امضای کور (Blind signing) چیست؟

امضای کور (Blind signing) یکی از موذیانه ترین ترفندهایی است که توسط کلاهبرداران برای سرقت دارایی های شما مورد استفاده قرار می گیرد. قراردادهای هوشمند مورد استفاده در dApps و NFT های امروزی حاوی جزئیات کلیدی هستند؛ اما اکثر کیف پول ها نمی توانند به طور کامل استخراج و نمایش داده شوند و کاربران بدون اینکه بدانند با چه چیزی موافقت می کنند، آنها را امضا می کنند. در واقع به جای تلاش برای شکستن در، کلاهبرداران با فریب دادن شما به امضای کور، به شما متکی هستند تا در را برای آنها باز کنید. در این مطلب، ما توضیح خواهیم داد که امضای کور چیست و کلاهبردارهای امضای کور چگونه کار می کنند؟

مفهوم امضای کور

قبل از بحث درباره نحوه عملکرد دیجیتالی این مفهوم، اجازه دهید از اصول اولیه قلم و کاغذ دنیای واقعی شروع کنیم. قراردادها برای اداره روابط ما وجود دارد. چه یک قرارداد کاری که شما را ملزم به 40 ساعت کار در هفته می کند یا یک اشتراک نتفلیکس که باید هر ماه پرداخت شود، وقتی قراردادی را امضا می کنید، موافقت می کنید که آنچه می گوید را انجام دهید. با امضای خود نشان می دهید که شرایط را دیده و درک کرده و رضایت خود را برای التزام به آنها مشاهده کرده اید.

امضای قرارداد دیجیتال

قراردادهای هوشمند (زیرساختی که dApps ،NFT و بسیاری از عناصر DeFi را تقویت می کند)، نسخه دیجیتالی این قضیه است. فرض کنید مقداری ارز رمزنگاری شده را از یک وام دهنده قرض می‌گیرید، بر این اساس که هر ماه مبلغ مشخصی را با بهره پس می دهید. هنگامی که توافق نامه را با استفاده از کلید خصوصی خود تأیید می کنید، قرارداد هوشمند را به صورت دیجیتالی امضا می کنید.

اما اگر واقعاً نتوانید قرارداد را ببینید چه؟ این ما را به سوال اصلی خود بازمی گرداند. قراردادهای هوشمند مورد استفاده در dApps و NFT های امروزی چالشی را برای نسل فعلی کیف پول های رمزنگاری به وجود آورده است زیرا کد آنها (حاوی جزئیات قراردادهای کلیدی) نمی تواند به طور کامل استخراج و به زبانی نمایش داده شود که کاربر بفهمد. به عبارت دیگر، کیف پول‌ها همچنان با جدیدترین گزینه‌ها برای مصرف‌کنندگان بازی می‌کنند.

بیایید به یک مثال واقعی نگاه کنیم تا نشان دهیم که چگونه این امر بر معاملات شما تأثیر می گذارد. اول از همه، هر زمان که هر تراکنشی را با استفاده از صفحه رایانه خود امضا می کنید، از آنجایی که صفحه نمایش شما (رایانه یا موبایل) به اینترنت متصل است، در برابر هک آسیب پذیر است. این بدان معناست که هرگز نمی توان به صفحه نمایش جزئیات آنچه امضا می کنید کاملاً اعتماد کرد و همیشه این احتمال وجود دارد که صفحه نمایش برای نشان دادن نمایشگر نادرست هک شده باشد و شما را مجبور به امضای چیز دیگری کند. بنابراین با تأیید تراکنش، شما گرفتار «امضای کور» هستید و معامله را بر اساس اعتماد تأیید می کنید.

به این ترتیب، امضای کور بسیار خطرناک به نظر می رسد اما اکثر ما در انجام آن مقصریم. آخرین باری که قرارداد کاربر را برای آن سرویس جدیدی که در آن ثبت نام کرده اید خوانده اید چه زمانی بود؟ واقعیت این است که بسیاری از تصمیمات ما بر اساس شهرت افرادی که با آنها معامله می کنیم استوار است.

امضای کور باعث ایجاد انواع جدیدی از تقلب می شود!

