最近收到不少人反馈自己的加密资产被钓鱼走了,许多姿势我在黑手册(http://darkhandbook.io)里写过。这里再更新点内容吧。
Crypto/Web3 钓鱼常用的这几种签名能看出区别吗?
你先仔细看看,思考下,再看我的解析就会记忆深刻了:)
图1:是用了 eth_sign 这个要废弃且危险的签名函数,一旦你点击确认,包括 ETH 在内的原生资产都可以被直接转走(技术细节这里都不展开)。
所以 MetaMask 有段红色文字提醒,可即使如此,还是会有中招的用户…我建议 @MetaMask 直接不支持 eth_sign。
图2:是用了 personal_sign,但这里被用于盲签了,消息:
0x62dc3e93b0f40fd8ee6bf3b9b1f15264040c3b1782a24a345b7cb93c9dafb7d8
66 长,是目标明文内容被 keccak256 哈希后的结果。对于用户来说,看不到目标明文内容到底是什么,于是这里就是风险之处。比如用于 NFT 交易市场的挂单零元购。
图3、图4:都是 signTypedData_v4,EIP-712 格式化比较好的签名方式,用户可读性又高了些。
其中“图4”,玩 OpenSea 的各位应该很熟悉,买卖 NFT 时会出现类似的确认。大家注意下,Signature request 下面是 Seaport,再下面是 http://opensea.io 这个域名,这正常。但…
但…如果不是 opensea[.]io 这个域名,那就要非常警惕了,直接拒绝签名就好。因为钱包签名并无类似浏览器的同源策略(这个名词可以自行扩展了解),钓鱼网站是可以在自己的域名下发起一模一样的签名请求并在后续滥用的。 当然也许有一天即使是来自 opensea[.]io 域下的签名也可能出问题…但愿不会。
最后,我并不想过多解析,因为这里面牵扯的技术细节挺多。希望这点小科普(尤其是我特别截的几张图)可以对大多数用户来说有点用:加深点未来遇到类似风险的识别能力,图片及废话少可能是最好的方式。 对于愿意深入技术细节的朋友来说,建议将 OpenSea、X2Y2 等平台来回研究,因为钓鱼者也是这样…
微信扫一扫 
