توقيع سيء واحد سيكون قادراً على استنزاف حسابك على إثيريوم بعد EIP-3074
سيكون بمقدور توقيع سيء سحب حسابك على إثيريوم بعد EIP-3074.
نعم؛ هذا صحيح. 3074 المشارك الرئيسي هنا! دعوني أضع هذا القلق جانبا قليلا قبل أن يتفاقم الأمر أكثر.
للبدء: ليس لدي علم بأي محافظ تدعم توقيع البيانات غير المعروفة الآن. هذا يعني أنه حاليًا، لا تدعم أي محافظ الرقم 3074. لا يهم عدد لوحات التحكم التي تتنقل من خلالها أو الميزات المتقدمة التي تقوم بتشغيلها. ليس من الممكن توقيع رسالة 3074 اليوم.
الرسائل التي تقوم بتوقيعها لـ "تسجيل الدخول" إلى dapps تستخدم معيارًا مختلفًا تمامًا استنادًا إلى EIP-191. يضيف هذا البيانات التالية إلى الرسالة التي تقوم بتوقيعها:
“””
0x19 <0x45 (E)> <ثييريوم توقيع الرسالة:\n” + len(message)> <البيانات المراد توقيعها>
“””
هذا ما يجعل من المستحيل خداع شخص ما يسجل الدخول إلى تطبيق لامركزي لتوقيع معاملة إثيريوم صالحة فعليًا.
المعاملات مسبوقة بقيم بايت واحدة:
0x01 - 2930 tx
0x02 - 1559 tx
0x03 - 4844 tx
مزيد من المعلومات هنا: https://github.com/ethereum/execution-specs/tree/master/lists/signature-types
يخطط 3074 لاستخدام البادئة 0x04. سيؤدي هذا إلى توضيحه عن جميع أنواع البيانات القابلة للتوقيع الأخرى في إثيريوم.
سيضطر المحافظ إلى اختيار السماح للمستخدمين بتوقيع هذه الرسائل بنشاط.
اعتمادًا على كيفية دمج المحافظ 3074، يمكنهم خلق حالة يمكن فيها استغلال مستخدميهم بسهولة أكبر. لفهم هذا، نحتاج إلى التأكد من فهم كيفية عمل تواقيع 3074.
الرسالة المصادق عليها التي تم بناء التوقيع عليها لديها الحقول التالية. ومن الأهمية بما فيه الكفاية، أنه يتضمن عنوان المُحرِّض. هذا هو العنوان الوحيد الذي سيُعتبر التوقيع صالحًا بواسطة AUTH.
لتصرف الحساب، سيحتاج المحفظة 1) إلى السماح للمستخدمين بالتوقيع على أي عنوان مستدعي و2) يجب على المستخدمين عدم التحقق من مصداقية المستدعي. إذا قام أحد بهذا، فلن يكون هناك مشكلة.
بالنسبة للـ 1) نأمل أن تفهم المحافظ أن 3074 منشطًا يشبهون أكثر إلى تمديدات لشفرتهم من أنهم عقود. المحافظ لا تمنح المستخدمين حرية تشغيل شفرة تشغيلية بوصول إلى مفتاحهم العام؛ وبالمثل، لا ينبغي أن تسمح للمستخدمين بتفويض حساباتهم بشكل تعسفي.
لذلك إذا كانت المحافظ تدمج بشكل غير آمن 3074ولا يتحقق المستخدمون من المستدعي الذي يتفاعلون معه، من الممكن أن يتم التفويض لمستدعي خبيث.
ومع ذلك ، يمكن التراجع عن ذلك عن طريق إرسال صفقة واحدة من EOA. يلغي هذا جميع التوقيعات "المحلقة" AUTH.
على الأقل، يجب أن تجعل المحافظ توقيع رسالة 3074 أمرًا كبيرًا. هذا مثل مستوى تصدير مفتاحك الخاص.
بفرض أن محفظة تضمن بشكل آمن 3074، من المازال من الممكن أن يتم سحب الحساب. هذه خاصية أساسية لعمليات الدفع الجماعية. إنها تسمح بسهولة بإرسال عمليات متعددة بنفس القدر الذي يسمح للمهاجم بخداعك لإرسال دفعة من الأصول إلى عنوان يتحكمون فيه.
يجب على المحافظ عرض كل عملية توقيع تقوم بها بوضوح. بهذه الطريقة، من السهل ملاحظة "كنت أخطط فقط لإجراء صفقة واحدة، ولكن طلب التوقيع هذا يجعلني أقوم بعشرات التحويلات أيضًا".
