بزرگترین نقطه ضعف کریپتو؟ امضای کور، توضیح داده شد

متوسط
29 سپتامبر 2021
· 7 دقیقه خواندن

اگر در مورد امضای نابینا شنیده اید، اما مطمئن نیستید که به چه معناست، پس به دنبال آن نباشید. در اینجا مفهوم را توضیح می دهیم.

اگر در حال خواندن این مطلب هستید، از قبل می‌دانید که رمزارز یک ویژگی داغ است. چه چیزی شما سکه باشد، چه توکن یا NFT، همه ما به حفظ امنیت دارایی خود علاقه مندیم. “میدانم!” تو بگو. هرگز کلیدهای خصوصی من را ندهید یا عبارت بازیابی خود را با کسی به اشتراک نگذارید. خوب این درست است، اما این پایان داستان نیست.

به دنبال افزایش باورنکردنی DeFi و dApps در کریپتوسفر، کاربران به روش‌های پیچیده‌تری با قراردادهای هوشمند تعامل دارند. و کلاهبرداران همیشه فعال هستند با توجه به آسیب‌پذیری‌های جدید در فرآیند تراکنش، این امر به طور طبیعی منجر به نسل جدیدی از کلاهبرداری‌ها شده است که برای جدا کردن شما از دارایی‌های رمزنگاری سخت به دست آمده‌تان طراحی شده‌اند. و همچنین تشخیص آنها سخت است ، حتی برای یک متخصص کریپتو.

امضای کور یکی از ترفندهای کمتر شناخته شده ای است که توسط کلاهبرداران برای سرقت دارایی های شما مورد استفاده قرار می گیرد. در اینجا، ما توضیح خواهیم داد که امضای کور چیست، چگونه کلاهبرداری های امضای کور کار می کنند – و به شما خواهیم گفت که چگونه می توانید از آنها اجتناب کنید.

امضای کور چیست؟

قبل از بحث درباره نحوه عملکرد دیجیتالی این مفهوم، اجازه دهید از اصول اولیه قلم و کاغذ دنیای واقعی شروع کنیم. قراردادها برای اداره روابط ما وجود دارد. چه یک قرارداد کاری که شما را ملزم به 40 ساعت کار در هفته می کند یا یک اشتراک نتفلیکس که باید هر ماه پرداخت شود، وقتی قراردادی را امضا می کنید، موافقت می کنید که آنچه را که می گوید انجام دهید. با امضا کردن، شما نشان می دهید که شرایط را دیده و درک کرده اید و رضایت خود را برای التزام به آنها دارید.

امضا قرارداد دیجیتال

قراردادهای هوشمند – زیرساختی که dApps، NFT و بسیاری از عناصر DeFi را تقویت می کند – نسخه دیجیتالی این است. فرض کنید مقداری ارز دیجیتال از یک وام دهنده قرض می‌گیرید، بر این اساس که هر ماه مبلغ مشخصی را با بهره پس می‌گیرید. وقتی موافقت نامه را با استفاده از کلید خصوصی خود تأیید می کنید، قرارداد هوشمند را به صورت دیجیتالی امضا می کنید.

اما اگر واقعاً نتوانید قرارداد را ببینید چه می‌شود؟ این ما را به سؤال اصلی خود بازمی‌گرداند.

قراردادهای هوشمند مورد استفاده در dAppها و NFTهای امروزی چالشی را برای نسل فعلی کیف پولهای رمزنگاری ایجاد کرده است زیرا کد آنها – حاوی جزئیات قراردادهای کلیدی – نمی تواند به طور کامل استخراج و به زبانی نمایش داده شود که کاربر می خواهد نشان دهد. فهمیدن. به عبارت دیگر، کیف پول‌ها همچنان با جدیدترین گزینه‌ها برای مصرف‌کنندگان بازی می‌کنند.

پس این چگونه به دنبال من است؟

بیایید به یک مثال واقعی نگاه کنیم تا نشان دهیم که چگونه این امر بر تراکنش‌های شما تأثیر می‌گذارد. اول از همه، ما باید با توضیح شروع کنیم – هر زمان که هر تراکنشی را با استفاده از صفحه رایانه خود امضا می کنید، از نظر فنی امضا نمی کنید.

