امضای کور (Blind signing) چیست؟
امضای کور این یکی از موذیانه ترین ترفندهایی است که کلاهبرداران برای سرقت دارایی های شما استفاده می کنند. قراردادهای هوشمند مورد استفاده در dApps و NFTهای امروزی حاوی جزئیات کلیدی هستند. اما اکثر کیف پول ها را نمی توان به طور کامل استخراج و نمایش داد و کاربران بدون اینکه بدانند با چه چیزی موافقت می کنند، آنها را امضا می کنند. کلاهبرداران به جای تلاش برای شکستن در، به شما متکی هستند تا با فریب دادن شما به امضای کورکورانه در را برای آنها باز کنید. در این مقاله توضیح خواهیم داد که امضای کور چیست و چگونه کلاهبرداری امضای کور انجام می شود.
مفهوم امضای کور
قبل از اینکه این مفهوم را به صورت دیجیتالی کار کنیم، بحث کنیم، اجازه دهید با اصول اولیه قلم و کاغذ در دنیای واقعی شروع کنیم. قراردادها برای حاکمیت بر روابط ما وجود دارد. چه یک قرارداد کاری که شما را ملزم به کار 40 ساعت در هفته می کند یا یک اشتراک نتفلیکس که باید هر ماه پرداخت شود، وقتی قراردادی را امضا می کنید، موافقت می کنید آنچه را که می گوید انجام دهید. با امضا، نشان میدهید که شرایط را دیده و درک کردهاید و موافقت خود را با پایبندی به آنها مشاهده کردهاید.
امضای قرارداد دیجیتال
قراردادهای هوشمند (زیرساختی که dApps، NFT ها و بسیاری از عناصر DeFi را تامین می کند) نسخه دیجیتالی این است. فرض کنید مقداری ارز رمزنگاری شده را از یک وام دهنده قرض می گیرید که بر اساس آن هر ماه مبلغ مشخصی را با بهره پس می دهید. هنگامی که موافقت نامه را با کلید خصوصی خود تأیید می کنید، قرارداد هوشمند را به صورت دیجیتالی امضا می کنید.
اما اگر واقعاً نتوانید قرارداد را ببینید چه؟ این ما را به سوال اصلی خود بازمی گرداند. قراردادهای هوشمند مورد استفاده در dApps و NFT های امروزی چالشی را برای نسل فعلی کیف پول های رمزنگاری ایجاد می کند، زیرا کد آنها (حاوی جزئیات قرارداد کلیدی) نمی تواند به طور کامل استخراج شود و به زبانی که کاربر درک می کند نمایش داده شود. به عبارت دیگر، کیف پول ها همچنان با آخرین گزینه های کاربران بازی می کنند.
بیایید به یک مثال واقعی نگاه کنیم تا نشان دهیم که چگونه این امر بر تجارت شما تأثیر می گذارد. اول از همه، هر زمان که معامله ای را با صفحه کامپیوتر خود امضا می کنید، به دلیل اینکه صفحه نمایش شما (رایانه یا موبایل) به اینترنت متصل است، در برابر هک آسیب پذیر است. این بدان معناست که هرگز نمی توان به صفحه جزئیات چیزی که امضا می کنید کاملاً اعتماد کرد و همیشه این احتمال وجود دارد که صفحه نمایش هک شده باشد تا نمایشگر اشتباهی را نشان دهد و شما را مجبور به امضای چیز دیگری کند. بنابراین با تایید یک تراکنش، با “امضای کور” باقی میمانید و معامله را بر اساس اعتماد تایید میکنید.
به این ترتیب، امضای کور بسیار خطرناک به نظر می رسد، اما بیشتر ما در آن مقصریم. آخرین باری که قرارداد کاربر را برای آن سرویس جدیدی که در آن ثبت نام کرده اید خوانده اید؟ واقعیت این است که بسیاری از تصمیمات ما بر اساس شهرت افرادی است که با آنها کار می کنیم.
امضای کور انواع جدیدی از تقلب را ایجاد می کند!
