Satu tanda tangan buruk akan dapat menguras akun Anda di Ethereum setelah EIP-3074.
Ya; ini benar. 3074 coauthor di sini! Biarkan saya mengatasi kekhawatiran ini sedikit sebelum menjadi semakin kacau.
Untuk memulai: Saya tidak mengetahui adanya dompet yang mendukung penandatanganan data tanpa awalan saat ini. Ini berarti bahwa saat ini, tidak ada dompet yang mendukung 3074. Tidak peduli seberapa banyak panel kontrol yang Anda navigasi atau fitur canggih yang Anda aktifkan. Tidak mungkin untuk menandatangani pesan 3074 saat ini.
Pesan yang Anda tandatangani untuk “login” ke dapps menggunakan standar yang sepenuhnya berbeda berdasarkan EIP-191. Ini menambahkan data berikut ke pesan yang Anda tandatangani:
“””
0x19 <0x45 (E)>
“””
Itulah yang membuatnya tidak mungkin menipu seseorang yang masuk ke dapp untuk benar-benar menandatangani transaksi Ethereum yang valid.
Transaksi diawali dengan nilai byte tunggal:
0x01 - 2930 transaksi
0x02 - 1559 tx
0x03 - 4844 tx
informasi lebih lanjut di sini:https://github.com/ethereum/execution-specs/tree/master/lists/signature-types
3074 berencana menggunakan awalan 0x04. Ini akan membedakannya dari semua jenis data yang dapat ditandatangani di Ethereum.
Dompet akan harus secara aktif memilih untuk memungkinkan pengguna untuk menandatangani pesan-pesan ini.
Tergantung pada bagaimana dompet mengintegrasikan 3074, mereka bisa menciptakan situasi di mana pengguna mereka lebih mudah dieksploitasi. Untuk memahami hal ini, kita perlu memastikan bahwa kita memahami bagaimana tanda tangan 3074 bekerja.
Pesan otorisasi yang ditandatangani dibuat di atas memiliki bidang-bidang berikut. Yang penting, itu mencakup alamat pemanggil. Ini adalah satu-satunya alamat di bawah mana tanda tangan akan dianggap sah oleh AUTH.
Untuk sebuah akun bisa dikuras 1) dompet harus memungkinkan pengguna menandatangani ke alamat pemanggil apa pun dan 2) pengguna tidak boleh memverifikasi apakah pemanggil tersebut dapat dipercaya. Lakukan salah satunya dan tidak akan ada masalah.
Untuk 1) kami harap dompet memahami bahwa 3074 invoker lebih mirip dengan ekstensi dari kode mereka daripada kontrak. Dompet tidak memberikan kebebasan kepada pengguna untuk menjalankan kode sembarangan dengan akses ke pk mereka; begitu pula, mereka tidak boleh membiarkan pengguna mendelagasikan akun mereka secara sembarangan.
Jadi jika dompet tidak aman mengintegrasikan 3074danpengguna tidak memverifikasi pemuat yang mereka interaksikan, memungkinkan untuk mendelegasikan kepada pemuat yang jahat.
Namun, ini dapat dibatalkan dengan mengirimkan satu tx tunggal dari EOA. Ini mencabut semua tanda tangan AUTH yang sedang berlangsung.
Setidaknya, dompet harus membuat penandatanganan pesan 3074 menjadi hal yang penting. Ini seperti level hal yang besar seperti mengekspor-kunci-pribadi-anda.
Dengan asumsi dompet mengintegrasikan 3074 secara aman, masih memungkinkan bagi sebuah akun untuk disapu. Ini adalah properti fundamental dari transaksi batch. Ini dengan mudah memungkinkan Anda mengirim beberapa op sebagaimana memungkinkan seorang penyerang untuk menipu Anda mengirim sekelompok aset ke alamat yang mereka kendalikan.
Dompet harus menampilkan setiap operasi yang Anda tanda tangani dengan jelas. Dengan cara ini, mudah untuk memperhatikan "Saya hanya berencana melakukan satu perdagangan, tetapi permintaan tanda tangan ini membuat saya melakukan belasan transfer juga".
Akan tidak mungkin untuk mendeteksi ini jika penggabungan tersedia melalui tanda tangan buta.
Ya, 3074 sangat mempercayakan dompet. Tapi lihat, kita sudah mempercayakan mereka dengan aman kunci pribadi kita! Tidak ada tingkat kepercayaan yang lebih tinggi.
Mungkin untuk mengintegrasikan dan menggunakan 3074 dengan aman. Jika ada dompet yang memiliki pertanyaan tentang bagaimana mereka dapat melakukannya, jangan ragu untuk menghubungi kami. Sebagai penulis 3074, kami saat ini sedang mencari cara terbaik untuk membantu standar ini dalam fase selanjutnya dari kehidupannya.
Selama beberapa tahun terakhir, kami telah menghabiskan banyak waktu mengembangkan skenario hipotetis tentang bagaimana hal itu mungkin digunakan dan disalahgunakan. Kami sangat bersemangat untuk gagasan-gagasan ini mulai diproduksi. Tetapi kami juga sadar bahwa ini adalah bagian yang sulit.
Pernyataan:
Artikel ini yang awalnya berjudul “Satu tanda tangan buruk akan dapat menguras akun Anda di Ethereum setelah EIP-3074” direproduksi dari [klien ringanSemua hak cipta milik penulis aslilightclients]. Jika Anda memiliki keberatan terhadap cetak ulang, silakan hubungi Gerbang Belajartim, tim akan menanganinya sesegera mungkin.
Penafian: Pandangan dan opini yang terdapat dalam artikel ini hanya mewakili pandangan pribadi penulis dan tidak merupakan saran investasi apa pun.
Terjemahan artikel ke dalam bahasa lain dilakukan oleh tim Gate Learn. Kecuali disebutkan, menyalin, mendistribusikan, atau menjiplak artikel yang diterjemahkan dilarang.
