امضای کور (Blind Signing)، از بزرگترین نقاط ضعف کریپتو!

هادی ابراهیمی
هادی ابراهیمی
LinkedIn
Telegram
WhatsApp
Twitter
امضای کور

اگر در حال خواندن این مطلب هستید، حتما از قبل می‌دانید که فضای کریپتو و دارایی‌های آن جذاب هستند.

دارایی شما چه به صورت کوین باشد، چه توکن‌های مثل مانند اتریوم یا توکن‌های غیرمثلی مانند NFT، همه ما به دنبال حفظ امنیت دارایی خود هستیم.

ممکن است از برخی از این موارد اطلاع داشته باشید. به عنوان مثال اینکه هرگز کلیدهای خصوصی‌تان یا عبارت بازیابی(12 کلمه‌ای) خود را با کسی به اشتراک نگذارید. این موارد امنیتی کاملا درست است، اما این پایان داستان نیست!

بیشتر بخوانید: 5 کلاهبرداری رایج در حوزه دیفای + راهکارهای مقابله با آن‌ها

به دنبال افزایش محبوبیت روز افزون و باورنکردنی DeFi و DAPP در فضای کریپتو، کاربران در حال تعامل با قراردادهای هوشمند به روش‌های پیچیده‌تری هستند.

کلاهبرداران نیز همیشه به دنبال آسیب‌‌پذیری‌های جدید برای نفوذ در فرآیند تراکنش‌ها، دائما شبکه را رصد می‌کنند. این مسئله، مسلما منجر به تشکیل نسل جدیدی از شگرد‌های کلاهبرداری شده است که برای گرفتن دارایی‌هایی که به سختی به دست آورده‌اید طراحی شده‌اند.

امضای کور در قراردادها
امضای کور (Blind Signing) یکی از ترفندهای کمتر شناخته شده‌ای است که توسط کلاهبرداران برای سرقت دارایی‌های شما مورد استفاده قرار می‌گیرد.

در اینجا، ما توضیح می‌دهیم که امضای کور چیست، کلاهبرداری‌هایی که بوسیله امضای کور انجام می شوند چگونه کار می‌کنند و به شما خواهیم گفت که چگونه می‌توانید از آن‌ها اجتناب کنید.

امضای کور (Blind Signing) چیست؟

قبل از بحث درباره نحوه عملکرد دیجیتالی این مفهوم، اجازه دهید از اصول اولیه آن با قلم و کاغذ در دنیای واقعی شروع کنیم.

قراردادهای که در دنیای واقعی با آن سر و کار داریم، برای مدیریت و حاکمیت روابط کاری، مالی و موارد گوناگون دیگر بین ما وجود دارد.

چه یک قرارداد کاری که شما را ملزم به 40 ساعت کار در هفته می‌کند یا یک اشتراک نتفلیکس که باید هر ماه پرداخت شود، زمانی که قراردادی را امضا می‌کنید، موافقت می‌کنید که آنچه می گوید را انجام می‌دهید.

با امضای خود نشان می‌دهید که شرایط قرارداد را دیده و درک نموده‌اید، پس رضایت خود را برای پذیرش ‌شرایط آن اعلام کرده‌اید.

امضای قرارداد دیجیتال

 زیرساختی که DAPP ، NFT و بسیاری از عناصر DeFi را تقویت می‌کند، در واقع نسخه دیجیتالی همان قراردادهای کاغذی است.

فرض کنید مقداری ارز دیجیتال از یک وام دهنده قرض می‌گیرید، بر این اساس که هر ماه مبلغ مشخصی را با بهره پس می‌دهید. هنگامی که موافقت نامه را با استفاده از کلید خصوصی ولت خود تأیید می‌کنید، در واقع در حال امضای دیجیتالی قرارداد هوشمند هستید.

بیشتر بخوانید: وام‌گیری ارز دیجیتال چگونه انجام می‌شود؟

اما اگر واقعاً نتوانید قرارداد را ببینید چطور؟ این ما را به سوال اصلی باز می‌گرداند.

در نتیجه، نمی‌توان این کد‌ها را به طور کامل استخراج و به زبانی که کاربر بتواند آن‌ها را درک کند، نمایش داد. به عبارت دیگر، کیف پول‌ها همچنان برای ایجاد و ارائه بهترین انتخاب‌های جدید برای مشتریان، دائما در حال تلاش هستند.

