Habilitar Assinatura Cega: por quê, como e como se manter seguro

Por Kirsty Moreland

13 de Junho de 2022 | atualizado em 24 de outubro de 2022
Leitura 5min | médio

Principais Conclusões:

• Assinatura cega significa confirmar uma interação de contrato inteligente sobre a qual você não tem total transparência
• Isso pode ser tanto porque sua carteira não pode extrair os detalhes ou porque você não pode confiar na própria tela do computador (hacks são sempre um risco)
• Ledger está fazendo da assinatura cega uma coisa do passado; seu Nano pode exibir detalhes completos do contrato inteligente em sua tela confiável, a qualquer momento que você interagir com uma plataforma integrada
• Porém, quando estiver interagindo com aplicativos fora do ecossistema da Ledger, você terá que habilitar a assinatura cega no seu dispositivo
• Aqui está o resumo de como isso funciona - e como maximizar sua segurança, não importa onde estiver explorando

Está imaginando por que você está sendo solicitado a habilitar a assinatura cega? Aqui, explicamos por que é necessário e como se manter seguro.

A velha assinatura cega é um tema quente aqui na Ledger. No mundo web3, a assinatura cega é um dos riscos mais sorrateiros que você enfrentará, e essa é a razão pela qual a plataforma de integrações da Ledger está gradualmente tornando essa prática uma coisa do passado.

Mas quando você está interagindo fora desse ecossistema, ainda há momentos em que a assinatura cega é necessária; é por isso que ocasionalmente você verá a mensagem “Habilitar Assinatura Cega” aparecendo no seu dispositivo enquanto você interage com dApps e DeFi. Neste artigo, vamos recapitular o que significa assinar uma transação de contrato inteligente, o que fazer quando você vir essa mensagem e como garantir sua segurança, não importa o tipo de aplicativo com o qual você está interagindo.

Pronto? Vamos lá!

O que é Assinatura Cega? Uma Recapitulação

Você assinaria um contrato que não tivesse lido? Provavelmente não. E se isso soa alarmante para você, você já entendeu o problema de que estamos falando. Assinatura cega, em sua forma mais simples, significa confirmar um contrato inteligente baseado em uma blockchain da qual você não conhece todos os detalhes - algo que se tornou comum em cripto devido à evolução do espaço.

Carteiras Lutam para Exibir Contratos Inteligentes

Carteiras criptográficas - tanto as variedades de software e hardware tem dificuldade com contratos inteligentes, por diferentes razões.

• Carteiras de hardware - Não podem exibir detalhes do contrato inteligente

Tradicionalmente, carteiras cripto de hardware foram projetadas para lidar com transferências simples de valor, mas contratos inteligentes são mais complexos - a carteira pode entender as condições, mas não pode exibi-las a você num formato que você entenda. É um caso simples de tecnologia que supera suas ferramentas, e deixa a você a necessidade de assinar transações com base na confiança, sem nenhuma garantia real sobre o que está dentro.

Mensagens privadas são um foco para esse tipo de ameaça. Um incidente recente viu golpistas se passando por administradores técnicos da OpenSea no Discord. Um colecionador experiente em busca de ajuda técnica iniciou uma conversa sobre sua conta, acreditando estar falando com um consultor de serviços. No decorrer da conversa, o consultor pediu a ele que aprovasse uma chamada de transação - sem mostrar detalhes do contrato - utilizando seu Ledger Nano. Na realidade, a transação que ele estava verificando forneceu acesso a seu cofre, e o consultor era nada verdade uma fraude - todo o cenário era a encenação de um golpe.

• Carteiras de software - Sem exibição confiável

Sabemos o que você está pensando: carteiras de software são projetadas para interações com plataformas NFT e DeFi e podem facilmente ler e exibir detalhes completos da transação para você inspecionar. Porém não há como verificar se o que você vê é o que está assinando. Por que isso?

Carteiras de software, por definição, são sempre desconectadas da internet. Isso significa que hacks podem ser implantados para adulterar a exibição da sua carteira (confira Man in the Middle Attacks para saber mais sobre isso), o que significa que você nunca pode ter total certeza do que está concordando. Imagine confirmar uma transação para comprar um novo NFT, e perceber em alguns segundos que na verdade era um acordo para dar a um golpista acesso a todos os NFTs na sua carteira? Essa é uma das principais vulnerabilidades do uso de uma carteira de software - sem mencionar que suas chaves privadas são sempre online.

Resumindo, não importa que tipo de carteira você está usando, é provável que você nem sempre tenha total transparência sobre suas interações de contrato inteligente. Aqui é onde a Ledger está mudando as coisas.

Assinatura Clara com Integrações Ao Vivo da Ledger

A missão da Ledger é trazer transparência para todas as transações que você realiza em sua carteira. Para alcançar isso, habilitamos a “assinatura clara” - quando os detalhes completos da transação de contrato inteligente podem ser exibidas na tela confiável do dispositivo - com cada um de nossos aplicativos integrados na seção Discovery da Ledger ao vivo.

