مقالات

آشنایی با امضای کور (Blind Signing)، دلیل و روش استفاده از آن

نکات کلیدی

  • امضای کور یعنی تأیید تعاملی با یک قرارداد هوشمند که دید کاملی نسبت به آن ندارید.
  • ممکن است دلیل امضای کور این باشد که والت شما اطلاعات تراکنش را دقیق نمایش نمی‌دهد یا اینکه نمی‌توانید به صفحه والت نرم‌افزاری اعتماد کنید (چون همیشه ریسک هک وجود دارد).
  • امکانات لجر باعث شده که کاربران نیازی به امضای کور نداشته باشند چون هر زمان با یکی از پلتفرم‌های ادغام شده در لجر نانو تعاملی داشته باشید، کل اطلاعات قرارداد هوشمند روی صفحه نمایش قابل اطمینان این دستگاه نمایش داده می‌شود.
  • اما وقتی با اپلیکیشنی خارج از اکوسیستم لجر کار می‌کنید، باید امضای کور را روی دستگاه فعال کنید.
  • در این مطلب نحوه انجام این کار و نکات امنیتی مهمی که نباید از آنها غافل شوید را به شما آموزش می‌دهیم.

در دنیای وب 3، امضای کور یکی از ریسک‌های مخفی است که کاربران را تهدید می‌کند و به همین دلیل ادغام‌های پلتفرم لجر کم کم باعث از بین رفتن این تهدیدات امنیتی می‌شوند.

اما وقتی با اپلیکیشن‌هایی خارج از این اکوسیستم تعامل دارید، ممکن است نیاز به امضای کور پیدا کنید به همین دلیل وقتی با بعضی از اپلیکیشن‌های غیرمتمرکز کار می‌کنید پیام Enable Blind Signing را روی دستگاه مشاهده می‌کنید. در این مقاله به شما می‌گوییم که امضای کور تراکنش چیست، وقتی این پیام نمایش داده می‌شود چه عکس العملی نشان دهید و چطور از حفظ امنیت خودتان اطمینان حاصل کنید.

امضای کور چیست؟

ساده‌ترین تعریف امضای کور یعنی تأیید یک قرارداد هوشمند مبتنی بر بلاک‌چین که دید کاملی بر جزئیات آن ندارید - پدیده‌ای که امروزه در حوزه کریپتو بسیار رایج شده است.

مشکل نمایش قراردادهای هوشمند

والت‌های کریپتو - هم از نوع نرم‌افزاری و هم سخت‌افزاری - به دلایل مختلف برای نمایش قراردادهای هوشمند با مشکل روبرو می‌شوند.

  • والت‌های سخت‌افزاری

معمولاً والت‌های سخت‌افزاری طوری طراحی می‌شوند که به اجرای تراکنش‌های انتقال وجه ساده کمک کنند اما قراردادهای هوشمند پیچیده‌تر هستند - شاید والت شرایط قرارداد را درک کند اما نمی‌تواند آنها را در فرمتی قابل درک به شما نشان دهد. از آنجایی که این تکنولوژی نسبت به ابزارهایی که برای استفاده از آن طراحی شده اند رشد سریع‌تری دارد، ممکن است نیاز پیدا کنید بعضی ازتراکنش‌ها را صرفاً بر اساس اعتمادی که به آنها دارید امضاء کنید.

پیام‌های خصوصی بستر مناسبی برای چنین تهدیداتی هستند. در یکی از کلاهبرداری‌های اخیر، مهاجمان سایبری خودشان را به عنوان ادمین فنی OpenSea در دیسکورد معرفی کردند. یکی از کلکسیونرهای مجربی که به دنبال راهنمایی فنی بود، شروع به گفتگو درباره اکانتش با این افراد کرد با این تصور که جزء تیم پشتیبانی هستند. در این گفتگوها، راهنما از او خواست تراکنشی را با لجر نانو تأیید کند - که جزئیات قرارداد آن مشخص نشده بود.  در واقع این تراکنش با هدف فراهم شدن دسترسی هکرها به والت او طراحی شده بود و کل این سناریو با هدف کلاهبرداری پیاده سازی شده بود.

  • والت‌های نرم‌افزاری

والت‌های نرم‌افزاری طوری طراحی شده اند که همیشه به اینترنت متصل باشند. این یعنی هکرها می‌توانند با اجرای حملاتی مثل حمله مرد میانی کاری کنند که صفحه نمایش والت اطلاعات اشتباهی را نمایش دهد در نتیجه نمی‌توانید نسبت به صحت اطلاعات دستگاه مطمئن باشید. فرض کنید که تراکنش خرید یک NFT را امضاء کرده و ظرف چند ثانیه متوجه می‌شوید که این تراکنش در اصل برای فراهم شدن امکان دسترسی هکرها به کل والت شما طراحی شده است. این یکی از آسیب پذیری‌های امنیتی مهم والت‌های نرم‌افزاری است - البته نباید ذخیره کلیدها به روش آنلاین را فراموش کرد.

بنابراین، صرف نظر از نوع والتی که استفاده می‌کنید این احتمال وجود دارد که دید کافی بر تعاملاتی که با قرارداد هوشمند دارید، نداشته باشید. ویژگی متمایز لجر همین است.

