Kör İmza

Kör imza nedir?

Kör imza, imza cihazının (genellikle bir mobil cihaz) imza isteğini onaylama eylemidir.donanım cüzdanıişlemin anlamlı ayrıntılarını net bir şekilde gösteremez—çağırdığınız sözleşme, yürütülen fonksiyon, onaylanan harcayıcı gibi.varlıklarhareket ettirebilecek. Pratikte, en çok güvendiğiniz cihazda tam olarak yorumlayamadığınız kodlanmış bir yükü yetkilendiriyorsunuz.

Bu konu, kripto cüzdanınızı nasıl güvence altına alacağınızın merkezinde yer alıyor çünkü dünyadaki en güvenli anahtar depolama bile, yanlış bir mesajı onaylarsanız tehlikeye girebilir.

Kör imza kripto

Kör imza kripto akışlarında, birdApptarayıcınızda veya cüzdan uygulamanızda bir işlem (veya mesaj) oluşturur, ardından cüzdanınızdan bunu imzalamayı ister.özel anahtar. Basit transferler için birçok cüzdan “X gönder Y” gösterebilir, ancak adres Y,” ama akıllı sözleşme etkileşimleri daha karmaşıktır: bunlar, küçük ekranlara sığmayabilecek veya cüzdan yazılımı tarafından çözülemeyebilecek kodlanmış çağrı verilerini içerir.

Bu olduğunda, cihaz “sözleşme verisi” veya okunamaz bir blob gibi genel bir istem gösterebilir ve işlemin ne yapacağını bilgisayar veya telefon ekranının iddialarına güvenmek zorunda kalırsınız. Bu nedenle işlem simülasyonu yazılım cüzdanlarında popüler hale geldi: imzalamadan önce olası sonuçları (token hareketleri, onaylar ve yan etkiler) önizler.

Kör imza riski

Kör imza riskinin temelinde bir bilgi uyumsuzluğu yatmaktadır: bir eylemi onayladığınızı düşünüyorsunuz, ancak aslında başka bir şeyi imzalıyor olabilirsiniz. İşlemi hazırlayan arayüz tehlikeye girerse (kötü amaçlı yazılım, kötü niyetli bir tarayıcı uzantısı veya sahte bir site), zararsız görünen bir eylemi gösterebilirken, imza cihazınıza farklı çağrı verileri gönderebilir.

Bu boşluk, bir tek imzanın bir sözleşmeye token'larınızı daha sonra harcama izni verebileceği token onayları ile özellikle tehlikelidir - bazen başka bir istem olmaksızın sınırsız bir miktar için.

Kör imza ayrıca onay oltalama riskini artırır; burada saldırganlar kullanıcıları “onayla” veya “setApprovalForAll” tarzı bir izin imzalamaya kandırarak token'ların veya NFT'lerin kontrolünü sessizce devretmelerine neden olurlar. Cüzdan, onaylananların ne olduğunu güvenilir bir şekilde özetleyemediği için, kullanıcılar doğrulayamadıkları istemlere tıklayabilirler.

Pratik sonuç, “bir donanım cüzdanı kullandım” ifadesinin “işlemi doğruladım” ifadesiyle aynı olmadığıdır; bu nedenle imzalamadan önce bir işlemi nasıl doğrulayacağınızı anlatan kılavuzlar, hedef sözleşmeyi, verilen tam izni ve eylemin niyetinizle eşleşip eşleşmediğini kontrol etmeye odaklanır.

Açık imza

Açık imza, tam tersine bir yaklaşımdır: cüzdan, yetkilendirmek üzere olduğunuz şeyin insan tarafından okunabilir, güvenlikle ilgili bir özetini gösterir - ideal olarak imza cihazının güvenilir ekranında. "Veri mevcut" yerine, token, miktar, harcayan adres, sözleşme adı (biliniyorsa) ve çağrılan spesifik yöntem gibi detayları görürsünüz.

Açık imza, cüzdanlarda daha iyi kod çözme desteği, daha zengin işlem meta verisi standartları ve yüksek riskli eylemleri vurgulayan geliştirilmiş kullanıcı deneyimi (örneğin, sınırsız onaylar veya geniş NFT operatör izinleri) aracılığıyla uygulanabilir.

Açık imza, işlem simülasyonu ile iyi bir şekilde eşleşir çünkü farklı hata noktalarını ele alırlar. Simülasyon, imzalamadan önce beklenen sonuçları anlamanıza yardımcı olurken, açık imza imzalanan tam yükün gözden geçirdiğinizle eşleşmesini sağlamaya yardımcı olur.

Birlikte, kötü niyetli bir arayüzün işlem verilerini "gözden geçir" ile "imza" arasında değiştirme şansını azaltır ve saldırganların tehlikeli izinleri belirsiz istemlerin arkasında gizlemesini zorlaştırır.

Kör imzanın önemi

Kör imza önemlidir çünkü kripto imzaları güçlü ve sonludur: imzaladığınızda, ağ bunu açıkça yetkilendirme olarak kabul eder ve genellikle geri alma veya geri alma düğmesi yoktur. DeFi ve NFT etkileşimleri akıllı sözleşmelere büyük ölçüde bağımlı olduğundan, kullanıcılar giderek yorumlaması zor imza talepleriyle karşılaşmakta ve bu da saldırganların sürekli hedef aldığı sistemik bir güvenlik zayıflığı yaratmaktadır.

Kör imzayı azaltmak - daha net cihaz içi kod çözme, onaylar etrafında daha güvenli varsayılanlar, daha iyi cüzdan kullanıcı deneyimi ve daha güçlü doğrulama araçları aracılığıyla - doğrudan kullanıcı güvenliğini ve onchain uygulamalarına olan güveni artırır.

Pratik bir güvenlik açısından, kör imzayı anlamak daha iyi seçimler yapmanıza yardımcı olur: bir dApp'ten ne zaman kaçınacağınız, sınırlı fonlarla ayrı bir cüzdan ne zaman kullanacağınız, izinleri ne zaman geri alacağınız ve işlem görünürlüğünü ne zaman daha net hale getireceğiniz.

Amacınız uzun vadeli kendi kendine saklama ise, kör imzayı yönetilmesi gereken bir risk olarak ele almak - düşünmeden kabul etmek için bir istem değil - cüzdanınızı ve onchain kimliğinizi güvence altına almanın temel bir parçasıdır.