مثلاً فقط از طریق یک کیف پول نرم تراکنش انجام می دهید: از آنجایی که صفحه نمایش شما (رایانه یا تلفن همراه) به اینترنت متصل است، در برابر هک آسیب پذیر است. این بدان معناست که هرگز نمی توان به صفحه نمایش جزئیات آنچه امضا می کنید کاملاً اعتماد کرد – همیشه این احتمال وجود دارد که صفحه نمایش برای نشان دادن نمایشگر نادرست هک شده باشد و شما را مجبور به امضای چیز دیگری کند. بنابراین، با تأیید تراکنش، شما «امضای کور» هستید – معامله را بر اساس اعتماد تأیید می‌کنید.

هدف استفاده از کیف پول سخت افزاری مانند Ledger Nano حذف این خطر است. از آنجایی که کیف پول شما به عنوان یک مکان امن و آفلاین عمل می کند که برای هکرها غیرقابل نفوذ است، صفحه آن همیشه جزئیات واقعی یک معامله را نشان می دهد. به همین دلیل است که “نمایشگر مورد اعتماد” ما برای اطمینان از اینکه دقیقاً با چه چیزی موافقت می کنید بسیار ارزشمند است.

با این حال، اگرچه Nano شما همیشه جزئیات دقیق تراکنش را نشان می‌دهد، این تنها زمانی امکان‌پذیر است که این جزئیات در دسترس باشند. و همیشه اینطور نیست.

فرض کنید اقدامات امنیتی مناسبی را انجام داده اید و با استفاده از ترکیبی از دستگاه Ledger خود و کیف پول نرمی که شما را به dApp متصل می کند، مبادله ای انجام می دهید – کار خوبی است!

اما همانطور که قبلاً اشاره کردیم اکثر کیف پول های نرم افزاری یعنی میان افزار بین دستگاه شما و dApp قادر به خواندن و استخراج کامل عناصر قرارداد هوشمند معامله نیستند. این بدان معناست که، حتی اگر از دستگاه Ledger خود برای تأیید و تکمیل تراکنش استفاده کنید، دستگاه نمی‌تواند جزئیات کامل را به شما نشان دهد –  زیرا خود میان‌افزار چیزی برای انتقال به آن ندارد.

در عوض، دستگاه به سادگی «داده‌های موجود» را نشان می‌دهد، و شما نمی‌توانید جزئیات کلیدی مانند اقدام، قیمت، آدرس دریافت و غیره را قبل از تأیید مشاهده کنید. به این صورت است:

بدون هیچ جزئیاتی از آنچه این قرارداد مستلزم آن است، تنها گزینه در اینجا این است که یک بار دیگر تراکنش خود را بر اساس اعتماد تأیید کنید. به همین دلیل است که به آن امضای کور

می‌گویند

که به این شکل توصیف می‌شود، امضای کور بسیار خطرناک به نظر می‌رسد، اما اکثر ما در انجام آن مقصریم. آخرین باری که قرارداد کاربر را برای سرویس جدیدی که در آن ثبت نام کرده اید خوانده اید، چه زمانی بوده است؟ واقعیت این است که ما بسیاری از تصمیمات خود را بر اساس شهرت افرادی که با آنها معامله می کنیم استوار است.

امضای کور باعث ایجاد انواع جدیدی از تقلب می شود

با ورود کریپتو به جریان اصلی، افراد بیشتری در مورد نحوه ایمن نگه داشتن دارایی های خود آموزش می بینند و فرصت های کمتری برای کلاهبرداران برای دسترسی به دارایی های شما وجود دارد. بنابراین به جای تلاش برای شکستن در – آنها به شما متکی هستند تا در را برای آنها باز کنید.

نمونه بارز این کاهش NFT در وب‌سایت‌های کمتر شناخته شده است – شیدایی NFT باعث تقاضای زیادی برای این دارایی‌های دیجیتال شده است، و قطره‌ها برای بازی کردن با این هیجان طراحی شده‌اند. اما قبل از اینکه یک امضای کور برای کاهش NFT بدهید، فکر کنید – اگر برند معروفی نیست، آیا می‌توانید مطمئن شوید که تراکنشی که تأیید می‌کنید همان چیزی است که فکر می‌کنید؟

پیام های خصوصی بستر دیگری برای این نوع تهدید هستند. در یک حادثه اخیر، کلاهبرداران به عنوان مدیران فناوری OpenSea در Discord ظاهر شدند. یک کلکسیونر باتجربه که به دنبال کمک فنی است، با این باور که با یک مشاور خدماتی صحبت می کند، صحبتی را درباره حساب خود آغاز کرد. در جریان گفتگو، مشاور از او خواست تا با استفاده از Ledger Nano، یک تماس تراکنش را تایید کند – بدون اینکه جزئیات قرارداد را نشان دهد. در واقع، تراکنشی که او تأیید می‌کرد، دسترسی به خزانه‌اش را فراهم می‌کرد، و مشاور واقعاً یک کلاهبرداری بود – کل سناریو صحنه‌سازی برای یک کلاهبرداری بود.