امضای شفاف از طریق ادغام با لجر لایو

هدف لجر، ایجاد حداکثر شفافیت برای هر تراکنشی که در والتتان اجرا می‌کنید است. برای دستیابی به این هدف، قابلیت امضای شفاف برای همه اپلیکیشن‌های ادغام شده در بخش Discovery از لجر لایو پیاده سازی شده است.

با اینکه لجر به سرعت اپلیکیشن‌های جدید را در اکوسیستم امن خودش ادغام می‌کند، این احتمال وجود دارد که بخواهید هر از گاهی از پلتفرم‌های ادغام نشده در لجر استفاده کنید تا بیشترین بهره را از امکانات وب 3 ببرید. حین اجرای چنین تراکنش‌هایی پیام enable blind signing در دستگاه نمایش داده می‌شود.

آشنایی با پیام Enable Blind Signing

وقتی امضای کور را فعال کنید، دستگاه شما امکان تأیید تراکنش‌های قراردادهای هوشمند را پیدا می‌کند حتی اگر امکان نمایش همه داده‌های قرارداد را نداشته باشد. در واقع شما به جای اعتبارسنجی تراکنش، به آن اعتماد می‌کنید.

به طور کلی امضای کور فاقد شفافیت است اما با توجه به رشد و توسعه سریع اکوسیستم دیفای و اپلیکیشن‌های غیرمتمرکز، گاهی اوقات امکان اجتناب از امضای کور وجود ندارد.

در چنین مواقعی، خود شما باید مراقب ارزهای دیجیتالتان باشید؛ یعنی باید قبل از امضاء بررسی‌های لازم را انجام دهید.

چک لیست امنیت امضای کور

قبل از هر چیزی باید به این نکته مهم توجه داشته باشیم که هیچکدام از این فاکتورها به اندازه مشاهده جزئیات تراکنش، شفافیت و امنیت ایجاد نمی‌کنند. اما استفاده از این چک لیست به شما برای تشخیص تراکنش‌های جعلی و مخرب و حفاظت از کلیدهای خصوصی خودتان کمک می‌کند. هر زمان امضای کور را فعال می‌کنید باید به این نکات دقت داشته باشید:

  1. لینک سایتی که با آن در تعامل هستید را بررسی کنید - جعلی بودن سایت یا لینک یکی از نشانه‌های مهم تقلب و اسکم است.
  2. مطمئن شوید اپلیکیشن غیرمتمرکزی که با آن کار می‌کنید، اپلیکیشن اصلی است - اصالت و اعتبار از جمله خصوصیات مهم این اپلیکیشن‌ها هستند و فقط باید در پلتفرم‌های قابل اطمینان تراکنش اجرا کنید.
  3. هرگز با هیچ شخصی که در دیسکورد، توئیتر یا هر پلتفرم اجتماعی دیگری برای شما پیام ارسال می‌کند تعامل نداشته باشید - فراموش نکنید که در دنیای وب 3 هیچ دلیلی وجود ندارد که به صورت شخصی با شما تماس گرفته شود.
  4. همیشه از یک والت سخت‌افزاری استفاده کنید - با این والت‌ها همه کلیدهای خصوصی شما به صورت آفلاین ذخیره شده و امنیت آنها حفظ می‌شود.
  5. پس از تکمیل تراکنش، در منوی تنظیمات اپلیکیشن امضای کور را غیرفعال کنید.
  6. مهم‌تر از همه اینکه: هرگز عبارت عبورتان را در اختیار دیگران قرار ندهید.

تنظیم والت DeGen برای به حداقل رساندن ریسک

والت DeGen به هر والتی گفته می‌شود که از آن برای تعامل با قراردادهای هوشمند استفاده می‌کنید یعنی والت فعال وب 3 شما.

فرض کنید که از لجر نانو برای ایمن سازی کالکشن NFT خودتان استفاده می‌کنید - تحت هیچ شرایطی هرگز نباید برای نگهداری و مراقبت از کالکشن خودتان، از همان والتی که با آن قرارداد هوشمند امضاء می‌کنید استفاده کنید. چون اگر مرتکب اشتباهی شده یا یک تراکنش جعلی را امضاء کنید، کل کالکشن شما در معرض ریسک خواهد بود.

به جای این کار باید ارزهای خودتان را در والت‌های مختلف تفکیک کرده و فقط یکی از این والت‌ها را برای امضای قراردادهای هوشمند استفاده کنید. این یعنی فقط باید توکن‌های مورد نیاز را به والت DeGen ارسال کنید و مابقی را در یک والت امن نگهداری کنید.

شفافیت، امنیت، آموزش - سه گانه کریپتو

هدف نهایی این آموزش‌ها این است که اطلاعات لازم را برای استفاده از امکانات وب 3 به روش امن و ناشناس کسب کنید. امیدواریم که این مطلب به شما برای درک امضای کور و ریسک‌های این نوع از تراکنش‌های دیجیتال کمک کرده باشد

تمامی حقوق مادی و معنوی برای ارز مدرن محفوظ می باشد.

طراحی سایت : ایران مدرن

image01