این موضوع از نگاه کاربر چگونه به نظر می‌رسد؟

بیایید به یک مثال واقعی نگاه کنیم تا نشان دهیم چگونه این امر بر تراکنش‌های بلاکچین شما تأثیر می‌گذارد. اول از همه، ما باید بدانیم که هر زمان تراکنشی را با استفاده از صفحه رایانه خود امضا می‌کنید، از نظر فنی شما حال در امضای کور هستید!

فرض کنید در حال انجام تراکنش بلاکچینی از طریق کیف پول نرم‌افزاری هستید: از آنجایی که صفحه نمایش شما (رایانه یا موبایل) به اینترنت متصل است، در برابر هک آسیب‌پذیر هستید.

این بدان معناست که هرگز نمی‌توان به صفحه نمایش و جزئیات آنچه امضا می‌کنید کاملاً اعتماد کرد، همیشه این احتمال وجود دارد که صفحه نمایش شما برای نشان دادن تصویری نادرست از یک قرارداد دیگر هک شده باشد و شما را مجبور به امضای چیز دیگری کند.

کیف پول لجر نانو
هدف استفاده از یک کیف پول سخت افزاری مانند Ledger Nano حذف احتمال وجود خطر هک کامپیوتر یا موبایل است.

یکی از راه‌های پیشنهادی ما استفاده از کیف پول‌های سخت افزاری است. در ادامه این موضوع را با استفاده از کیف پول Ledger Nano پیش می‌بریم.

بیشتر بخوانید: بررسی کیف پول لجر نانو اس (Ledger nano s) + آموزش کار

چرا استفاده از کیف پول سخت افزاری؟

از آن‌جایی که کیف پول شما به عنوان یک مکان امن و آفلاین عمل می‌کند که برای هکرها غیرقابل نفوذ است و صفحه آن همیشه جزئیات واقعی یک معامله را نشان می‌دهد (در کیف‌پول‌های سخت‌افزاری لجر، از “نمایشگر قابل اعتماد (trusted display)” با اطمینان از اینکه دقیقاً شما با چه چیزی موافقت می‌کنید، استفاده شده است)، دیگر نگرانی نخواهد داشت.

با این حال، اگرچه Nano همیشه جزئیات دقیق تراکنش را به شما نشان می‌دهد، اما این تنها زمانی امکان پذیر است که آن جزئیات در دسترس باشد. ولی همیشه اینطور نیست.

فرض کنید اقدامات امنیتی مناسبی را انجام داده‌اید که در آن با استفاده از ترکیبی از دستگاه Ledger خود و کیف پول نرم‌افزاری که شما را به DAPP متصل می‌کند، مبادله‌ای انجام می‌دهید، به نظر همه چیز درست است!

اما همانطور که قبلاً اشاره کردیم اکثر کیف پول‌های نرم‌‌‌افزاری قادر به خواندن و استخراج کامل عناصر قرارداد هوشمند میان واسطه‌های بین دستگاه شما و DAPP در زمان تراکنش نیستند.

در عوض، دستگاه به سادگی «Data Present» را نشان می‌دهد و شما قادر نخواهید تا مشاهده قبل از تأیید، جزئیات کلیدی تراکنش مانند نوع فراخوانی، قیمت، آدرس دریافتی و غیره را مشاهده کنید. 

همان‌طور که مشاهده می‌کنید، هیچ جزییاتی از تابع و اقدام فراخوانی شده در تراکنش وجود ندارد که در نهایت شما این تراکنش را براساس اعتماد تایید کنید. به همین دلیل است که به آن امضای کور یا Blind signing می‌گویند.

با این اوصاف، امضای کور بسیار خطرناک به نظر می‌رسد، اما اکثر ما در انجام آن مقصر هستیم.

به عنوان مثال آخرین باری که شما به عنوان یک کاربر، مواد توافق قرارداد یک خدمات جدید را خوانده‌اید، چه زمانی بوده است؟ واقعیت این است که ما بسیاری از تصمیمات خود را بر اساس شهرت افرادی که با آن‌ها معامله می‌کنیم قرار می‌دهیم!

امضای کور باعث ایجاد انواع جدیدی از تقلب می‌شود!

