عناوینی که در این مقاله می خوانید
امضای کور (Blind signing) یکی از ترفندهایی است که کلاهبرداران برای سرقت داراییهای شما استفاده میکنند و از جمله روشهای موذیانه به حساب میآید. در این روش، قراردادهای هوشمند استفاده شده در dApps و NFTهای امروزی شامل جزئیات کلیدی هستند. اما مشکل اینجاست که اکثر کیف پولها نمیتوانند به طور کامل اطلاعات این قراردادها را استخراج و نمایش دهند و کاربران، بدون آگاهی از جزئیات و شرایط دقیق، آنها را امضا میکنند. در واقع، به جای تلاش برای شکستن در، کلاهبرداران با فریب دادن شما تا امضای کور را به آنها بدهید، بر روی اعتماد شما حساب میکنند تا برای خودشان راهی باز کنند.
امضای کور چیست و چگونه کلاهبرداران از امضای کور استفاده میکنند.
قبل از بحث درباره نحوه عملکرد دیجیتالی این مفهوم، اجازه دهید از اصول اولیه قلم و کاغذ در دنیای واقعی شروع کنیم. در دنیای واقعی، قراردادها برای اداره روابط ما وجود دارند. برای مثال، یک قرارداد کاری ممکن است شما را ملزم به کار 40 ساعت در هفته کند یا یک اشتراک نتفلیکس باید هر ماه پرداخت شود. وقتی قراردادی را امضا میکنید، به واقع موافقت میکنید که آنچه در آن ذکر شده را انجام دهید. با امضای خود نشان میدهید که شرایط را مشاهده و درک کرده و رضایت خود را برای پایبندی به آنها نشان میدهید.
امضای قرارداد دیجیتال
قراردادهای هوشمند، که اساسی برای dApps، NFT و عناصر متعددی از DeFi میباشند، نسخه دیجیتالی این مفهوم را ایجاد میکنند. برای مثال، فرض کنید میخواهید یک مبلغ ارز رمزنگاری شده را از یک وامدهنده دریافت کنید و در هر ماه، با پرداخت بهره، آن را بازپرداخت کنید. زمانی که با استفاده از کلید خصوصی خود توافقنامه را تأیید میکنید، قرارداد هوشمند را به صورت دیجیتالی امضا میکنید.
اما اگر واقعاً نتوانید محتوای قرارداد را مشاهده کنید، چه اتفاقی میافتد؟ این سوال ما را به مسئله اصلی میرساند. قراردادهای هوشمند مورد استفاده در dApps و NFTهای امروزی چالشی را برای کیف پولهای رمزنگاری موجود در نسل کنونی ایجاد کردهاند، زیرا کدهای قراردادها (شامل جزئیات کلیدی) را نمیتوان به طور کامل استخراج و به گونهای نمایش داد که کاربران بتوانند آن را درک کنند. به عبارت دیگر، کیف پولها هنوز با گزینههای جدید برای مصرفکنندگان در حال بازی میکنند.
بیایید یک مثال واقعی را بررسی کنیم تا نشان دهیم چگونه این مسئله بر معاملات شما تأثیر میگذارد. فرض کنید که شما یک تراکنش را با استفاده از کامپیوتر خود امضا میکنید. اما زمانی که کامپیوتر یا تلفن همراه شما به اینترنت متصل است، در معرض آسیبپذیری هک قرار میگیرد. این به این معنی است که هیچوقت نمیتوانید به صحت دقیق جزئیاتی که در حال امضا کردن آن هستید اعتماد کامل کنید و همیشه احتمال وجود دارد که صفحه نمایش شما ممکن است توسط یک هکر تغییر یافته باشد و شما را مجبور به امضای چیزی دیگری کند. بنابراین، با تأیید تراکنش، شما در واقع در معرض “امضای کور” قرار میگیرید و معامله را بر اساس اعتماد به تصدیق آن انجام میدهید.
به این ترتیب، امضای کور بسیار خطرناک به نظر میرسد، اما بیشتر ما مقصر انجام آن هستیم. آخرین باری که قرارداد کاربری را برای یک سرویس جدید که در آن ثبتنام کردهاید، به طور کامل خواندهاید چه زمانی بود؟ واقعیت این است که بسیاری از تصمیمات ما بر اساس شهرت افرادی استوار است که با آنها معامله میکنیم.
بنابراین، امضای کور باعث ایجاد انواع جدیدی از تقلب میشود!
