文/Lisa & Kong
近期,我们发现多起关于eth_sign签名的钓鱼事件。
而当攻击者使用 eth_sign 方法让用户签名时,如下所示,MetaMask 展示的只是一串 bytes32 的哈希。
总结
本文主要介绍 eth_sign 签名方式的钓鱼手法。虽然在签名时 MetaMask 会有风险提示,但若结合钓鱼话术干扰,没有技术背景的普通用户很难防范此类钓鱼。建议用户在遇到此类钓鱼时提高警惕, 认准域名,仔细检查签名数据,必要时可以安装安全插件,如:RevokeCash、ScamSniffer 等,同时注意插件提醒。
慢雾科技
个人专栏
阅读更多
宁哥的web3笔记
金色财经 庞邺
DoraFactory
金色财经Maxwell
新浪VR-
Foresight News
Footprint
元宇宙之道
Beosin
SmartDeerCareer
原文作者: 0x1数据可用性(Data Availability)主要存在于轻客户端节点相对全节点的语境下.
1900/1/1 0:00:00作者: Kong据慢雾区情报,11 月 4 日,一个 BNB Chain 上地址凭空铸造了超 10 亿美元的 pGALA 代币,并通过 PancakeSwap 售出获利.
1900/1/1 0:00:00Jared Gray 对近期针对其等行为的六项指控逐一进行了反驳。撰文:Jared Gary编译:Babywhale,Foresight News两天前,推特用户 YannickCrypto.
1900/1/1 0:00:00Web3 世界中,继新加坡流量减退后,香港重回亚洲加密世界的注意力中心。在不久前举行的“香港金融科技周”上(相关专题),香港特区政府正式发表《有关虚拟资产在港发展的政策宣言》,阐明政府为在香港发.
1900/1/1 0:00:00作者 | LiJaran Mellerud、Anders Helseth编辑 | Colin TSE(擎速能源)Kate吴说区块链授权翻译转载原.
1900/1/1 0:00:00DeFi数据1、DeFi代币总市值:441.15亿美元 DeFi总市值及前十代币 数据来源:coingecko2、过去24小时去中心化交易所的交易量25.
1900/1/1 0:00:00
木星链
;而如上所述,eth_sign 方法可以对任意哈希进行签名,那么自然可以对我们签名后的 bytes32 数据进行签名。因此攻击者只需要在我们连接 DApp 后获取我们的地址对我们账户进行分析查询,即可构造出任意数据(如:native 代币转账,合约调用)让我们通过 eth_sign 进行签名。</p>
<p> 这种钓鱼方式对用户会有很强的迷惑性,以往我们碰到的授权类钓鱼在 MetaMask 会给我直观的展示出攻击者所要我们签名的数据。如下所示,MetaMask 展示出了此钓鱼网站诱导用户将 NFT 授权给恶意地址。</p>
<p> <img alt=)