Cointelegraph đã báo cáo rằng bản cập nhật mới nhất của Ethereum đã giới thiệu một lỗ hổng nghiêm trọng: giờ đây có thể ủy quyền chi tiêu từ ví của bạn chỉ bằng một chữ ký không trên chuỗi.
Chữ ký không trên chuỗi được sử dụng rộng rãi trong Web3 để ký các tin nhắn khi đăng nhập vào các trang web hoặc dApps. Chúng không tốn gì cả và không được ghi lại trên blockchain - đó là lý do tại sao nhiều người dùng ký các tin nhắn mà không suy nghĩ kỹ. Nhưng bây giờ, một tin nhắn đã ký có thể tiềm năng cho phép di chuyển quỹ của bạn sau này.
Vâng, đó là một lỗ hổng nghiêm trọng.
Không, nó không phải là một cái mới.
Hầu hết người dùng Ethereum có thực sự hiểu họ đang ký gì khi họ đăng nhập vào đâu đó?
Hãy thành thật - bạn có luôn biết liệu chữ ký bạn đang cung cấp có cho phép hợp đồng thông minh truy cập vào quỹ của bạn không? Có lẽ là không. Và việc xác minh mọi chi tiết mọi lúc là không thực tế.
Vấn đề thực sự sâu hơn:
Web3 đã biến ví thành công cụ xác thực.
Hãy tưởng tượng nếu, trong thế giới thực, bạn phải mở ví vật lý của mình mỗi khi muốn mở cửa. Sớm hay muộn, thứ gì đó có giá trị sẽ rơi ra. Đó chính xác là cách mọi thứ hoạt động trong Web3. Bản cập nhật mới nhất của Ethereum chỉ làm cho nó tồi tệ hơn một chút.
🔐 Lời khuyên của tôi:
Sử dụng ví trống để đăng nhập vào dApps.
Còn tốt hơn - sử dụng ví của bạn chỉ cho mục đích ban đầu: gửi và nhận tiền điện tử.
Tại rabbit.io, chúng tôi không bao giờ yêu cầu bạn kết nối ví.
Chỉ cần cho chúng tôi một địa chỉ để nhận tiền điện tử của bạn - và chúng tôi sẽ cung cấp cho bạn một địa chỉ để gửi nó tới. Đơn giản như vậy.
