После невероятного роста DeFi и dApps в криптосфере пользователи взаимодействуют со смарт-контрактами всё более сложными способами. И мошенники постоянно следят за новыми уязвимостями в процессе транзакций, это, естественно, привело к новому поколению мошенничеств, направленных на то, чтобы лишить вас ваших с трудом заработанных криптоактивов. И их также может быть трудно обнаружить, даже для криптопрофессионала.
Слепая подпись — один из менее известных трюков, используемых мошенниками для кражи ваших активов. Здесь мы объясним, что такое слепое подписание, как мошенничество с подписанием вслепую работает – и расскажем вам, как вы можете всего этого избежать.
Прежде чем обсуждать, как эта концепция работает в цифровом формате, давайте начнём с основ работы с ручкой и бумагой в реальном мире. Существуют контракты, регулирующие наши отношения; будь то трудовой договор, требующий, чтобы вы работали 40 часов в неделю, или подписка, которую необходимо оплачивать каждый месяц. Когда вы подписываете контракт, вы соглашаетесь делать то, что в нём сказано. Подписав, вы указываете, что видели и поняли условия и соглашаетесь соблюдать их.
Подписание цифрового контракта
Смарт-контракты – инфраструктура, которая питает dApps, NFT и многие элементы DeFi, – это цифровая версия этого. Допустим, вы занимаете немного криптовалюты у кредитора, исходя из того, что каждый месяц вы будете возвращать определённую сумму с процентами. Когда вы подтверждаете соглашение с помощью своего закрытого ключа, вы подписываете смарт-контракт в цифровой форме.
Но что, если вы на самом деле не можете увидеть контракт? Это возвращает нас к нашему первоначальному вопросу.
Смарт-контракты, используемые в современных dApps и NFT, создали проблему для текущего поколения крипто-кошельков, поскольку их код, содержащий ключевые детали контракта, не может быть полностью извлечён и отображён на понятном пользователю языке. Другими словами, кошельки всё ещё «играют в догонялки» с новейшими опциями для потребителей.
Что это значит для меня?
Давайте рассмотрим реальный пример, чтобы показать, как это влияет на ваши транзакции. Прежде всего, мы должны начать с уточнения – всякий раз, когда вы подписываете какую-либо транзакцию с помощью экрана своего компьютера, вы технически подписываете вслепую.
Допустим, вы совершаете транзакции только через программный (софтовый) кошелёк: поскольку ваш экран дисплея (компьютер или мобильный телефон) подключен к Интернету, он уязвим для взлома. Это означает, что экрану, показывающему детали того, что вы подписываете, никогда нельзя полностью доверять – всегда есть вероятность, что экран был взломан, чтобы показать ложное отображение, в результате чего вам придётся подписываться за что-то другое. Подтверждая транзакцию, вы, таким образом, “подписываете вслепую” – утверждаете транзакцию на основе доверия.
Смысл использования аппаратного кошелька, такого как Ledger Nano, заключается в устранении этого риска. Поскольку ваш кошелёк служит безопасным, автономным местом, недоступным для хакеров, на его экране всегда будут отображаться истинные детали данной транзакции, чтобы вы точно знали, на что соглашаетесь.
Однако, хотя ваш Nano всегда будет отображать точные данные о транзакциях, это возможно только когда эти сведения будут доступны. И это не всегда так.
Допустим, у вас есть правильные меры безопасности и вы совершаете обмен, используя комбинацию вашего устройства учёта вместе с программным кошельком, который подключает вас к DApp – отлично!
Но, как мы уже упоминали ранее, большинство программных кошельков, т. е. промежуточное программное обеспечение между вашим устройством и DApp, не могут считывать и полностью извлекать элементы смарт-контракта транзакции. Это означает, что, даже если вы используете своё устройство учёта для проверки и завершения транзакции, устройство не сможет показать вам полную информацию, поскольку самому промежуточному программному обеспечению нечего передавать на него.
Вместо этого устройство просто покажет “Данные присутствуют”, в результате чего вы не сможете просмотреть ключевые сведения, такие как действие, цена, адрес получения и т.д., До подтверждения. Вот как это выглядит:
Без подробного описания того, что влечёт за собой этот контракт, единственный вариант здесь — ещё раз проверить вашу транзакцию на основе доверия. Вот почему это называется подписанием вслепую.
Описанное таким образом, слепое подписание кажется довольно рискованным, но большинство из нас виновны в этом; когда вы в последний раз читали пользовательское соглашение для нового сервиса, на который подписались? Дело в том, что мы основываем многие наши решения на репутации того, с кем мы заключаем сделки.
