"Blind Signing" - използвате ли го?

Модератор: Moderators

"Blind Signing" - използвате ли го?

Мнениеот MadDog » 04 Дек 2022, 16:45

Изображение

Понякога при работата на хардуерни портфейли с WEB3 приложения се случва smart contract да изисква транзакцията да се извърши "на сляпо" - без да присъстват всички данни за договора. Случвало ли ви се е?
Доверявате ли се на тези умни договори или ги отхвърляте, поставяйки всичките тях под общ знаменател - възможен скам? :o
It’s better to be prepared and not have the opportunity than to have the opportunity and not be prepared.
ВТС bc1q8mr7s0k9qga5fuwrhst2n84d0f2gdhtvd38fcp
Аватар
MadDog
 
Мнения: 199
Регистриран на: 31 Яну 2014, 18:08
Местоположение: София -град

Re: "Blind Signing" - използвате ли го?

Мнениеот gecata » 04 Дек 2022, 18:24

Нямаш избор, ако осигуряваш ликвидност при Uniswap например.
Все пак виждаш почти всичко необходимо, за да имаш комфорт, така че не виждам проблем.
Поздрави
gecata
 
Мнения: 50
Регистриран на: 13 Сеп 2017, 12:02

Re: "Blind Signing" - използвате ли го?

Мнениеот filchef » 04 Дек 2022, 23:01

MadDog написа:
Изображение

Понякога при работата на хардуерни портфейли с WEB3 приложения се случва smart contract да изисква транзакцията да се извърши "на сляпо" - без да присъстват всички данни за договора. Случвало ли ви се е?
Доверявате ли се на тези умни договори или ги отхвърляте, поставяйки всичките тях под общ знаменател - възможен скам? :o


СКАМ
Аватар
filchef
 
Мнения: 1997
Регистриран на: 30 Сеп 2013, 20:49

Re: "Blind Signing" - използвате ли го?

Мнениеот AJB » 08 Дек 2022, 17:07

MadDog написа:Доверявате ли се на тези умни договори или ги отхвърляте, поставяйки всичките тях под общ знаменател - възможен скам? :o


Не мисля, че може да се отговори на този въпрос само с "Да" или "Не". :think: Аз по-скоро клоня към скептицизъм, но ако трябва да си надяна мислещата шапка, нещата ги виждам така:

От чисто бъливърска гледна точка тези договори напълно противоречат на цялата идея за крипто. А, като се замисли човек, малко противоречат и на здравия разум. :sad-roulette: Не би следвало да подписваш каквото и да било, без да си напълно запознат с какво се съгласяваш.

По правило умните контракти би следвало да бъдат напълно прозрачни, а потребителят да може да провери детайлите по него, преди да потвърди трансакцията. Ако не виждаш къде изпращаш стотинките си, как си сигурен, че ще стигнат на правилното място? За да бъде "всичко точно" се предполага и двете страни да са наясно какви пари накъде са се запътили, колко ще струва тази комуникация, какви са особеностите на трансакцията и т.н.

Наскоро имаше статия на Ledger, в която блог екипът изтъкваше, че ползването на софтуерен портфейл, например, е на практика blind signing, тъй като:
Since your display screen (the computer or mobile) is connected to the internet, it is vulnerable to hacking. This means the screen showing the details of what you are signing can never be fully trusted – there is always a possibility that the screen has been hacked to show a false display, leaving you to sign for something else.


Посланието е ясно
:twocents-mytwocents: Don't trust. Verify. :twocents-mytwocents:

От друга страна, предполагам, че Blind Signing все пак не е толкова рядко срещано явление с все по-разгръщащата се крипто масовка. Има си случаи, в които най-вероятно няма как в процеса на трансакция потребител Б да получи цялата и детайлна информация на договора, предложен от страна А, тъй като самият контракт е твърде сложен, технически или по друга причина. То и да успее да се визуализира на миниатюрното екранче, потребителят може и да не разбере за какво става дума. Друг е въпросът, наистина ли Ви е много важно и неизбежно да се забърквате с нещо, което е толкова сложно, мътно и непознато за Вас?

Ако за съответния потребител сляпото подписване е неизбежно, то поне следва да се вземат някакви предохранителни мерки. Препоръките в същата онази статия, за която споменах, са следните:
:btc: Не използвайте приложения и платформи, за които не сте чували никога преди. Доверявайте се само на продукти, които имат добра репутация и винаги сверявайте дали сте на правилното място. Една промяна в URL-то и може да се окажете малко по-прецакани, отколкото сте били сутринта.
:btc: Винаги използвайте хардуерен портфейл за тези трансакции.
:btc: Не се доверявайте на вълшебни оферти, неустоими предложения и големи аванти, достигнали до Вас чрез лични съобщения по социалките, имейл или от случаен познат на познат. Качествените услуги не се предлагат така.