با فراگیر شدن کریپتو به جریان زندگی مردم، افراد بیشتری در مورد نحوه ایمن نگاه داشتن دارایی‌های خود آگاه می‌شوند.

از این رو فرصت‌های کمتری برای کلاهبرداران و اسکمر‌های کریپتو در دست‌یابی به دارایی‌های شما وجود خواهد داشت. به همین دلیل، به جای تلاش برای باز کردن در‌هایی که باز نمی‌شوند، سعی می‌کنند شما آن در‌ها را برای آن‌ها باز کنید. 

بیشتر بخوانید: 4 نشانه که یک ارز دیجیتال اسکم (کلاهبردار) است

نمونه بارز آن، کاهش خرید NFT در وب سایت‌های کمتر شناخته شده است.

در وبسایت Mania، تقاضای زیادی برای این دارایی‌های دیجیتال وجود دارد، چرا که توکن‌های NFT نقش حیاتی در رونق و هیجان این بازار ایفا می‌کنند.

اما قبل از اینکه یک امضای کور برای خرید NFT بدهید، بد نیست ابتدا کمی بررسی کنید، اگر برندی که در حال خرید توکن از آن هستید، به اندازه کافی شناخته شده نباشد، آیا می‌توانید مطمئن شوید تراکنشی که تأیید می‌کنید همان چیزی است که فکر می‌کنید؟

پیام‌های خصوصی یکی دیگر از کانون‌های این نوع تهدید است.

در یک حادثه اخیر، کلاهبرداران به عنوان مدیران OpenSea در شبکه اجتماعی Discord ظاهر شدند. در این حین، یک کلکسیونر باتجربه که به دنبال کمک فنی است، با این باور که با یک مشاور خدمات Opensea صحبت می‌کند، صحبتی را درباره حساب خود آغاز کرد.

بیشتر بخوانید: روش خرید NFT (روی پلتفرم Opensea)

در جریان گفتگو، مشاور از او خواست تا با استفاده از Ledger Nano، یک تراکنش را بدون نشان دادن جزییات قرارداد هوشمند مقصد تایید کند. در واقع، تراکنشی که او تأیید می‌کرد، دسترسی به دارایی‌های کلکسیونر نگون بخت را فراهم می‌کرد. مشاور قلابی در این سناریو، یک کلاهبردار بود که برای به دام انداختن طرف مقابل تلاش می‌کرد.

اعتماد نکنید، تأیید کنید!

هسته اصلی چنین سناریویی، از مهندسی اجتماعی نشات می‌گیرد.

کلاهبرداران در ایجاد محیطی امن و به نظر واقعی، تخصص دارند. آن‌ها کاری می‌کنند تا شما آنقدر به آن‌ها اعتماد کنید که مراقب نکات امنیتی و خط قرمز‌های آن در حفظ دارایی خود نباشید.

در این مثال، قربانی به یک معامله کور اعتماد کرد زیرا فکر می‌کرد با یک مشاور و راهنمای خدمات دلسوز سروکار دارد.

این نوع کلاهبرداری‌ها بیش از پیش رایج می‌شوند زیرا سرعت بسیار زیاد پیشرفت ارزهای دیجیتال، امضای کور را به یک هنجار صنعتی تبدیل کرده است. وقت آن است که ابزارها و پلتفرم‌ها، توانایی‌های خود را در مرتفع ساختن چنین روش‌های کلاهبرداری به‌روز کنند.

چگونه می‌توانم همیشه با خیال راحت، از DAPP ها استفاده کنم؟

ماموریت شرکت توسعه دهنده کیف‌پول (Ledger)، ایجاد شفافیت و امنیت مطلق برای هر یک از تراکنش‌های شماست.

آخرین ارتقا‌های ارائه شده برای امضای شفاف (مخالف امضای کور) در تراکنش‌های اپلیکیشن‌های غیرمتمرکز یکپارچه شده در این کیف‌پول وجود دارد.

ارتقاهای انجام شده در این کیف‌پول باعث دو تغییر مثبت شده است. اکنون Ledger Nano نه تنها می‌تواند اطلاعات قرارداد هوشمند را برای طیف وسیعی از DAPP بخواند و نمایش دهد بلکه راه‌اندازی بخش اپ کاتالوگ این کیف‌پول در داخل Ledger Live، به شما امکان دسترسی به تعداد بسیاری زیادی اپلیکیشن‌های غیرمتمرکز و دیفای را از داخل دستگاه Ledger فراهم می‌کند.