С появлением криптографии в мейнстриме всё больше и больше людей получают знания о том, как обеспечить безопасность своих активов, и у мошенников становится всё меньше возможностей получить доступ к вашим активам. Поэтому вместо того, чтобы пытаться взломать дверь, они полагаются на то, что вы сами откроете её для них.
Ярким примером этого являются падения NFT на менее известных сайтах – мания NFT вызвала огромный спрос на эти цифровые активы, и падения предназначены для того, чтобы играть на этом волнении. Но прежде, чем вы вслепую подпишете отказ от NFT, подумайте – если это не очень известный бренд, можете ли вы быть уверены, что транзакция, которую вы проверяете, является тем, что вы думаете?
Личные сообщения являются ещё одним очагом такого рода угроз. В недавнем инциденте мошенники выдавали себя за технических администраторов OpenSea в Discord. Опытный коллекционер, обратившийся за технической помощью, завёл разговор о своей учётной записи, полагая, что разговаривает с консультантом по обслуживанию. В ходе чата советник попросил его одобрить транзакционный вызов – без указания деталей контракта – с помощью своего Ledger Nano. На самом деле транзакция, которую он проверял, предоставляла доступ к его хранилищу, и советник действительно был мошенником – весь сценарий был инсценировкой для мошенничества.
Это прекрасный пример того, как даже опытный криптопользователь может ошибиться, когда обстоятельства достаточно убедительны.
Вымогательство такого рода — это всё «заслуги» социальной инженерии. Мошенники специализируются на тщательном создании среды, в которой вы доверяете им достаточно, чтобы ослабить свою бдительность – в данном случае жертва доверяла слепой транзакции, потому что думала, что имеет дело с авторитетной службой поддержки. И этот тип мошенничества становится всё более распространенным, потому что сам темп эволюции сделал слепое подписание отраслевой нормой. Пришло время инструментам наверстать упущенное.
Миссия Ledger состоит в том, чтобы обеспечить абсолютную прозрачность и безопасность каждой вашей транзакции – это означает возможность считывать данные вашего контракта каждый раз, когда вы подписываете. Последнее обновление обеспечивает это, предоставляя чёткую подпись для каждого интегрированного приложения DApp. Это устраняет уязвимость, с которой сталкиваются пользователи, чтобы обеспечить максимально безопасную и плавную работу.
В обновлении есть два больших улучшения, которые делают это возможным. Теперь ваш Nano может не только считывать и отображать информацию о смарт-контрактах для целого ряда приложений; недавний запуск нового каталога приложений в Ledger Live позволяет вам получить доступ к ряду DeFi и приложений из системы безопасности вашего устройства Ledger, поэтому вы можете использовать экосистему Ledger в качестве безопасного шлюза для приложений и услуг, которые вам нравятся.
Давайте сделаем слепое подписание делом прошлого!
Посмотрите пример на транзакции ParaSwap:
Как показано в приведённом выше примере, вместо того, чтобы просто показывать “Данные присутствуют”, Nano может отображать полную информацию о транзакциях в рамках абсолютной безопасности своего защищённого дисплея – поэтому вместо того, чтобы доверять, теперь вы можете проверить.
Поскольку постоянно происходят новые интеграции, каталог приложений Ledger является лидером отрасли по обеспечению безопасности dApps.
Действительно, для некоторых транзакций все ещё требуется промежуточный кошелёк. Если вы проверяете транзакции с помощью промежуточных программ, вас всё равно могут попросить подписать вслепую. В этом случае вы всё ещё можете предпринять ряд шагов, чтобы снизить риск мошенничества.
-
Не используйте приложения, о которых вы никогда раньше не слышали, всегда перепроверяйте подлинность.
-
Скептически относитесь к DM (прямым сообщениям) в социальных сетях: если кто-то, кого вы не знаете, активно обращается к вам, подумайте о причинах, почему. Помните, что это может быть кто угодно (не переходите по ссылкам).
-
Независимо от того, какой тип транзакции вы выполняете, Ledger Nano по-прежнему является ценным инструментом для сохранения ваших закрытых ключей в автономном режиме в любое время. Его использование добавляет уровень безопасности ко всем вашим взаимодействиям.
-
Никогда, никогда, никогда не раскрывайте свою фразу восстановления из 24 слов! Ещё раз, для тех «кто отстал», она предназначена ТОЛЬКО для ввода в ВАШЕ устройство. Независимо от того, насколько продвинут ваш кошелёк, вы являетесь последней точкой защиты своих криптоактивов.
При подготовке статьи использовались материалы сайта ledger.com.
Если Вам понравилась эта страничка, расскажите о ней своим друзьям (кнопки социальных сетей — внизу страницы). Также вы можете оставить отзыв или поддержать материально.