A Cointelegraph relatou que a última atualização do Ethereum introduziu uma vulnerabilidade séria: agora é possível autorizar gastos de sua carteira usando apenas uma assinatura off-chain.
Assinaturas off-chain são amplamente usadas no Web3 para assinar mensagens ao fazer login em sites ou dApps. Elas não custam nada e não são registradas no blockchain - por isso muitos usuários assinam mensagens sem pensar duas vezes. Mas agora, uma mensagem assinada pode potencialmente conceder permissão para mover seus fundos mais tarde.
Sim, isso é uma vulnerabilidade crítica.
Não, não é uma nova.
A maioria dos usuários de Ethereum realmente entende o que está assinando quando faz login em algum lugar?
Seja honesto - você sempre sabe se uma assinatura que está fornecendo dá a um contrato inteligente acesso aos seus fundos? Provavelmente não. E verificar todos os detalhes todas as vezes simplesmente não é prático.
O verdadeiro problema é mais profundo:
O Web3 transformou a carteira em uma ferramenta de autenticação.
Imagine se, no mundo real, você tivesse que abrir sua carteira física toda vez que quisesse abrir uma porta. Mais cedo ou mais tarde, algo valioso cairia. É exatamente assim que as coisas funcionam no Web3. A última atualização do Ethereum acabou de tornar isso um pouco pior.
🔐 Meu conselho:
Use carteiras vazias para fazer login em dApps.
Ainda melhor - use sua carteira apenas para seu propósito original: enviar e receber criptomoedas.
No rabbit.io, nunca pedimos que você conecte uma carteira.
Basta nos dar um endereço para receber suas criptomoedas - e nós lhe daremos um para enviar. Simples assim.