بنابراین می‌توانید از اکوسیستم Ledger به عنوان دروازه‌ای امن برای اتصال به DAPP و سرویس‌های مورد علاقه خود استفاده کرده و تراکنش‌ها را با مشاهده جزییات آن تأیید کنید.

اگر DAPP مورد نیاز من با لجر یکپارچه نشود چه کنم؟

اگر توسعه دهنده هستید، از آنجایی که Ledger Live یک پلتفرم باز و متن‌باز(open source) است، بدون توجه به پروژه، می توانید افزونه خود را بنویسید تا آن را با Ledger Live سازگار کنید و به کاربران خود اجازه دهید تا از یک امضای شفاف استفاده کنند. 

با این که گستره پوشش اپلیکیشن‌های غیرمتمرکز در لجر در حال افزایش است، اما همچنان برخی از تراکنش‌ها هنوز به یک کیف پول واسط (مانند ولت نرم افزاری) نیاز دارند.

اگر تراکنش‌ها را از طریق یک نرم‌افزار واسط تأیید می‌کنید، ممکن است همچنان از شما خواسته شود که یک امضای کور را انجام دهید.

در چنین حالتی، هنوز چند مرحله وجود دارد که می‌توانید با استفاده از آن‌ها خطر کلاهبرداری را از سر راه خود دور کنید:

  • از اپلیکیشن‌های غیرمتمرکزی که قبلاً هرگز نام آنها را نشنیده اید استفاده نکنید، همیشه صحت آن‌ها را مورد سوال و بررسی قرار دهید.
  • نسبت به پیام‌های خصوصی خود در رسانه های اجتماعی احتیاط کنید. اگر شخصی که نمی شناسید مسرانه با شما تماس می‌گیرد، دلایل آن را در نظر بگیرید. به یاد داشته باشید، ممکن است هر کسی باشد (روی پیوندها و لینک‌ها کلیک نکنید).
  • مهم نیست که چه نوع تراکنشی انجام می‌دهید، Ledger Nano همچنان ابزار ارزشمندی برای آفلاین نگه داشتن کلیدهای خصوصی شما در هر زمان است. استفاده از آن یک لایه امنیتی برای همه تراکنش‌های شما اضافه می‌کند.
  • و آخرین مورد این که هرگز و هرگز رمز عبور خود را برای کسی فاش نکنید، آن را در دستگاهی امن متصل به اینترنت ذخیره کنید یا در کیف پول نرم افزاری وارد کنید، رمز عبور شما فقط برای وارد شدن در دستگاه Ledger خصوصی شماست، نه شخص دیگر.

شما دروازه‌بان هستید

امضای کور دو عنصر مهم دارد، عنصر اول این است که یک شکاف تکنولوژیکی باعث خطای انسانی می‌شود. به همین دلیل تصمیم خود شما در هنگام تایید تراکنش‌ها هرگز تا این حد مهم نبوده است.

عنصر دوم اینکه مهم نیست کیف پول شما چقدر پیشرفته است، شما آخرین نقطه دفاعی برای حفظ دارایی‌های ارز دیجیتال خود هستید.

جزئیات تراکنش
با اطمینان می‌توان گفت همه بخش‌های تراکنش با کیف پول‌های سخت افزاری (البته نه همه آن‌ها) می‌تواند توسط شما بررسی شود. جزییات مقصد، آدرس قرارداد هوشمند و مبلغ را بررسی کنید.

فعال کردن قابلیت امضای کور در نرم‌افزار ETHEREUM

این آموزش به شما نشان می‌دهد که چگونه از دستگاه Ledger خود برای فعال کردن امضای کور در نرم‌افزار Ethereum (ETH) استفاده کنید.

امضای کور قبلاً Contract Data (داده‌های قرارداد) نامیده می‌شد. لطفاً توجه داشته باشید که داده‌های قرارداد و امضای کور یک ویژگی هستند، فقط نام آن تغییر کرده است.

