Một chữ ký xấu có thể làm rỗng tài khoản của bạn trên Ethereum sau EIP-3074.

Đúng vậy; điều này là sự thật. 3074 đồng tác giả ở đây! Để tôi giải quyết lo lắng này một chút trước khi nó trở nên nghiêm trọng hơn.

Để bắt đầu: Tôi không biết về bất kỳ ví nào hỗ trợ ký dữ liệu không có tiền tố. Điều này có nghĩa là hiện tại, không có ví nào hỗ trợ 3074. Không quan trọng bạn điều hành qua bao nhiêu bảng điều khiển hoặc bật bất kỳ tính năng nâng cao nào. Không thể ký một thông điệp 3074 ngày nay.

Các tin nhắn bạn ký để “đăng nhập” vào dapps sử dụng một tiêu chuẩn hoàn toàn khác dựa trên EIP-191. Điều này thêm vào dữ liệu sau vào tin nhắn bạn ký:

“””

0x19 <0x45 (E)>

“””

Đó là điều làm cho việc lừa ai đó đăng nhập vào một ứng dụng phi tập trung để thực sự ký giao dịch Ethereum hợp lệ trở nên không thể.

Giao dịch được tiền tố bằng các giá trị byte đơn:

0x01 - 2930 tx

0x02 - 1559 giao dịch

0x03 - 4844 tx

Xem thêm thông tin tại đây:https://github.com/ethereum/execution-specs/tree/master/lists/signature-types

3074 dự định sử dụng tiền tố 0x04. Điều này sẽ làm rõ nó so với tất cả các loại dữ liệu có thể ký khác trong Ethereum.

Ví sẽ phải chọn tham gia để cho phép người dùng ký những thông điệp này.

Tùy thuộc vào cách ví tiền tích hợp 3074, họ có thể tạo ra tình huống mà người dùng của họ có thể bị lợi dụng dễ dàng hơn. Để hiểu điều này, chúng ta cần đảm bảo rằng chúng ta hiểu cách chữ ký 3074 hoạt động.

Các tin nhắn xác thực mà chữ ký được xây dựng trên có các trường dưới đây. Quan trọng nhất, nó bao gồm một địa chỉ người gọi. Đây là duy nhất địa chỉ mà dưới đó chữ ký sẽ được xem xét là hợp lệ bởi AUTH.

Để tài khoản bị rút hết tiền 1) ví cần cho phép người dùng ký vào bất kỳ địa chỉ triệu tập nào và 2) người dùng không được xác minh xem địa chỉ triệu tập có đáng tin cậy hay không. Làm bất kỳ điều nào trong hai điều đó và sẽ không có vấn đề gì xảy ra.

Đối với 1) chúng tôi hy vọng các ví hiểu rằng 3074 invokers giống như các phần mở rộng của mã của họ hơn là các hợp đồng. Ví không cho phép người dùng tự do chạy mã tùy ý với quyền truy cập vào pk của họ; tương tự, họ không nên cho phép người dùng ủy quyền tài khoản của họ một cách tùy ý.

Vì vậy nếu ví tính bảo mật tích hợp 3074 vàNgười dùng không xác minh người triệu tập mà họ đang tương tác, có thể ủy quyền cho một người triệu tập độc hại.

Tuy nhiên, có thể hoàn tác bằng cách gửi một giao dịch duy nhất từ EOA. Điều này thu hồi tất cả chữ ký "trong chuyến bay" AUTH.

Tối thiểu, ví tiền nên làm việc ký một thông điệp 3074 trở thành một vấn đề lớn. Điều này tương tự như việc xuất khẩu khóa riêng của bạn.

Giả sử một ví tiền điện tử tích hợp mật khẩu 3074 một cách an toàn, vẫn có khả năng một tài khoản bị quét sạch. Điều này là một tính chất cơ bản của các giao dịch hàng loạt. Nó không chỉ cho phép bạn dễ dàng gửi nhiều giao dịch nhưng cũng cho phép một kẻ tấn công lừa bạn gửi một loạt tài sản đến một địa chỉ mà họ kiểm soát.

Ví tiền phải hiển thị rõ mỗi giao dịch bạn đang ký. Điều này giúp dễ dàng nhận ra “Tôi chỉ dự định thực hiện một giao dịch duy nhất, nhưng yêu cầu ký này lại buộc tôi thực hiện mười hai lần chuyển khoản nữa”.

Sẽ không thể phát hiện điều này nếu nhóm có sẵn thông qua việc ký mù.

Đúng vậy, 3074 đang đặt rất nhiều niềm tin vào ví. Nhưng hãy nhìn, chúng ta đã tin tưởng họ bảo mật khóa riêng của chúng ta! Không có mức độ tin cậy cao hơn.

Có thể tích hợp và sử dụng 3074 một cách an toàn. Nếu bất kỳ ví nào có câu hỏi về cách họ có thể làm điều này, vui lòng liên hệ ngay. Là tác giả của 3074, chúng tôi hiện đang xem xét cách chúng tôi có thể hỗ trợ tốt nhất cho tiêu chuẩn này trong giai đoạn tiếp theo của nó.

Trong những năm qua, chúng tôi đã dành rất nhiều thời gian phát triển các kịch bản giả định về cách nó có thể được sử dụng và lạm dụng. Chúng tôi rất háo hức để những ý tưởng này bắt đầu được sản xuất. Nhưng chúng tôi cũng nhận thức rằng đây là phần khó khăn.

Tuyên bố:

1. Bài viết này ban đầu có tựa đề “Một chữ ký xấu sẽ có thể làm rỗng tài khoản của bạn trên Ethereum sau EIP-3074” được sao chép từ [lightclientsTất cả bản quyền thuộc về tác giả gốclightclients]. Nếu bạn có bất kỳ ý kiến phản đối nào về việc sao chép, vui lòng liên hệ với Gate Họcđội, đội sẽ xử lý nó ngay lập tức.

2. Thông báo: Các quan điểm và ý kiến được thể hiện trong bài viết này chỉ đại diện cho quan điểm cá nhân của tác giả và không hình thành bất kỳ lời khuyên đầu tư nào.

3. Các bản dịch của bài viết sang các ngôn ngữ khác được thực hiện bởi nhóm Gate Learn. Trừ khi được nêu, việc sao chép, phân phối hoặc đạo văn các bài viết dịch là không được phép.