文/Lisa & Kong
近期,我们发现多起关于eth_sign签名的钓鱼事件。
而当攻击者使用 eth_sign 方法让用户签名时,如下所示,MetaMask 展示的只是一串 bytes32 的哈希。
总结
本文主要介绍 eth_sign 签名方式的钓鱼手法。虽然在签名时 MetaMask 会有风险提示,但若结合钓鱼话术干扰,没有技术背景的普通用户很难防范此类钓鱼。建议用户在遇到此类钓鱼时提高警惕, 认准域名,仔细检查签名数据,必要时可以安装安全插件,如:RevokeCash、ScamSniffer 等,同时注意插件提醒。
慢雾科技
个人专栏
阅读更多
宁哥的web3笔记
金色财经 庞邺
DoraFactory
金色财经Maxwell
新浪VR-
Foresight News
Footprint
元宇宙之道
Beosin
SmartDeerCareer
推特用户/img/20221111225128/0.jpg" />英格兰银行正在探讨如何将CBDC引入现有市场:英格兰银行(BoE)正在权衡发行以英镑为单位的央行数字货币(CBDC)的利弊.
1900/1/1 0:00:0001摘要gamefi相比web3其他赛道会有更多web2的用户、有更多的交互需要更好的性能,并且链上资产的同质化很高、数量很多,所以需要更加垂直化的web3基础设施.
1900/1/1 0:00:00明星公链Aptos主网于今日凌晨官宣上线。官方浏览器数据显示,APT代币的80%已抵押,引发社区80%代币供应由团队和投资者控制的猜测.
1900/1/1 0:00:00文/meow Solana聚合交易所Jupiter exchange1、FTX暴雷面临的一个最具挑战性和潜在问题是,solana生态系统的包装Sollet代币,即soBTC.
1900/1/1 0:00:00原文作者:Bill , Waterdrip Capital 比特币是现今最成熟的数字货币系统,无需任何中间人,用户可在比特币的网络里转移货币,实现对商品和服务的支付能力.
1900/1/1 0:00:00在你心目中,NFT 代表了什么?买 NFT 的目的是什么?一些人可能是为了新奇或者当作收藏,另一些人可能是为了 NFT 的某种功能属性,比如用在链游中的道具.
1900/1/1 0:00:00
月亮链
;而如上所述,eth_sign 方法可以对任意哈希进行签名,那么自然可以对我们签名后的 bytes32 数据进行签名。因此攻击者只需要在我们连接 DApp 后获取我们的地址对我们账户进行分析查询,即可构造出任意数据(如:native 代币转账,合约调用)让我们通过 eth_sign 进行签名。</p>
<p> 这种钓鱼方式对用户会有很强的迷惑性,以往我们碰到的授权类钓鱼在 MetaMask 会给我直观的展示出攻击者所要我们签名的数据。如下所示,MetaMask 展示出了此钓鱼网站诱导用户将 NFT 授权给恶意地址。</p>
<p> <img alt=)