Cointelegraph сообщил, что последнее обновление Ethereum создало критическую уязвимость - возможность тратить активы из кошелька с использованием только оффчейн-подписи.
Оффчейн-подпись - это когда владелец кошелька ставит подпись под сообщением, а не под транзакцией, и ничего за это не платит, потому что сообщения не отправляются в блокчейн. Это широко применяется при авторизации на сайтах и в децентрализованных приложениях. Пользователи привыкли к тому, что такая схема безопасна, и зачастую подписывают сообщения, не глядя. А теперь получается, что своей подписью они могут дать разрешение на распоряжение средствами из кошелька в дальнейшем.
Я согласен с тем, что это критическая уязвимость, но не согласен с тем, что она новая.
Разве сейчас все пользователи Ethereum каждый раз, авторизуясь на сайтах, понимают, что они подписывают? Вот вы лично — всегда понимаете, когда ставите подпись, не разрешаете ли вы какому-нибудь смарт-контракту распорядиться вашими деньгами? Досконально всё проверять каждый раз — это дико неудобно.
На мой взгляд, проблема в том, что в экосистеме Web3 инструментом авторизации на сайтах и в приложениях сделали кошелёк. Вы можете представить себе, что в реальной жизни вы для открытия дверей вынуждены были бы сначала открывать кошелёк? Рано или поздно из него бы обязательно что-нибудь выпало. А в Web3 уже давно так. Нововведение в Ethereum лишь добавило некоторые нюансы.
Если вы пользуетесь сайтами и приложениями Web3 — авторизуйтесь при помощи тех кошельков, в которых у вас ничего нет.
А ещё лучше — используйте криптокошелёк по прямому назначению: открывайте его только тогда, когда хотите отправить криптовалюту.
На rabbit.io мы не просим вас подключать кошелёк. Если вы проводите обмен — просто дайте нам адрес, на который мы должны отправить криптовалюту. И возьмите у нас адрес, на который криптовалюту отправите вы.