با ورود کریپتو به جریان اصلی معاملات، تعداد بیشتری از افراد به نحوه ایمن نگه داشتن داراییهای خود آموزش میبینند و فرصتهای کمتری برای کلاهبرداران برای دسترسی به داراییهای شما وجود دارد. بنابراین، به جای تلاش برای نفوذ به سیستم شما، آنها به شما وابستهاند تا راه را برای آنها باز کنید.
یک مثال بارز از این موضوع در دراپهای NFT در وبسایتهای کمتر شناخته شده قابل مشاهده است. جذابیت NFT باعث افزایش تقاضا برای این داراییهای دیجیتالی شده است و دراپها برای لذت بردن از این هیجان طراحی شدهاند. قبل از اینکه امضای کور را برای یک دراپ NFT ارائه دهید، به آن فکر کنید: اگر برندی شناخته شده نباشد، آیا میتوانید مطمئن شوید که تراکنشی که تأیید میکنید همان چیزی است که فکر میکنید؟
یک نمونه دیگر از خطرات امضای کور، اظهارات چارلز گویلمت است. پس از حمله اخیر به OpenSea، چارلز گویلمت، مدیر ارشد فناوری لجر، به کاربران درباره خطرات “امضای کور” هشدار داد. او این مفهوم را به عنوان “رضایت یک معامله برای امضای کورکورانه، بدون درک معنای آن” تعریف کرده است.
در یک مصاحبه با Cointelegraph، چارلز گویلمت به مسائل مرتبط با امضای کور اشاره کرد
به عنوان مدیر ارشد فناوری لجر، او بیان میکند که برای رضایت از تراکنشها، لازم است یک پیام را برای ارسال به بلاکچین امضا کنید. کاربر تنها فردی است که میتواند تراکنشها را با استفاده از کلید خصوصی امضا کند، در حالی که دیگران میتوانند صحت آن را تأیید کنند. Guillemet میگوید: “مشکل این است که این پیام به طور پیش فرض قابل درک نیست. این یک بسته داده دیجیتالی یا payload است.”
گویلمت همچنین توضیح میدهد که وقتی انتقال سکه امضا میشود، معمولاً توسط یک کیف پول پشتیبانی میشود که “payload را به درستی تجزیه میکند و قصد آن را نمایش میدهد.” با این حال، وقتی به امضای تعاملات پیچیده با قراردادهای هوشمند میرسیم، گویلمت میگوید که “تجزیه همیشه به درستی پشتیبانی نمیشود و شما هیچ گزینهای ندارید جز آنکه بیدرنگ برای یک معاملهای که درک نمیکنید، موافقت خود را اعلام کنید.”
آیا امضای کور ایمن است؟
در واقع، این خطرناک است، زیرا ممکن است فکر کنید که یک معامله را امضا میکنید تا بخشی از ارزهای خود را به آدرس A منتقل کنید، در حالی که در واقع دارید معاملهای را امضا میکنید که تمام ارزهای خود را به آدرس B منتقل میکند.
این کارشناس امنیتی نمونههایی را نیز بیان کرد که امضای کور منجر به خسارات قابل توجهی شده است. در یک حمله اخیر به OpenSea، کاربران با یک حمله فیشینگ مواجه شدند و حدود 1.7 میلیون دلار ارز غیرقابل تعویض (NFT) را از دست دادند. Guillemet توضیح میدهد که در این حادثه، مهاجمان قربانیان خود را فریب داده و آنها را متقاعد کردهاند که تمام NFTهای خود را به قیمت 0 ETH بفروشند.
مهاجم فقط به تراکنشی نیاز داشت که میگفت “من با خرید این NFTها با 0 ETH موافقم” و سپس این دو پیام را به OpenSea ارسال میکرد تا در واقع تراکنش را با مبادله 0 ETH در مقابل تمام NFTهای قربانیان انجام دهد.
وقتی از او پرسیده شد که آیا راهحلی برای مسئله امضای کور وجود دارد یا خیر، گویلمت به یک ضرب المثل رمزنگاری قدیمی اشاره کرد: “اعتماد نکن، تأیید کن” و به کاربران رمزارز توصیه کرد: “همیشه تراکنشی را که با امضای آن موافقت میکنید، تأیید کنید.” یکی از پیشنهاداتی که توسط متخصص امنیت مطرح شد، استفاده از نمایشگرهای قابل اعتماد برای امضای تراکنشها بود که میتوان آنها را در کیف پولهای سختافزاری یافت.
نظرات کاربران