Cointelegraph 报道称,以太坊的最新更新引入了一个严重的漏洞:现在可以仅通过一个链下签名来授权从你的钱包中支出。
链下签名在Web3中被广泛用于登录网站或dApps时签署消息。它们不花费任何费用,也不会记录在区块链上——这就是为什么许多用户在签署消息时不假思索。但现在,一个已签署的消息可能会在以后授予转移你资金的权限。
是的,这是一个严重的漏洞。
不,这不是一个新的漏洞。
大多数以太坊用户真的理解他们在登录某处时所签署的内容吗?
诚实地说——你总是知道你提供的签名是否给智能合约访问你资金的权限吗?可能不会。而且每次都验证每个细节是不切实际的。
真正的问题更深层次:
Web3将钱包变成了认证工具。
想象一下,如果在现实世界中,每次你想打开一扇门时都必须打开你的实体钱包。迟早会有一些有价值的东西掉出来。这正是Web3中的工作方式。以太坊的最新更新只是让情况稍微变得更糟。
🔐 我的建议:
使用空钱包来登录dApps。
更好的是——仅将你的钱包用于其原始目的:发送和接收加密货币。
在rabbit.io,我们从不要求你连接钱包。
只需给我们一个地址来接收你的加密货币——我们会给你一个地址来发送。就这么简单。
