Vớicuộc tấn công gần đây vào OpenSea làm nổi bật các lỗ hổng blockchain, Charles Guillemet, CTO of Ledger cảnh báo người dùng về “ký kết mù” mà ông định nghĩa là “đồng ý một giao dịch được ký một cách mù quáng, mà không hiểu ý nghĩa của nó.”
Trongmột cuộc phỏng vấn với Cointelegraph, Guillemet đã phá vỡ các vấn đề và nhấn mạnh các vấn đề với việc ký kết mù quáng. Ledger CTO lưu ý rằng việc đồng ý với các giao dịch yêu cầu ký một tin nhắn để được gửi đến blockchain. Người dùng là người duy nhất có khả năng ký giao dịch bằng khóa riêng, trong khi những người khác có thể xác minh xem nó có đúng không. “Vấn đề là thông báo này không dễ hiểu theo mặc định. Đó là một tải trọng kỹ thuật số,” Guillemet nói.
Guillemetcũng giải thích rằng khi một chuyển tiền được ký kết, nó thường được hỗ trợ bởi một ví “phân tích đúng tải trọng và hiển thị ý định của nó.” Tuy nhiên, khi nói đến việc ký kết các tương tác phức tạp với các hợp đồng thông minh, Guillemet nói rằng “phân tích cú pháp màn hình không phải lúc nào cũng được hỗ trợ đúng cách và bạn không còn lựa chọn nào khác ngoài việc đồng ý một cách mù quáng cho một giao dịch mà bạn không hiểu.”
“Thật rủi ro vì bạn có thể nghĩ rằng mình đang ký một giao dịch để di chuyển một phần tiền của mình để giải quyết A trong khi bạn thực sự ký một giao dịch để di chuyển tất cả tiền của mình để giải quyết B.”
Liênquan: OpenSea vô hiệu hóa các tính năng tạm thời khi di chuyển hợp đồng hoàn tất
Chuyên gia bảo mật cũng đưa ra các ví dụ trong đó ký kết mù dẫn đến tổn thất đáng kể. Trong lần khai thác OpenSea gần đây nhất, người dùng gặp phải một cuộc tấn công lừa đảo dẫn đến việc mất 1,7 triệu đô la trị giá trong các token không thể thay thế (NFT). Guillemet lưu ý rằng trong vụ việc này, những kẻ tấn công đã lừa nạn nhân của họ vào mù – ký một thông điệp khiến họ đồng ý bán tất cả NFT của họ với giá 0 ETH.
“Kẻ tấn công chỉ phải ký một giao dịch nói rằng ‘Tôi ok để mua các NFT này cho 0 ETH, ‘và sau đó trình bày hai tin nhắn này cho OpenSea để thực sự thực hiện giao dịch hoán đổi 0 ETH so với tất cả các NFT của nạn nhân.”
Khiđược hỏi anh ta nghĩ gì là giải pháp cho vấn đề ký mù, Guillemet đã chuyển sang một câu ngạn ngữ tiền điện tử cũ, “đừng tin tưởng, xác minh.” Ông nói với người dùng tiền điện tử “luôn xác minh giao dịch mà bạn đồng ý ký.” Một gợi ý rằng chuyên gia bảo mật đưa ra là ký các giao dịch bằng cách sử dụng các màn hình đáng tin cậy có thể được tìm thấy trên ví phần cứng.