ارز دیجیتال
امضای کور
تعریف
امضای کور به معنای تأیید یک تراکنش کریپتو یا پیام قرارداد هوشمند است زمانی که کیف پول شما نمیتواند جزئیات قابل خواندن برای انسان از آنچه که امضا میکنید را نشان دهد.
امضای کور چیست؟
امضای کور عمل تأیید درخواست امضای بلاکچین است، حتی اگر دستگاه امضا (که معمولاً یک "کیف پول سختافزاری" است) نتواند جزئیات معنادار تراکنش را به وضوح نمایش دهد—مانند قراردادی که شما فراخوانی میکنید، تابعی که در حال اجراست، خرجکنندهای که تأیید میشود، یا "داراییهایی" که ممکن است جابجا شوند. در عمل، شما یک بارگذاری رمزگذاریشده را تأیید میکنید که نمیتوانید به طور کامل در دستگاهی که بیشتر به آن اعتماد دارید تفسیر کنید.
این موضوع در قلب چگونگی ایمنسازی کیف پول کریپتو شما قرار دارد، زیرا امنترین ذخیرهسازی کلید در جهان نیز میتواند در صورت تأیید پیام نادرست تضعیف شود.امضای کور در کریپتودر جریانهای امضای کور در کریپتو، یک dApp یک تراکنش (یا پیام) را در مرورگر یا برنامه کیف پول شما میسازد، سپس از کیف پول شما میخواهد که آن را با "کلید خصوصی" شما امضا کند.
برای انتقالهای ساده، بسیاری از کیف پولها میتوانند نشان دهند "X را به "آدرس" Y ارسال کن، اما تعاملات "قرارداد هوشمند" پیچیدهتر هستند: آنها شامل دادههای فراخوانی رمزگذاریشدهای هستند که ممکن است در صفحهنمایشهای کوچک جا نشوند یا ممکن است توسط نرمافزار کیف پول رمزگشایی نشوند.
وقتی این اتفاق میافتد، دستگاه ممکن است یک پیام عمومی مانند "دادههای قرارداد" یا یک توده غیرقابل خواندن را نشان دهد و شما مجبور میشوید به آنچه که صفحه کامپیوتر یا تلفن ادعا میکند تراکنش انجام خواهد داد، اعتماد کنید.
به همین دلیل شبیهسازی تراکنش در کیف پولهای نرمافزاری محبوب شده است: این کار نتایج احتمالی (حرکتهای توکن، تأییدها و عوارض جانبی) را قبل از امضا پیشنمایش میکند.ریسک امضای کورریسک اصلی امضای کور عدم تطابق اطلاعات است: شما فکر میکنید یک عمل را تأیید میکنید، اما ممکن است در واقع در حال امضای عمل دیگری باشید.
اگر رابطی که تراکنش را آماده میکند به خطر بیفتد (بدافزار، یک افزونه مخرب مرورگر، یا یک سایت جعلی)، میتواند یک عمل به ظاهر بیخطر را نمایش دهد در حالی که دادههای فراخوانی متفاوتی را به دستگاه امضای شما ارسال کند. این شکاف بهویژه در مورد "تأیید توکنها" خطرناک است، جایی که یک امضا میتواند به یک قرارداد اجازه دهد تا توکنهای شما را بعداً خرج کند—گاهی اوقات برای مقدار نامحدود—بدون اینکه یک پیام دیگر نمایش داده شود.
امضای کور همچنین خطرات "فیشینگ تأیید" را افزایش میدهد، جایی که مهاجمان کاربران را فریب میدهند تا یک مجوز "تأیید" یا "setApprovalForAll" را امضا کنند که به آرامی کنترل توکنها یا "NFTها" را واگذار میکند. از آنجا که کیف پول نمیتواند به طور قابل اعتمادی خلاصهای از آنچه تأیید میشود ارائه دهد، کاربران ممکن است از روی ناآگاهی بر روی پیامهایی که نمیتوانند تأیید کنند، کلیک کنند. نتیجه عملی این است که "من از یک کیف پول سختافزاری استفاده کردم" همانند "من تراکنش را تأیید کردم" نیست، به همین دلیل راهنماها در مورد چگونگی تأیید یک تراکنش قبل از امضا بر روی بررسی قرارداد مقصد، مجوز دقیق اعطا شده و اینکه آیا عمل با نیت شما مطابقت دارد، تمرکز میکنند.