با ورود کریپتو به جریان اصلی معاملات، افراد بیشتری در مورد نحوه ایمن نگه داشتن دارایی های خود آموزش می بینند و فرصت های کمتری برای کلاهبرداران برای دسترسی به دارایی های شما وجود دارد. بنابراین به جای تلاش برای شکستن در، آنها به شما متکی هستند که در را برای آنها باز کنید.

نمونه بارز این دراپ های NFT در وب‌سایت‌های کمتر شناخته شده است، شیدایی NFT باعث تقاضای زیادی برای این دارایی‌های دیجیتالی شده است و ایردراپ ها برای بازی با این هیجان طراحی شده‌اند. قبل از اینکه امضای کور برای ایردراپ NFT بدهید، فکر کنید: اگر برند شناخته شده ای نیست، آیا می توانید مطمئن شوید که تراکنشی که تأیید می کنید همان چیزی است که فکر می کنید؟

نمونه دیگری از خطرناک بودن امضای کور، اظهارات چارلز گویلمت است. با حمله اخیر به OpenSea، چارلز گویلمت، مدیر ارشد فناوری لجر به کاربران در مورد «امضای کور» هشدار داد، که او آن را به‌عنوان «رضایت یک معامله برای امضای کورکورانه، بدون درک معنای آن» تعریف می‌کند.

در مصاحبه با Cointelegraph، چارلز گویلمت مسائل مربوط به امضای کور را برجسته کرد. مدیر ارشد فناوری لجر خاطرنشان می کند که رضایت از تراکنش ها مستلزم امضای پیامی برای ارسال به بلاک چین است. کاربر تنها کسی است که می‌تواند تراکنش‌ها را با کلید خصوصی امضا کند، در حالی که دیگران می‌توانند صحت آن را تأیید کنند. Guillemet می گوید: “مشکل این است که این پیام به طور پیش فرض قابل درک نیست. این یک ظرفیت ترابری دیجیتالی یا payload است.”

Guillemet همچنین توضیح داد که وقتی انتقال سکه امضا می‌شود، معمولاً توسط کیف پولی پشتیبانی می‌شود که « payload را به درستی تجزیه می‌کند و قصد آن را نشان می‌دهد.» با این حال، وقتی نوبت به امضای تعاملات پیچیده با قراردادهای هوشمند می‌رسد، گویلمت می‌گوید که «تجزیه همیشه به درستی پشتیبانی نمی‌شود و شما چاره‌ای ندارید جز اینکه کورکورانه برای معامله‌ای که درک نمی‌کنید موافقت خود را اعلام کنید.»

آیا امضای کور ایمن است؟

در واقع خطرناک است زیرا می توانید فکر کنید که معامله ای را امضا می کنید تا بخشی از وجوه خود را به آدرس A منتقل کنید، در حالی که در واقع معامله ای را امضا می کنید تا تمام وجوه خود را به آدرس B منتقل کنید.

این کارشناس امنیتی همچنین نمونه هایی را بیان کرد که امضای کور منجر به خسارات قابل توجهی شد. در جدیدترین اکسپلویت OpenSea، کاربران با یک حمله فیشینگ مواجه شدند که منجر به از دست دادن 1.7 میلیون دلار توکن غیرقابل تعویض (NFT) شد. Guillemet خاطرنشان می‌کند که در این حادثه، مهاجمان قربانیان خود را فریب دادند تا پیامی را امضا کنند که باعث می‌شد آن‌ها راضی شوند که تمام NFTهای خود را به قیمت 0 ETH بفروشند.

مهاجم فقط باید تراکنشی را امضا می‌کرد که می‌گفت «من برای خرید این NFTها با 0 ETH راضی هستم» و سپس این دو پیام را به OpenSea ارائه کرد تا در واقع تراکنش را با مبادله 0 ETH در برابر همه NFTهای قربانیان انجام دهد.

وقتی از او پرسیده شد که فکر می‌کند راه‌حلی برای مسئله امضای کور وجود دارد یا خیر، گویلمت به یک ضرب المثل قدیمی رمزنگاری اشاره کرد: «اعتماد نکن، تأیید کن» او به کاربران رمزارز می‌گوید: «همیشه تراکنشی را که با امضای آن موافقت می‌کنید تأیید کنید.» یکی از پیشنهاداتی که متخصص امنیت مطرح کرد، امضای تراکنش‌ها با استفاده از نمایشگرهای قابل اعتماد است که می‌توان آن‌ها را در کیف پول‌های سخت‌افزاری یافت.