技术漏洞,会导致人为错误。 因此您自己的理性判断至关重要。

无论钱包技术有多先进,您始终是加密资产的最后一道防线。 不过有了 Ledger 的帮助,您就可以仔细检查交易的每个细节,避免潜在的受骗风险,我们不断扩充的应用目录也能让您享受到加密货币带来的众多新选择。

如需了解加密货币骗局以及如何避免受骗 – 请观看我们的区块学校视频,了解诈骗者的套路



联系我们

可以在我们的博客查看公告。 媒体联系:
[email protected]

订阅我们的
简报

在收件箱中直接查看支持的新币种、博客更新以及专属优惠