Mit dem jüngsten Angriff auf OpenSea, der Blockchain-Schwachstellen hervorhebt, warnt Charles Guillemet, der CTO von Ledger, die Benutzer vor „blindem Signieren“, das er als „Einverständniserklärung zur blinden Signierung einer Transaktion, ohne zu verstehen, was es bedeutet“ definiert.
In einem Interview mit Cointelegraph hat Guillemet die Probleme aufgeschlüsselt und Probleme mit dem blinden Signieren hervorgehoben. Der Ledger CTO stellt fest, dass die Zustimmung zu Transaktionen das Signieren einer Nachricht erfordert, die an die Blockchain gesendet werden soll. Ein Benutzer ist der einzige, der Transaktionen mit dem privaten Schlüssel signieren kann, während andere überprüfen können, ob er korrekt ist. „Das Problem ist, dass diese Nachricht standardmäßig nicht verständlich ist. Es handelt sich um eine digitale Nutzlast“, sagt Guillemet.
Guillemet erklärte auch, dass eine signierte Coin-Überweisung normalerweise von einer Brieftasche unterstützt wird, die „die Nutzdaten ordnungsgemäß analysiert und ihre Absicht anzeigt“. Wenn es jedoch darum geht, komplexe Interaktionen mit intelligenten Verträgen zu unterzeichnen, sagt Guillemet, dass „das Parsen der Anzeige nicht immer richtig unterstützt wird und Sie keine andere Wahl haben, als blind einer Transaktion zuzustimmen, die Sie nicht verstehen.“
„Es ist riskant, weil Sie denken können, dass Sie eine Transaktion unterzeichnen, um einen Teil Ihrer Gelder an Adresse A zu verschieben, während Sie tatsächlich eine Transaktion unterzeichnen, um alle Ihre Gelder an Adresse B zu verschieben.“
Verwandt: OpenSea deaktiviert Funktionen vorübergehend, wenn die Vertragsmigration abgeschlossen ist
Der Sicherheitsexperte nannte auch Beispiele, bei denen blindes Signieren zu erheblichen Verlusten führte. Beim jüngsten OpenSea-Exploit stießen Benutzer auf einen Phishing-Angriff, der zum Verlust von nicht fungiblen Token (NFTs) im Wert von 1,7 Millionen US-Dollar führte. Guillemet stellt fest, dass die Angreifer bei diesem Vorfall ihre Opfer dazu verleitet haben, eine Nachricht blind zu signieren, die sie dazu veranlasste, alle ihre NFTs für 0 ETH zu verkaufen.
„Der Angreifer musste nur eine Transaktion mit der Aufschrift „Ich bin in Ordnung, diese NFTs für 0 ETH zu kaufen“ unterzeichnen und diese beiden Nachrichten dann OpenSea vorlegen, um die Transaktion tatsächlich auszuführen und 0 ETH gegen alle NFTs der Opfer auszutauschen.“
Auf die Frage, was seiner Meinung nach die Lösung für das Problem des blinden Signierens ist, wandte sich Guillemet an ein altes Krypto-Sprichwort: „Vertraue nicht, verifiziere“. Er fordert Krypto-Benutzer auf, „immer die Transaktion zu überprüfen, deren Unterzeichnung Sie zustimmen“. Ein Vorschlag, den der Sicherheitsexperte vorgebracht hat, ist das Signieren von Transaktionen mit vertrauenswürdigen Displays, die auf Hardware-Wallets zu finden sind.