سيكون من المستحيل اكتشاف ذلك إذا كان التجميع متاحًا عبر التوقيع الأعمى.
نعم، يضع 3074 الكثير من الثقة في المحافظ. ولكن انظروا، نحن بالفعل نثق بهم بشكل آمن مفتاحنا الخاص! ليس هناك مستوى أعلى من الثقة.
من الممكن دمج واستخدام 3074 بأمان. إذا كانت هناك أي محافظ تواجه أسئلة حول كيفية القيام بذلك، يرجى عدم التردد في التواصل. بصفتنا مؤلفين لـ 3074، نحن حاليًا نبحث عن كيفية مساعدة هذا المعيار بأفضل طريقة في مرحلته القادمة من الحياة.
على مدى السنوات العديدة الماضية، قضينا الكثير من الوقت في تطوير سيناريوهات تخيلية حول كيف يمكن استخدامها وإساءتها. نحن متحمسون لبدء تنفيذ هذه الأفكار. ولكننا ندرك أيضًا أن هذا هو الجزء الصعب.
بيان:
هذه المقالة التي تحمل في الأصل عنوان "توقيع سيئ واحد سيكون قادرا على استنزاف حسابك على Ethereum بعد EIP-3074" مستنسخة من [عملاء خفيفون]]. جميع حقوق الطبع والنشر تنتمي إلى الكاتب الأصلي [عملاء الخفيفة]. إذا كان لديك أي اعتراض على إعادة الطبع، يرجى الاتصال بالبوابة تعليمالفريق، سيتولى الفريق بذلك في أقرب وقت ممكن.
تنويه: تعبر الآراء والآراء المعبر عنها في هذه المقالة فقط عن آراء المؤلف الشخصية ولا تشكل أي نصيحة استثمارية.
تتم ترجمة المقالات إلى لغات أخرى من قبل فريق Gate Learn. ما لم يتم ذكر ذلك، فإن نسخ أو توزيع أو نسخ المقالات المترجمة ممنوع.
Поділіться
Контент
Статті на тему
كيف تعمل بحوثك الخاصة (Dyor)؟
ما هو سولانا?
ما هو التحليل الأساسي؟
توقيع سيء واحد سيكون قادراً على استنزاف حسابك على إثيريوم بعد EIP-3074
سيكون بمقدور توقيع سيء سحب حسابك على إثيريوم بعد EIP-3074.
نعم؛ هذا صحيح. 3074 المشارك الرئيسي هنا! دعوني أضع هذا القلق جانبا قليلا قبل أن يتفاقم الأمر أكثر.
للبدء: ليس لدي علم بأي محافظ تدعم توقيع البيانات غير المعروفة الآن. هذا يعني أنه حاليًا، لا تدعم أي محافظ الرقم 3074. لا يهم عدد لوحات التحكم التي تتنقل من خلالها أو الميزات المتقدمة التي تقوم بتشغيلها. ليس من الممكن توقيع رسالة 3074 اليوم.
الرسائل التي تقوم بتوقيعها لـ "تسجيل الدخول" إلى dapps تستخدم معيارًا مختلفًا تمامًا استنادًا إلى EIP-191. يضيف هذا البيانات التالية إلى الرسالة التي تقوم بتوقيعها:
“””
0x19 <0x45 (E)> <ثييريوم توقيع الرسالة:\n” + len(message)> <البيانات المراد توقيعها>
“””
هذا ما يجعل من المستحيل خداع شخص ما يسجل الدخول إلى تطبيق لامركزي لتوقيع معاملة إثيريوم صالحة فعليًا.
المعاملات مسبوقة بقيم بايت واحدة:
0x01 - 2930 tx
0x02 - 1559 tx
0x03 - 4844 tx
مزيد من المعلومات هنا: https://github.com/ethereum/execution-specs/tree/master/lists/signature-types
يخطط 3074 لاستخدام البادئة 0x04. سيؤدي هذا إلى توضيحه عن جميع أنواع البيانات القابلة للتوقيع الأخرى في إثيريوم.
سيضطر المحافظ إلى اختيار السماح للمستخدمين بتوقيع هذه الرسائل بنشاط.
اعتمادًا على كيفية دمج المحافظ 3074، يمكنهم خلق حالة يمكن فيها استغلال مستخدميهم بسهولة أكبر. لفهم هذا، نحتاج إلى التأكد من فهم كيفية عمل تواقيع 3074.
