0

همه چیز در مورد امضای کور (Blind signing)

Blind signing
بازدید 253

امضای کور (Blind signing) یکی از ترفندهایی است که کلاهبرداران برای سرقت دارایی‌های شما استفاده می‌کنند و از جمله روش‌های موذیانه به حساب می‌آید. در این روش، قراردادهای هوشمند استفاده شده در dApps و NFT‌های امروزی شامل جزئیات کلیدی هستند. اما مشکل اینجاست که اکثر کیف پول‌ها نمی‌توانند به طور کامل اطلاعات این قراردادها را استخراج و نمایش دهند و کاربران، بدون آگاهی از جزئیات و شرایط دقیق، آن‌ها را امضا می‌کنند. در واقع، به جای تلاش برای شکستن در، کلاهبرداران با فریب دادن شما تا امضای کور را به آن‌ها بدهید، بر روی اعتماد شما حساب می‌کنند تا برای خودشان راهی باز کنند.

 امضای کور چیست و چگونه کلاهبرداران از امضای کور استفاده می‌کنند.

قبل از بحث درباره نحوه عملکرد دیجیتالی این مفهوم، اجازه دهید از اصول اولیه قلم و کاغذ در دنیای واقعی شروع کنیم. در دنیای واقعی، قراردادها برای اداره روابط ما وجود دارند. برای مثال، یک قرارداد کاری ممکن است شما را ملزم به کار 40 ساعت در هفته کند یا یک اشتراک نتفلیکس باید هر ماه پرداخت شود. وقتی قراردادی را امضا می‌کنید، به واقع موافقت می‌کنید که آنچه در آن ذکر شده را انجام دهید. با امضای خود نشان می‌دهید که شرایط را مشاهده و درک کرده و رضایت خود را برای پایبندی به آنها نشان می‌دهید.

امضای قرارداد دیجیتال

قراردادهای هوشمند، که اساسی برای dApps، NFT و عناصر متعددی از DeFi می‌باشند، نسخه دیجیتالی این مفهوم را ایجاد می‌کنند. برای مثال، فرض کنید می‌خواهید یک مبلغ ارز رمزنگاری شده را از یک وام‌دهنده دریافت کنید و در هر ماه، با پرداخت بهره، آن را بازپرداخت کنید. زمانی که با استفاده از کلید خصوصی خود توافقنامه را تأیید می‌کنید، قرارداد هوشمند را به صورت دیجیتالی امضا می‌کنید.

اما اگر واقعاً نتوانید محتوای قرارداد را مشاهده کنید، چه اتفاقی می‌افتد؟ این سوال ما را به مسئله اصلی می‌رساند. قراردادهای هوشمند مورد استفاده در dApps و NFT‌های امروزی چالشی را برای کیف پول‌های رمزنگاری موجود در نسل کنونی ایجاد کرده‌اند، زیرا کدهای قراردادها (شامل جزئیات کلیدی) را نمی‌توان به طور کامل استخراج و به گونه‌ای نمایش داد که کاربران بتوانند آن را درک کنند. به عبارت دیگر، کیف پول‌ها هنوز با گزینه‌های جدید برای مصرف‌کنندگان در حال بازی می‌کنند.

بیایید یک مثال واقعی را بررسی کنیم تا نشان دهیم چگونه این مسئله بر معاملات شما تأثیر می‌گذارد. فرض کنید که شما یک تراکنش را با استفاده از کامپیوتر خود امضا می‌کنید. اما زمانی که کامپیوتر یا تلفن همراه شما به اینترنت متصل است، در معرض آسیب‌پذیری هک قرار می‌گیرد. این به این معنی است که هیچوقت نمی‌توانید به صحت دقیق جزئیاتی که در حال امضا کردن آن هستید اعتماد کامل کنید و همیشه احتمال وجود دارد که صفحه نمایش شما ممکن است توسط یک هکر تغییر یافته باشد و شما را مجبور به امضای چیزی دیگری کند. بنابراین، با تأیید تراکنش، شما در واقع در معرض “امضای کور” قرار می‌گیرید و معامله را بر اساس اعتماد به تصدیق آن انجام می‌دهید.

به این ترتیب، امضای کور بسیار خطرناک به نظر می‌رسد، اما بیشتر ما مقصر انجام آن هستیم. آخرین باری که قرارداد کاربری را برای یک سرویس جدید که در آن ثبت‌نام کرده‌اید، به طور کامل خوانده‌اید چه زمانی بود؟ واقعیت این است که بسیاری از تصمیمات ما بر اساس شهرت افرادی استوار است که با آنها معامله می‌کنیم.

بنابراین، امضای کور باعث ایجاد انواع جدیدی از تقلب می‌شود!

با ورود کریپتو به جریان اصلی معاملات، تعداد بیشتری از افراد به نحوه ایمن نگه داشتن دارایی‌های خود آموزش می‌بینند و فرصت‌های کمتری برای کلاهبرداران برای دسترسی به دارایی‌های شما وجود دارد. بنابراین، به جای تلاش برای نفوذ به سیستم شما، آنها به شما وابسته‌اند تا راه را برای آنها باز کنید.