بیشتر بخوانید: آموزش انتقال اتریوم به والت Ledger Nano S

چه زمانی فعال کردن قابلیت امضای کور لازم است؟

  • فعال کردن امضای کور برای امضای اکثر تراکنش‌های مربوط به قراردادهای هوشمند لازم است.
  • به عنوان مثال، هنگام استفاده از اپلیکیشن‌های غیرمتمرکز اتریوم از طریق MetaMask، باید گزینه امضای کور را فعال کنید.
  • هنگام استفاده از DAPP که در برگه Discover در Ledger Live موجود است، نیازی به فعال کردن امضای کور ندارید.

آموزش فعال کردن قابلیت امضای کور

  • دستگاه Ledger خود را به اینترنت متصل و باز کنید.
  • برنامه اتریوم (ETH) را باز کنید.
  • دکمه سمت راست را فشار دهید تا به تنظیمات بروید. سپس هر دو دکمه را برای اعتبار سنجی فشار دهید.
  • دستگاه Ledger شما Blind Signing را نمایش می‌دهد.
  • برای فعال کردن تراکنش امضای کور ، هر دو دکمه را فشار دهید. دستگاه Enabled را نمایش می‌دهد. پس کار تمام شد.

نکاتی قبل از فعال کردن گزینه امضای کور

  • فعال کردن امضای کور یک ویژگی پیشرفته است که فقط برای امضای تراکنش‌های مربوط به قراردادهای هوشمند (مثلاً مبادله توکن‌ها از طریق یک صرافی غیرمتمرکز) مورد نیاز است.
  • توصیه می‌شود پس از استفاده، امضای کور را غیرفعال کنید.
  • لطفاً توجه داشته باشید که امضای کور به‌طور خودکار پس از به‌روزرسانی نرم‌‌افزار یا پس از به‌روزرسانی برنامه اتریوم (ETH) غیرفعال می‌شود.
  • این می‌تواند هر زمان که برنامه به صورت دستی از طریق کاربر در Ledger Live، یا پس از به‌روز‌رسانی سیستم عامل که نیاز به نصب مجدد برنامه‌ها دارد، به روز شود. با استفاده از دستورالعمل‌های بالا، می‌توانید در صورت نیاز، امضای کور را دوباره فعال کنید.

نتیجه گیری

به دنبال افزایش باورنکردنی اپلیکیشن‌های DeFi (امور مالی غیر متمرکز) و توکن‌های NFT (توکن غیر مثلی)، کاربران به روش‌های پیچیده‌تری با قراردادهای هوشمند در تعامل هستند و کلاهبرداران همیشه به دنبال نقاط آسیب پذیر جدید برای نفوذ و سرقت دارایی‌های شما بر می‌آیند.

امضای کور یکی از ترفندهای کمتر شناخته شده‌ای است که توسط کلاهبرداران برای سرقت دارایی‌های شما به کار می‌روند.

در این مقاله سعی کردیم به طور کامل در مورد مفهوم امضای کورو ارائه پیشنهادات جهت جلوگیری از قرار گرفتن در شرایط آسیب‌زا صحبت کنیم. قطعا استفاده از کیف پول‌های سخت افزاری می‌تواند امنیت خاطر شما جهت شرکت در پروژه‌های مختلف را افزایش دهد.

قصد خرید یا فروش ارز دیجیتال در ایران را دارید؟ در این سایت می‌توانید با اطمینان و با چند کلیک خرید کنید:

نامویژگی‌هاامتیاز
نوبیتکس
  • خرید ارز دیجیتال با کارت بانکی شتاب
  • بدون نگرانی از تحریم
  • معامله با کارمزد و سرعت مناسب
  • ترید ارز دیجیتال با دلار (تتر) و ریال
عضویت فوری
صرافی خارجی کوینکسعضویت فوری

سایر مطالب: هک ارز دیجیتال (امنیت سایبری با شناخت حملات هکرها)

به اشتراک بگذارید:

Twitter
LinkedIn
WhatsApp
Telegram
Email
هادی ابراهیمی

هادی ابراهیمی

برنامه نویس بلاکچین و علاقمند به بازار‌های مالی به ویژه کریپتو. فعالیت تخصصیم در کریپتو رو با برنامه نویسی قرارداد‌های هوشمند آغاز کردم و در این مسیر برای یادگیری هر چه بیشتر بلاکچین و متاورس تلاش می‌کنم
دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.

عناوین مطلب