Charles Guillemet, de CTO van Ledger, waarschuwt gebruikers voor het blind ondertekenen van transacties. Deze waarschuwing komt voort uit het nieuws van vorige week van de aanval op OpenSea, dat blockchain-kwetsbaarheden benadrukt. Guillemet definieert het blind ondertekenen als toestemming geven om een transactie blindelings te ondertekenen, zonder te begrijpen wat het betekent. In een interview heeft Guillemet de problemen onder de loep genomen en de problemen met blinde ondertekening benadrukt.
Volgens de Ledger CTO is het vereist dat het bericht wordt ondertekend dat naar de blockchain verzonden wordt bij het instemmen met transacties. De enige die toegang heeft tot zijn persoonlijke sleutel is de gebruiker zelf. Alleen diegene kan dus transacties ondertekenen, terwijl anderen kunnen controleren of deze correct is. Guillemet zei:
“Het probleem is dat dit bericht standaard niet verstaanbaar is. Het is een digitale payload”.
Hij legde ook uit dat wanneer een muntoverdracht wordt ondertekend, deze normaal gesproken wordt ondersteund door een portemonnee die “de payload correct parafraseert en de intentie ervan weergeeft. Hij zei:
“Als het echter gaat om het ondertekenen van complexe interacties met slimme contracten is dat het ontleden van het scherm niet altijd goed wordt ondersteund en dat je geen andere keuze hebt dan blindelings in te stemmen met een transactie die je niet begrijpt. Het is riskant omdat u kunt denken dat u een transactie ondertekent om een deel van uw geld naar adres A te verplaatsen, terwijl u eigenlijk een transactie ondertekent om al uw geld naar adres B te verplaatsen.”
Voorbeelden van negatieve effecten van blind ondertekenen
Guillemet gaf daarnaast een aantal voorbeelden waarbij blind tekenen tot aanzienlijke verliezen kunnen leiden. Bij de recente aanval op OpenSea kwamen gebruikers een phishing-aanval tegen dat resulteerde in het verlies van $1,7 miljoen aan NFT’s. Hij merkte op dat de aanvallers in dit incident hun slachtoffers hadden misleid om blindelings een bericht te ondertekenen dat hen toestemming gaf om al hun NFT’s voor 0 ETH te verkopen. Guillemet gaf aan:
“De aanvaller hoefde alleen maar een transactie te ondertekenen met de tekst ‘Ik ben oké om deze NFT’s voor 0 ETH te kopen’, en presenteerde vervolgens deze twee berichten aan OpenSea om de transactie met 0 ETH daadwerkelijk uit te voeren tegen alle NFT’s van de slachtoffers.”
Als oplossing voor dit probleem verwees Guillemet naar een soort oud spreekwoord: “vertrouw niet, verifieer.” Volgens hem moeten alle crypto-gebruikers altijd de transactie verifiëren die u toestemming geeft om te ondertekenen. Hij bracht ook een suggestie naar voren. Het ondertekenen van transacties kunnen worden gedaan met behulp van vertrouwde schermen die te vinden zijn op hardware wallets.