:text-imnewhere:
Понеже съм Editor in chief, няма как да не пусна тук един кратък речников преглед от една (бивша) блондинка за по-малко запознатите:

Концепцията за Blind signature е дело на Дейвид Чаум. Според Гугъл, той е изобретателят на дигиталните пари и "кръстникът" на крипто. Т.е. умен човек. Неговата концепция е напълно с идеална цел - анонимност. Идеята му често е обяснявана с едно от най-интересните приложения на блокчейн - гласуването. За да се запази тайната на вота, моята дигитална бюлетина трябва да бъде верифицирана от останалите гласоподаватели и/или организатора на вота "на сляпо". Тоест, 2GOOD пуска анкета да получи ли еди-кой-си титла. Аз, MadDog и filchef гласуваме, като удостоверяваме правото си на глас с частните си ключове. Накрая потребителят се озовава с един глас "За" и два гласа "Против". Обаче никой не знае кого трябва да черпи за подкрепата.

Проблемът възниква, както обикновено, когато някой реши да експлоатира една добра идея за лоши цели. Конкретен пример е скорошна измама с NFT, при която потребител подписали подписали на сляпо контракти, без да разберат, че прехвърлят всичките си NFT-та за 0 етериума. Приблизителната оценка на измамата е за 1.7 милиона долара. И това далеч не е единственият пример за Blind signing измама. Ако гугълнете термина вероятно по-голямата част от резултатите ще са свързани със скам, хакерски атаки, фишинг и т.н.
Аватар
AJB
Editor In Chief
 
Мнения: 157
Регистриран на: 11 Фев 2015, 23:17

Re: "Blind Signing" - използвате ли го?

Мнениеот MadDog » 08 Дек 2022, 19:03

Лично аз не се доверявам на Леджъра за подписване на договори "на сляпо". Защо ли? Защото дисплеят на Леджъра обикновено няма техническата възможност да представи детайлите на "умния договор", въпреки че те са в процесора му. Тук ще отворя скоба и се надявам, че новия Ledger Stax с неговия по-голям дисплей евентуално ще дава тази възможност на потребителите. Как постъпвам аз? Не позволявам никога blind signing на хардуерния портфейл, където по презумпция държа мойте ценни токени или NFT. Прехвърлям токените или NFT предмет на сделката по контракта на един нарочен акаунт точно за такива случаи в софтуерния ми портфейл, най често това е MetaMask и с него вече си позволявам да подписвам на сляпо, нещо което не може да бъде избегнато, ако искам въобще да има сделка./ Както gecata спомена един обикновен суап на койн или токен на децентрализирана борса иска да се довериш и да подпишеш на сляпо./ Наясно съм с риска, както от злонамерен скам, замаскиран като добросъвестна сделка, също и с риска софтуерния ми портфейл да е обект на атака, така че да видоизмени истинските параметри на договора на екрана пак с цел скам. Но поне Метамаска позволява на монитора или дисплея да се прочетат всички параметри и условия на договора, с уговорката че съм на нивото да разбера всичко по него:-) В най-лошия случай ще се лиша от токените предмет на сделката, а не от съдържанието на целия ми портфейл. По-добрият вариант е да се използват няколко хардуерни портфейли, за съхранение, за подписване и търгуване, разбира се на съответната по-висока цена.
Други предпазни мерки: Проверявам внимателно легитимността на сайтовете където се логвам подписвайки с ключовете си, никога не влизам в уговорки за сделки с профили от Туитър или Дискорд.......там опасността от скам е огромна. И най вече спазвам максимата - доверявай се, но винаги проверявай. Да не забравяме - в основата на всяка успешна сделка, на първо място трябва да стои доверието между страните, на второ- желанието за изгодна търговия.
AJB e навлязла експертно и философски в темата, споделям нейните възгледи и съм сигурен, че е готова да манипулира с NFT-тата на глобалната Web 3 сцена и ще е голям пропуск, ако все още няма поне едно скътано нейно си токенче за по-добри времена. :clap:
It’s better to be prepared and not have the opportunity than to have the opportunity and not be prepared.
ВТС bc1q8mr7s0k9qga5fuwrhst2n84d0f2gdhtvd38fcp
Аватар
MadDog
 
Мнения: 199
Регистриран на: 31 Яну 2014, 18:08
Местоположение: София -град


Назад към Софтуер и крипто портфейли

Кой е на линия

Регистрирани потребители: 2GOOD, iliyan_todorov, Kris, scorpy, val1900