با ورود کریپتو به جریان اصلی، افراد بیشتری در مورد نحوه ایمن نگه داشتن دارایی های خود آموزش می بینند و فرصت های کمتری برای کلاهبرداران برای دسترسی به دارایی های شما وجود دارد. بنابراین به جای تلاش برای شکستن در، به شما تکیه می کنند تا در را برایشان باز کنید.
نمونه بارز این کاهش NFT در وب سایت های کمتر شناخته شده، شوق NFT تقاضای زیادی را برای این دارایی های دیجیتال ایجاد کرده است و ایردراپ ها به این هیجان اضافه می کنند. قبل از اینکه کورکورانه یک ایردراپ NFT را امضا کنید، این را در نظر بگیرید: اگر یک برند شناخته شده نیست، آیا می توانید مطمئن باشید که تراکنشی که تأیید می کنید همان چیزی است که فکر می کنید؟
نمونه دیگری از خطر امضای کور، بیانیه چارلز گیلت است. با حمله اخیر به OpenSea، چارلز گیمت، مدیر ارشد فناوری لجر، به کاربران در مورد “امضای کور” هشدار داد، که او آن را به عنوان “موافقت با امضای یک معامله کورکورانه بدون درک معنای آن” تعریف می کند.
چارلز گیلت در مصاحبه با کوین تلگراف، مشکلات امضاهای کور را برجسته کرد. مدیر ارشد فناوری لجر خاطرنشان می کند که رضایت تراکنش نیاز به امضای پیامی برای ارسال به بلاک چین دارد. کاربر تنها کسی است که می تواند تراکنش ها را با کلید خصوصی امضا کند، در حالی که دیگران می توانند صحت آن را تأیید کنند. “مشکل این است که پیام به طور پیش فرض درک نمی شود. گیمه میگوید این یک محموله دیجیتالی است.
Guillemet همچنین توضیح داد که وقتی یک انتقال سکه امضا می شود، معمولاً توسط کیف پولی پشتیبانی می شود که “بار را به درستی تجزیه می کند و قصد خود را بیان می کند.” با این حال، وقتی نوبت به امضای تعاملات پیچیده با قراردادهای هوشمند میرسد، Guillemet میگوید: “مجوز همیشه به درستی حفظ نمیشود و شما چارهای ندارید جز اینکه کورکورانه با معاملهای که درک نمیکنید موافقت کنید.”
آیا امضای کور امن است؟
این در واقع خطرناک است زیرا می توانید فکر کنید که در حال امضای قراردادی برای انتقال برخی از وجوه خود به آدرس A هستید، در حالی که در واقع قراردادی را برای انتقال تمام وجوه خود به آدرس B امضا می کنید.
این کارشناس امنیتی همچنین به نمونه هایی اشاره کرد که امضای کور منجر به خسارات قابل توجهی شد. در آخرین اکسپلویت OpenSea، کاربران مورد حمله فیشینگ قرار گرفتند که منجر به از دست دادن 1.7 میلیون دلار در توکنهای غیرقابل تعویض (NFT) شد. Guillemet خاطرنشان میکند که در این حادثه، مهاجمان قربانیان خود را فریب دادند تا پیامی را امضا کنند که باعث میشد تمام NFTهای خود را با 0 ETH بفروشند.
مهاجم فقط باید تراکنشی را امضا میکرد که میگفت «من خوشحالم که این NFTها را با 0 ETH میخرم» و سپس این دو پیام را به OpenSea ارائه میکرد تا در واقع تراکنش را کامل کند و 0 ETH را با همه NFTهای قربانی مبادله کند.
وقتی از او پرسیده شد که آیا فکر میکند راهحلی برای مشکل امضای کور وجود دارد، به یک ضرب المثل رمزنگاری قدیمی اشاره کرد: «اعتماد نکن، تأیید کن؟» یکی از پیشنهادات کارشناس امنیت، امضای تراکنش ها با استفاده از توکن های قابل اعتمادی است که در کیف پول های سخت افزاری یافت می شوند.