یک مثال بارز از این موضوع در دراپ‌های NFT در وب‌سایت‌های کمتر شناخته شده قابل مشاهده است. جذابیت NFT باعث افزایش تقاضا برای این دارایی‌های دیجیتالی شده است و دراپ‌ها برای لذت بردن از این هیجان طراحی شده‌اند. قبل از اینکه امضای کور را برای یک دراپ NFT ارائه دهید، به آن فکر کنید: اگر برندی شناخته شده نباشد، آیا می‌توانید مطمئن شوید که تراکنشی که تأیید می‌کنید همان چیزی است که فکر می‌کنید؟

یک نمونه دیگر از خطرات امضای کور، اظهارات چارلز گویلمت است. پس از حمله اخیر به OpenSea، چارلز گویلمت، مدیر ارشد فناوری لجر، به کاربران درباره خطرات “امضای کور” هشدار داد. او این مفهوم را به عنوان “رضایت یک معامله برای امضای کورکورانه، بدون درک معنای آن” تعریف کرده است.

در یک مصاحبه با Cointelegraph، چارلز گویلمت به مسائل مرتبط با امضای کور اشاره کرد

به عنوان مدیر ارشد فناوری لجر، او بیان می‌کند که برای رضایت از تراکنش‌ها، لازم است یک پیام را برای ارسال به بلاکچین امضا کنید. کاربر تنها فردی است که می‌تواند تراکنش‌ها را با استفاده از کلید خصوصی امضا کند، در حالی که دیگران می‌توانند صحت آن را تأیید کنند. Guillemet می‌گوید: “مشکل این است که این پیام به طور پیش فرض قابل درک نیست. این یک بسته داده دیجیتالی یا payload است.”

گویلمت همچنین توضیح می‌دهد که وقتی انتقال سکه امضا می‌شود، معمولاً توسط یک کیف پول پشتیبانی می‌شود که “payload را به درستی تجزیه می‌کند و قصد آن را نمایش می‌دهد.” با این حال، وقتی به امضای تعاملات پیچیده با قراردادهای هوشمند می‌رسیم، گویلمت می‌گوید که “تجزیه همیشه به درستی پشتیبانی نمی‌شود و شما هیچ گزینه‌ای ندارید جز آنکه بی‌درنگ برای یک معامله‌ای که درک نمی‌کنید، موافقت خود را اعلام کنید.”

آیا امضای کور ایمن است؟

در واقع، این خطرناک است، زیرا ممکن است فکر کنید که یک معامله را امضا می‌کنید تا بخشی از ارزهای خود را به آدرس A منتقل کنید، در حالی که در واقع دارید معامله‌ای را امضا می‌کنید که تمام ارزهای خود را به آدرس B منتقل می‌کند.

این کارشناس امنیتی نمونه‌هایی را نیز بیان کرد که امضای کور منجر به خسارات قابل توجهی شده است. در یک حمله اخیر به OpenSea، کاربران با یک حمله فیشینگ مواجه شدند و حدود 1.7 میلیون دلار ارز غیرقابل تعویض (NFT) را از دست دادند. Guillemet توضیح می‌دهد که در این حادثه، مهاجمان قربانیان خود را فریب داده و آن‌ها را متقاعد کرده‌اند که تمام NFTهای خود را به قیمت 0 ETH بفروشند.

مهاجم فقط به تراکنشی نیاز داشت که می‌گفت “من با خرید این NFTها با 0 ETH موافقم” و سپس این دو پیام را به OpenSea ارسال می‌کرد تا در واقع تراکنش را با مبادله 0 ETH در مقابل تمام NFTهای قربانیان انجام دهد.

وقتی از او پرسیده شد که آیا راه‌حلی برای مسئله امضای کور وجود دارد یا خیر، گویلمت به یک ضرب المثل رمزنگاری قدیمی اشاره کرد: “اعتماد نکن، تأیید کن” و به کاربران رمزارز توصیه کرد: “همیشه تراکنشی را که با امضای آن موافقت می‌کنید، تأیید کنید.” یکی از پیشنهاداتی که توسط متخصص امنیت مطرح شد، استفاده از نمایشگرهای قابل اعتماد برای امضای تراکنش‌ها بود که می‌توان آن‌ها را در کیف پول‌های سخت‌افزاری یافت.

به این پست امتیاز بدید

نظرات کاربران

  •  چنانچه دیدگاهی توهین آمیز باشد و متوجه نویسندگان و سایر کاربران باشد تایید نخواهد شد.
  •  چنانچه دیدگاه شما جنبه ی تبلیغاتی داشته باشد تایید نخواهد شد.
  •  چنانچه از لینک سایر وبسایت ها و یا وبسایت خود در دیدگاه استفاده کرده باشید تایید نخواهد شد.
  •  چنانچه در دیدگاه خود از شماره تماس، ایمیل و آیدی تلگرام استفاده کرده باشید تایید نخواهد شد.
  • چنانچه دیدگاهی بی ارتباط با موضوع آموزش مطرح شود تایید نخواهد شد.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *