A maior fraqueza dos cripto-ativos? Assinatura Cega, explicada

Se você ouviu falar sobre assinatura cega – blind signing – mas não tem certeza do que isso significa, não procure mais. Aqui, explicamos o conceito.

Se você está lendo isso, já sabe que a criptografia é uma propriedade popular. Quer se trate de moedas, tokens ou NFTs, todos nós temos interesse em manter nossos ativos protegidos. “Eu sei!” você diz. Nunca forneça minhas chaves privadas ou compartilhe minha frase de recuperação com ninguém. Bem, isso é verdade, mas não é o fim da história.

Seguindo o incrível aumento de DeFi e dApps na criptosfera, os usuários estão interagindo com contratos inteligentes de maneiras cada vez mais complexas. E os golpistas estão sempre à procura de novas vulnerabilidades no processo de transação. Isso naturalmente levou a uma nova geração de golpes projetados para separar você de seus cripto-ativos arduamente conquistados. E também podem ser difíceis de detectar, mesmo para um “crypto pro”.

A assinatura cega é um dos truques menos conhecidos que estão sendo usados por golpistas para roubar seus ativos. Aqui, explicaremos o que é uma assinatura cega, como funcionam os golpes de assinatura cega – e diremos como você pode evitá-los.

O QUE É ASSINATURA CEGA?

Antes de discutir como esse conceito funciona digitalmente, vamos começar com os princípios básicos de caneta e papel do mundo real. Os contratos existem para governar nossos relacionamentos; seja um contrato de trabalho que exige que você trabalhe 40 horas por semana ou uma assinatura da Netflix que precisa ser paga todos os meses, ao assinar um contrato, você concorda em fazer o que ele diz. Ao assinar, você indica que viu e compreendeu as condições e concorda em ficar vinculado por elas.

ASSINANDO UM CONTRATO DIGITAL

Contratos inteligentes – a infraestrutura que alimenta dApps, NFTs e muitos elementos do DeFi – são uma versão digital disso. Digamos que você pegue emprestado algum cripto-ativo de um credor, com base em que a cada mês você vai pagar uma determinada quantia, com juros. Ao verificar o contrato usando sua chave privada, você está assinando digitalmente o contrato inteligente.

Mas e se você realmente não puder ver o contrato? Isso nos traz de volta à nossa pergunta original.

Os contratos inteligentes usados nos dApps e NFTs atuais representam um desafio para a geração atual de carteiras de criptomoedas porque seu código – contendo detalhes importantes do contrato – não pode ser totalmente extraído e exibido em um idioma que o usuário possa entender. Em outras palavras, as carteiras ainda estão tentando alcançar as opções mais recentes para os consumidores.

MAS ENTÃO, COMO ISTO ME PROCURA?

Vejamos um exemplo real para mostrar como isso afeta suas transações. Em primeiro lugar, devemos começar por esclarecer – sempre que você assina qualquer transação usando a tela do seu computador, você está tecnicamente cego ao assinar.

Digamos que você esteja fazendo transações apenas por meio de uma carteira flexível: como sua tela (o computador ou celular) está conectada à Internet, ela é vulnerável a hackers. Isso significa que a tela que mostra os detalhes do que você está assinando nunca pode ser totalmente confiável – sempre há a possibilidade de que a tela tenha sido hackeada para mostrar uma exibição falsa, deixando você assinar para outra coisa. Ao confirmar a transação, você está, portanto, “assinando às cegas” – aprovando a transação com base na confiança.

O objetivo de usar uma carteira de hardware como a Ledger Nano é eliminar esse risco. Como sua carteira funciona como um local off-line seguro e impenetrável para hackers, sua tela sempre mostrará os verdadeiros detalhes de uma determinada transação. É por isso que nosso “Display confiável” é inestimável para garantir que você saiba exatamente com o que está concordando.

No entanto, embora seu Nano sempre exiba detalhes precisos da transação, isso só é possível quando esses detalhes estão disponíveis. E nem sempre é assim.

Digamos que você tenha as medidas de segurança corretas e que esteja fazendo uma troca usando uma combinação do seu dispositivo Ledger com a carteira flexível que o conecta ao dApp – bom trabalho!

Mas, como mencionamos anteriormente, a maioria das carteiras de software, ou seja, o middleware entre o seu dispositivo e o dApp, não consegue ler e extrair totalmente os elementos de contrato inteligente da transação. Isso significa que, mesmo se você usar seu dispositivo Ledger para verificar e concluir a transação, o dispositivo não será capaz de mostrar todos os detalhes – uma vez que o middleware em si não tem nada para transmitir a ele.

Em vez disso, o dispositivo simplesmente mostrará “Dados presentes”, deixando você incapaz de visualizar detalhes importantes, como ação, preço, endereço de recebimento, etc. antes de confirmar. É assim que parece:

Sem nenhum detalhe do que este contrato envolve, a única opção aqui é verificar mais uma vez sua transação com base na confiança. É por isso que é chamado de assinatura cega.

Descrito dessa forma, assinaturas às cegas parecem muito arriscadas, mas a maioria de nós é culpada de fazê-lo; quando foi a última vez que você leu o contrato do usuário para aquele novo serviço no qual se inscreveu? O fato é que baseamos muitas de nossas decisões na reputação das pessoas com quem estamos negociando.