امضای شفافامضای شفاف رویکردی متضاد است: کیف پول یک خلاصه قابل خواندن برای انسان و مرتبط با امنیت از آنچه شما در حال تأیید آن هستید نمایش میدهد—بهترین حالت بر روی صفحه قابل اعتماد دستگاه امضا خود. به جای "داده موجود"، شما جزئیاتی مانند توکن، مقدار، آدرس خرجکننده، نام قرارداد (زمانی که شناخته شده باشد) و روش خاصی که در حال فراخوانی است را مشاهده میکنید. امضای شفاف میتواند از طریق پشتیبانی بهتر از رمزگشایی در کیف پولها، استانداردهای غنیتر متاداده تراکنش و تجربه کاربری بهبود یافته که اقدامات با ریسک بالا را برجسته میکند (به عنوان مثال، تأییدهای نامحدود یا مجوزهای گسترده اپراتور NFT) پیادهسازی شود.امضای شفاف با شبیهسازی تراکنش به خوبی جفت میشود زیرا به نقاط شکست مختلفی میپردازد. شبیهسازی به شما کمک میکند تا نتایج مورد انتظار را قبل از امضا درک کنید، در حالی که امضای شفاف کمک میکند تا اطمینان حاصل شود که بارگذاری دقیق امضا شده با آنچه شما بررسی کردهاید مطابقت دارد. با هم، آنها احتمال اینکه یک رابط مخرب بتواند دادههای تراکنش را بین "بررسی" و "امضا" تغییر دهد را کاهش میدهند و کار را برای مهاجمان سختتر میکنند تا مجوزهای خطرناک را پشت پیامهای غیرشفاف پنهان کنند.چرا امضای کور مهم استامضای کور مهم است زیرا امضاهای کریپتو قدرتمند و نهایی هستند: هنگامی که شما امضا میکنید، شبکه آن را به عنوان تأیید صریح شما در نظر میگیرد و معمولاً هیچ دکمه بازگشت یا لغو وجود ندارد. از آنجا که تعاملات DeFi و NFT به شدت به قراردادهای هوشمند وابسته هستند، کاربران به طور فزایندهای با درخواستهای امضا مواجه میشوند که تفسیر آنها دشوار است و یک نقطه ضعف امنیتی سیستماتیک ایجاد میکند که مهاجمان به طور مکرر به آن هدف قرار میدهند. کاهش امضای کور—از طریق رمزگشایی شفافتر در دستگاه، پیشفرضهای ایمنتر در مورد تأییدها، تجربه کاربری بهتر کیف پول و ابزارهای تأیید قویتر—به طور مستقیم ایمنی و اعتماد کاربران به برنامههای زنجیرهای را بهبود میبخشد.از منظر امنیت عملی، درک امضای کور به شما کمک میکند تا انتخابهای بهتری داشته باشید: چه زمانی باید از یک dApp اجتناب کنید، چه زمانی باید از یک کیف پول جداگانه با وجوه محدود استفاده کنید، چه زمانی باید مجوزها را لغو کنید و چه زمانی باید بر روی وضوح بیشتر تراکنش تأکید کنید. اگر هدف شما نگهداری خودکار در بلندمدت است، برخورد با امضای کور به عنوان یک ریسک برای مدیریت—نه یک پیام برای پذیرش بیفکر—جزء اساسی ایمنسازی کیف پول و هویت زنجیرهای شما است.
پرسشهای متداول
امضای کور در کریپتو چیست؟
امضای کور زمانی است که شما یک تراکنش یا پیام را تأیید میکنید حتی اگر کیف پول شما نتواند جزئیات واضح و قابلخواندن انسانی از آنچه امضا انجام خواهد داد، نشان دهد. این معمولاً با تعاملات پیچیده قراردادهای هوشمند اتفاق میافتد که دستگاه فقط پیامهای عمومی "داده" را نشان میدهد.
چرا امضای کور خطرناک است؟
این خطرناک است زیرا ممکن است شما اقداماتی را مجاز کنید که قصد انجام آنها را نداشتید، مانند تأییدهای نامحدود توکن یا مجوزهای گسترده NFT. اگر برنامه یا مرورگری که تراکنش را آماده میکند، به خطر بیفتد، میتواند دادههای تماس متفاوتی ارسال کند نسبت به آنچه که فکر میکنید بررسی کردهاید.
آیا امضای کور فقط یک مشکل کیف پول سختافزاری است؟
خیر. کیف پولهای سختافزاری معمولاً با امضای کور مرتبط هستند زیرا صفحههای کوچک قابلاعتماد و پشتیبانی محدود از رمزگشایی میتوانند جزئیات را پنهان کنند، اما هر کیف پولی میتواند پیامهای امضای نامشخصی را ارائه دهد. مشکل اصلی عدم وجود نیت تراکنش قابلاعتماد و قابلخواندن در لحظه امضا است.
تفاوت بین امضای کور و امضای واضح چیست؟
امضای کور به این معنی است که شما بدون دیدن جزئیات معنادار بر روی دستگاه امضای قابلاعتماد، امضا میکنید. امضای واضح به این معنی است که کیف پول یک خلاصه قابلخواندن—مانند خرجکننده، دارایی و اقدام—را نشان میدهد تا شما بتوانید نیت را قبل از تأیید تأیید کنید.
چگونه میتوانم خطر امضای کور را کاهش دهم؟
کیف پولها و dAppهایی را که از امضای واضح پشتیبانی میکنند، ترجیح دهید و از شبیهسازی تراکنش برای پیشنمایش نتایج استفاده کنید. با تأییدها احتیاط کنید، آدرسهای قرارداد را در صورت امکان تأیید کنید و یک چکلیست برای نحوه تأیید یک تراکنش قبل از امضا دنبال کنید—بهویژه زمانی که یک پیام بهنظر عمومی یا ناآشنا میرسد.
اصطلاحات مرتبط
Hardware Wallet
A hardware wallet is a physical device that keeps your crypto private keys offline and signs transactions securely so funds can’t be spent without your…
Token Approval
Token approval is a wallet permission that lets a smart contract spend a specified amount of your tokens on your behalf.