الرسالة المصادق عليها التي تم بناء التوقيع عليها لديها الحقول التالية. ومن الأهمية بما فيه الكفاية، أنه يتضمن عنوان المُحرِّض. هذا هو العنوان الوحيد الذي سيُعتبر التوقيع صالحًا بواسطة AUTH.
لتصرف الحساب، سيحتاج المحفظة 1) إلى السماح للمستخدمين بالتوقيع على أي عنوان مستدعي و2) يجب على المستخدمين عدم التحقق من مصداقية المستدعي. إذا قام أحد بهذا، فلن يكون هناك مشكلة.
بالنسبة للـ 1) نأمل أن تفهم المحافظ أن 3074 منشطًا يشبهون أكثر إلى تمديدات لشفرتهم من أنهم عقود. المحافظ لا تمنح المستخدمين حرية تشغيل شفرة تشغيلية بوصول إلى مفتاحهم العام؛ وبالمثل، لا ينبغي أن تسمح للمستخدمين بتفويض حساباتهم بشكل تعسفي.
لذلك إذا كانت المحافظ تدمج بشكل غير آمن 3074ولا يتحقق المستخدمون من المستدعي الذي يتفاعلون معه، من الممكن أن يتم التفويض لمستدعي خبيث.
ومع ذلك ، يمكن التراجع عن ذلك عن طريق إرسال صفقة واحدة من EOA. يلغي هذا جميع التوقيعات "المحلقة" AUTH.
على الأقل، يجب أن تجعل المحافظ توقيع رسالة 3074 أمرًا كبيرًا. هذا مثل مستوى تصدير مفتاحك الخاص.
بفرض أن محفظة تضمن بشكل آمن 3074، من المازال من الممكن أن يتم سحب الحساب. هذه خاصية أساسية لعمليات الدفع الجماعية. إنها تسمح بسهولة بإرسال عمليات متعددة بنفس القدر الذي يسمح للمهاجم بخداعك لإرسال دفعة من الأصول إلى عنوان يتحكمون فيه.
يجب على المحافظ عرض كل عملية توقيع تقوم بها بوضوح. بهذه الطريقة، من السهل ملاحظة "كنت أخطط فقط لإجراء صفقة واحدة، ولكن طلب التوقيع هذا يجعلني أقوم بعشرات التحويلات أيضًا".
سيكون من المستحيل اكتشاف ذلك إذا كان التجميع متاحًا عبر التوقيع الأعمى.
نعم، يضع 3074 الكثير من الثقة في المحافظ. ولكن انظروا، نحن بالفعل نثق بهم بشكل آمن مفتاحنا الخاص! ليس هناك مستوى أعلى من الثقة.
من الممكن دمج واستخدام 3074 بأمان. إذا كانت هناك أي محافظ تواجه أسئلة حول كيفية القيام بذلك، يرجى عدم التردد في التواصل. بصفتنا مؤلفين لـ 3074، نحن حاليًا نبحث عن كيفية مساعدة هذا المعيار بأفضل طريقة في مرحلته القادمة من الحياة.
على مدى السنوات العديدة الماضية، قضينا الكثير من الوقت في تطوير سيناريوهات تخيلية حول كيف يمكن استخدامها وإساءتها. نحن متحمسون لبدء تنفيذ هذه الأفكار. ولكننا ندرك أيضًا أن هذا هو الجزء الصعب.
بيان:
هذه المقالة التي تحمل في الأصل عنوان "توقيع سيئ واحد سيكون قادرا على استنزاف حسابك على Ethereum بعد EIP-3074" مستنسخة من [عملاء خفيفون]]. جميع حقوق الطبع والنشر تنتمي إلى الكاتب الأصلي [عملاء الخفيفة]. إذا كان لديك أي اعتراض على إعادة الطبع، يرجى الاتصال بالبوابة تعليمالفريق، سيتولى الفريق بذلك في أقرب وقت ممكن.
تنويه: تعبر الآراء والآراء المعبر عنها في هذه المقالة فقط عن آراء المؤلف الشخصية ولا تشكل أي نصيحة استثمارية.
تتم ترجمة المقالات إلى لغات أخرى من قبل فريق Gate Learn. ما لم يتم ذكر ذلك، فإن نسخ أو توزيع أو نسخ المقالات المترجمة ممنوع.
Статті на тему
كيف تعمل بحوثك الخاصة (Dyor)؟
ما هو سولانا?