ASSINATURA CEGA DÁ ASCENSÃO A NOVOS TIPOS DE FRAUDE

Com a criptografia estourando no meio, mais e mais pessoas estão sendo educadas sobre como manter seus ativos seguros, e há menos oportunidades para golpistas obterem acesso aos seus ativos. Então, em vez de tentar arrombar a porta – eles estão contando com você para abri-la para eles.

Um excelente exemplo disso são os drops de NFT em sites menos conhecidos – a mania NFT causou uma enorme demanda por esses ativos digitais e os drops são projetados para jogar com essa empolgação. Mas antes de dar uma assinatura cega para uma entrega NFT, pense – se não for uma marca bem conhecida, você pode ter certeza de que a transação que está verificando é o que você pensa que é?

As mensagens privadas são outro foco para esse tipo de ameaça. Um incidente recente viu golpistas se passando por administradores de tecnologia OpenSea no Discord. Um colecionador experiente em busca de ajuda técnica iniciou uma conversa sobre sua conta, acreditando que ele estava falando com um consultor de serviço. No decorrer do bate-papo, o consultor pediu-lhe para aprovar uma chamada de transação – sem mostrar detalhes do contrato – usando seu Ledger Nano. Na realidade, a transação que ele estava verificando fornecia acesso ao seu cofre, e o consultor era realmente uma fraude – todo o cenário era uma simulação.

Este é um exemplo perfeito de como até mesmo um usuário de cripto-ativos experiente pode cometer um erro, quando as circunstâncias são convincentes o suficiente.

DON’T TRUST – VERIFY

Citações dessa natureza têm tudo a ver com engenharia social. Os golpistas se especializam em criar meticulosamente um ambiente onde você confia neles o suficiente para baixar a guarda – neste caso, a vítima confiou em uma transação cega porque pensou que estava lidando com um help desk respeitável.

E esse tipo de golpe está se tornando ainda mais comum porque o ritmo da evolução tornou a assinatura cega uma norma do setor. É hora de as ferramentas se atualizarem.

COMO POSSO USAR DAPPS COM PAZ E SEGURANÇA?

Na Ledger, nossa missão é trazer transparência e segurança absoluta para cada uma de suas transações – isso significa ser capaz de ler os dados de seu contrato cada vez que você assina. Nossa atualização mais recente consegue isso fornecendo uma assinatura clara para cada dApp integrado. Isso elimina a vulnerabilidade enfrentada pelos usuários para trazer a experiência mais segura e fluida possível.

Nossa atualização apresenta duas grandes melhorias que tornam isso possível. Não só agora a Ledger Nano pode ler e exibir informações de contrato inteligentes para uma variedade de dApps; o recente lançamento do nosso App Catalog no Ledger Live permite que você acesse uma série de DeFi e dApps de dentro da segurança do seu dispositivo Ledger, para que você possa usar o ecossistema Ledger como um gateway seguro para os dApps e serviços que você adora.

Vamos tornar a assinatura cega uma coisa do passado!

Dê uma olhada em uma transação ParaSwap para mostrar o que isso significa para você:

Conforme mostrado no exemplo acima, em vez de simplesmente mostrar “Dados presentes”, a Ledger Nano pode mostrar todos os detalhes da transação com a segurança absoluta de seu Display confiável – então, em vez de confiar, agora você pode verificar.

Com novas integrações acontecendo constantemente, nosso Catálogo de Aplicativos Ledger é líder no setor de segurança de dApps.

E SE O DAPP QUE PRECISO NÃO ESTIVER INTEGRADO?

Como o Ledger Live é um código-fonte aberto e uma plataforma aberta – não importa o projeto, você pode escrever seu próprio plug-in para torná-lo compatível com o Ledger Live e permitir que seus usuários limpem o sinal. Então, por que esperar?

Enquanto isso, enquanto nossas integrações se expandem, entendemos que algumas transações ainda precisam de uma carteira intermediária. Se você estiver verificando transações por meio de middlewares, ainda poderá ser solicitado a fazer um sinal cego. Quando for esse o caso, ainda há uma série de etapas que você pode seguir para reduzir o risco de ser enganado.

Não use dApps dos quais você nunca ouviu falar antes, sempre verifique a autenticidade.
Seja cético em relação a DMs nas redes sociais: se alguém que você não conhece está ativamente entrando em contato com você, considere os motivos. Lembre-se, pode ser qualquer pessoa (não coloque links em links).

Não importa o tipo de transação que você esteja fazendo, o Ledger Nano ainda é uma ferramenta valiosa para manter suas chaves privadas offline o tempo todo. Usá-lo adiciona uma camada de segurança a todas as suas interações.

Ah … E nunca, jamais, divulgue sua frase de recuperação para ninguém, salve-a em um dispositivo conectado à internet ou entre em uma carteira de software, sua frase de recuperação de livro-razão serve apenas para ser inserida em seu dispositivo Ledger – mais uma vez para as pessoas atrás!

QUEM CONTROLA AS ENTRADAS É VOCÊ

A assinatura cega tem dois elementos: é uma lacuna tecnológica que convida ao erro humano. É por isso que seu próprio julgamento nunca foi tão crucial.

Não importa o quão avançada seja sua carteira, você é o último ponto de defesa para seus ativos criptográficos. Mas, ao garantir que cada parte da transação possa ser examinada por você, o catálogo de aplicativos em expansão da Ledger permite que você aproveite as novas opções incríveis possibilitadas pela criptografia, sem se submeter ao acaso.

Fonte: ledger.com