این یک مثال عالی از این است که چگونه حتی یک کاربر باتجربه رمزارز می‌تواند اشتباه کند، در حالی که شرایط به اندازه کافی متقاعد کننده است.

اعتماد نکنید – تأیید کنید

راکت هایی با این ماهیت همه در مورد مهندسی اجتماعی هستند. کلاهبرداران در ایجاد محیطی که در آن به اندازه کافی به آنها اعتماد دارید تخصص دارند – در این مثال، قربانی به یک معامله کور اعتماد کرد زیرا فکر می کرد با یک میز کمک معتبر سروکار دارد.

و این نوع کلاهبرداری بسیار رایج تر می شود، زیرا سرعت بسیار زیاد تکامل، امضای کورکورانه را به یک هنجار صنعتی تبدیل کرده است. وقت آن است که ابزارها به کار خود برسند.

چگونه می توانم با خیال راحت از dApps استفاده کنم؟

در Ledger، مأموریت ما ایجاد شفافیت و امنیت کامل برای هر یک از تراکنش‌های شماست – این بدان معناست که هر بار که امضا می‌کنید قادر به خواندن اطلاعات قرارداد خود باشید. آخرین ارتقای ما با ارائه امضای واضح برای هر dApp یکپارچه به آن دست می یابد. این آسیب‌پذیری کاربران را از بین می‌برد تا امن‌ترین و روان‌ترین تجربه ممکن را به ارمغان بیاورد.

ارتقاء ما شاهد دو پیشرفت بزرگ است که این امر را ممکن می‌سازد. اکنون نانو شما نه تنها می تواند اطلاعات قرارداد هوشمند را برای طیف وسیعی از dApps بخواند و نمایش دهد. راه‌اندازی اخیر کاتالوگ برنامه ما در Ledger Live به شما امکان می‌دهد به تعدادی از DeFi و dApps از داخل امنیت دستگاه Ledger خود دسترسی داشته باشید، بنابراین می‌توانید از اکوسیستم Ledger به عنوان دروازه‌ای امن برای dApps و سرویس‌های مورد علاقه خود استفاده کنید.

بیایید امضای کورکورانه را به گذشته تبدیل کنیم!

به ParaSwap تراکنش برای نشان دادن معنای این کار برای شما:

همانطور که در مثال بالا نشان داده شده است، نانو به جای اینکه به سادگی “Data Present” را نشان دهد، می تواند جزئیات کامل تراکنش را در امنیت مطلق نمایشگر مورد اعتماد خود نشان دهد – بنابراین به جای اعتماد، اکنون می توانید تأیید کنید.

با ادغام‌های جدید که دائماً اتفاق می‌افتد، کاتالوگ برنامه در صنعت امنیت dApps پیشرو است.

اگر dApp مورد نیاز من یکپارچه نباشد چه؟

از آنجایی که Ledger Live یک پلتفرم منبع باز و باز است – بدون توجه به پروژه، می توانید افزونه خود را بنویسید تا آن را با Ledger Live سازگار کنید و به کاربران خود اجازه دهید علامت را پاک کنند. پس چرا صبر کنیم؟

در همین حال، در حالی که ادغام‌های ما گسترش می‌یابد، می‌دانیم که برخی از تراکنش‌ها همچنان به کیف پول واسطه نیاز دارند. اگر تراکنش‌ها را از طریق میان‌افزار تأیید می‌کنید، ممکن است همچنان از شما خواسته شود که علامت کور کنید. در مواردی که چنین است، هنوز تعدادی از مراحل وجود دارد که می توانید برای کاهش خطر کلاهبرداری خود انجام دهید.

• از dApp هایی استفاده نکنید که قبلاً هرگز در مورد آنها نشنیده اید، همیشه صحت آن را بررسی کنید.
• در مورد DM در رسانه های اجتماعی شک داشته باشید: اگر کسی که ندارید بدانید که فعالانه با شما تماس می گیرد، دلایل آن را در نظر بگیرید. به یاد داشته باشید، ممکن است هر کسی باشد (در پیوندها لینک نکنید).

• مهم نیست که چه نوع تراکنشی انجام می دهید، لجر نانو همچنان ابزار ارزشمندی برای حفظ کلیدهای خصوصی همیشه بصورت آفلاین. استفاده از آن یک لایه امنیتی به تمام تعاملات شما اضافه می کند.