BitKeep 錢包最近版本中進一步增強了簽名授權安全機制和風險提示,包括 eth_sign 風險簽名提示,以及針對風險域名、釣魚網站、風險收幣地址及合約的提示,以加強用戶資產安全保護力度。
(前情提要:V 神最新長文:以ZK零知識證明實現錢包跨L2交易、社交恢復,提升安全隱私)
(背景補充:科普|冷錢包、熱錢包是什麼、優缺點分析;V 神力推的多簽錢包更安全? )
本文為廣編稿,全文由 BitKeep 撰寫提供,不代表動區立場。
BitKeep DApp 瀏覽器作為開放的 Web3 生態入口,用戶可以通過輸入網址,登入訪問任意獨立項目方開發的 DApp。但市場上的 DApp 五花八門,用戶在進行錢包連接、授權簽名的過程中,如果遇到有潛在風險的簽名類型,授權簽名了釣魚合約,就容易引發資產被竊取。
比如一些釣魚網站濫用 eth_sign 簽名來進行「盲簽」欺詐,誘導用戶簽署一條完全不理解的、看似無害的消息,但實際上可能是一條轉帳指令,導致用戶資金被轉移。
BitKeep 錢包最近版本中進一步增強了簽名授權安全機制和風險提示,包括 eth_sign 風險簽名提示,以及針對風險域名、釣魚網站、風險收幣地址及合約的提示,以加強用戶資產安全保護力度。
防範風險域名|釣魚網站風險提示
用戶常面臨釣魚網站的危險,比如駭客或騙子以簡單的釣魚網站和高收益承諾,吸引用戶進行錢包連接和進行授權,獲取用戶帳戶的轉帳權限並竊取資產。
為此,BitKeep 優化了對第三方網站的風險提示作為第一道防線,在用戶訪問詐騙網站和遭遇釣魚之前發出預警。
BitKeep 通過與第三方安全機構合作,接入 Github 開源庫和 Go+ 接口來識別釣魚網站。在用戶訪問 DApp 並打開未知鏈接時,BitKeep 會檢測網站域名是否在黑名單域名庫中,如果屬於釣魚或風險網站,BitKeep 會彈出安全提示,警告用戶該網站存在風險。
防範風險地址|轉帳風險提示
在用戶轉帳時,為了幫助用戶規避「貔貅盤」地址、異常代幣地址、風險合約地址等安全隱患,BitKeep 通過接入 Go+ 開源安全地址庫,識別十幾種風險類型的地址、合約,並進行風險標記和提示。當用戶向這些風險地址或合約轉帳時,BitKeep 會提示用戶該操作存在風險。
例如,當檢測到轉帳收幣地址屬於風險類型時,BitKeep可能會彈出如下警告:
同時請注意,鑑於詐騙手法的隱蔽性和變化性,未收到提示並不意味著操作 100% 安全,用戶仍需提高警惕,加強判斷能力,在訪問第三方網站和轉帳時注意保護好自己的資產安全。
防範風險簽名|eth_sign 風險簽名提示
區塊鏈用戶面臨的安全風險之一來自簽名操作。簽名是確認交易發起者身份的過程,它需要調用錢包的私鑰和加密算法對指令進行數位簽署。儘管簽名可以不需要上鏈,甚至可以離線進行,但這並不意味著沒有風險。
區塊鏈的簽名方式,尤其是使用 eth_sign 簽名,具有很大的權限,代表用戶同意了之後的所有簽名類型,因此需要用戶和開發團隊都格外謹慎。
eth_sign 是一種潛在風險很大的簽名類型,也是許多詐騙案例中使用的簽名方法,它的風險在於,用戶可能不完全理解他們在簽名什麼,也無法檢查簽名代表的具體內容,因為 eth_sign 的輸入是原始字符,而不是文字格式,並不能看出其含義內容,這就是在簽署一份你讀不懂的語言寫成的合約,被稱為「盲簽」。
惡意第三方可能利用這一點,誘導用戶簽名一條自己並不理解的消息,比如交易或智能合約的指令,這可能導致用戶資金被無限制地轉移。
為了防範此類風險,BitKeep 在用戶使用 eth_sign 進行消息簽名時,會彈出風險警告,提示用戶該操作可能存在潛在風險,讓用戶謹慎評估簽名操作是否必要和安全。只有用戶點擊確認後,才會進入簽名頁面。
在以上多重安全防護的基礎上,BitKeep 未來還將推出一鍵取消授權、授權訊息整理等功能,並增加惡意授權主動風險提醒,提升安全系統的整體性能。
BitKeep 團隊提醒大家,在鏈上授權、簽名、轉帳之前請保持時刻警惕,查驗資訊來源途徑,每個人的安全意識才是最重要的防線,如果你發現了疑似風險的 token、合約、DApp,請向我們反饋。
【聯繫 BitKeep :官網︱Twitter︱Discord】
_