Não importa o quão rápido a Ledger esteja integrando novos aplicativos em seu ecossistema seguro, você provavelmente ainda vai desejar usar plataformas não integradas às vezes enquanto aproveita ao máximo a Web3. Durante essas transações, você será solicitado a “ativar a assinatura cega” em seu dispositivo para interagir.

Ativar Assinatura Cega Explicada

Ao habilitar a assinatura cega, você permite que seu dispositivo aprove uma transação de contrato inteligente, mesmo que ele não tenha sido capaz de exibir todos os dados do contrato a você. Em outras palavras, você concorda em confiar, ao invés de verificar, na transação.

Se isso soa mais como um risco, é porque é. A assinatura cega por definição falta transparência vital - mas, com os ecossistemas dApp e DeFi expandindo tão rápido é um processo que às vezes não pode ser evitado.

Nesses casos, você é o guardião da sua criptomoeda: isso significa fazer algumas diligências para garantir que as coisas sejam verificadas antes de assinar. Então, quais outros indicadores você pode observar para verificar se sua transição é confiável e segura?

Ativar Lista de Verificação de ASsinatura Cega - DYOR para suas transações

Sejamos claros desde o início: nenhum desses fatores vão te dar a mesma transparência ou segurança que ver os próprios dados do contrato. No entanto, usar essa lista de verificação pode te ajudar a identificar transações nefastas e proteger suas chaves privadas à medida que você interage. Esses pontos devem ser lembrados sempre que você “ativar a assinatura cega”. Vamos fazer um rápido resumo do essencial.

1. Verifique a URL do site com o qual você está interagindo (desenvolva) - sites falsos são um bom pretexto para que golpes de assinatura cega sejam implantados.
2. Certifique-se de que o dApp com o qual você está fazendo a transação seja um que você já ouviu falar antes - autenticidade e reputação são indicadores chave quando se trata de criar um perfil, e isso significa apenas fazer transações em plataformas respeitáveis.
3. NUNCA interaja com alguém que lhe enviou uma mensagem privada no Discord, Twitter ou nenhuma outra plataforma social - lembre-se, na Web3, ninguém tem motivos para entrar em contato com você pessoalmente.
4. Sempre use uma carteira de hardware - isso significa que você ainda pode garantir que todas aquelas chaves privadas importantes permaneçam offline enquanto você interage, fornecendo uma linha de base de segurança.
5. Depois de finalizar sua transação, use as configurações do seu aplicativo para desativar a assinatura cega novamente.
6. E EI - NUNCA DÊ SUA FRASE SEMENTE PARA NINGUÉM. CAPICHE??

Minimize Seu Risco: Configure uma carteira DeGen

Há um último ponto que precisamos mencionar aqui - e pode ser o mais importante de todos. Uma carteira DeGen é um outro nome para qualquer carteira que você esteja usando para interagir com contratos inteligentes - sua carteira Web3 ativa, na verdade.

Então, digamos que você está usando uma Ledger Nano para proteger sua coleção de NFT - sob nehuma circunstância você deve proteger sua coleção usando a mesma carteira com a qual assina contratos inteligentes. Por quê? Porque se você cometer um erro ou assinar uma transação desonesta, toda sua coleção está em risco.

Ao invés disso, você deve segregar seus ativos em carteiras diferentes, e dedicar apenas uma dessas carteiras para interagir com contratos inteligentes. Isso significa que você pode movimentar apenas o que precisa (quando precisar) para sua carteira DeGen - e o restante de sua coleção está protegida, mesmo se você fizer uma escolha errada ao assinar um contrato inteligente.

Transparência, Segurança, Educação - A Trindade Criptográfica

A Ledger não preza apenas pela segurança das suas chaves privadas - nosso objetivo principal aqui na Academia é dar a você a informação que precisa para ser completamente autônomo e seguro enquanto explora a Web3. Não é sobre nós - é sobre você.

A meta da Ledger é trazer total transparência a cada interação, o principal objetivo de nossas integrações. Mas onde isso não for possível, ainda te damos cobertura - garantindo que você está familiarizado com os riscos da Web3 e equipado para superar esses riscos!

V
A
M
O
S

L
Á

Tchau, amigo.

Conhecimento é poder.

Assinatura cega é o único golpe em criptografia que depende de VOCÊ abrir a porta - portanto, entender seus pontos mais delicados é absolutamente essencial para você ser um guardião eficaz. Felizmente, a School of Block oferece cobertura.

Esse artigo foi escrito por Kirsty Moreland, editora da Academia Ledger, escritora e pesquisadora da tecnologia blockchain e todos seus casos de uso. Amante de música antiga, bicicletas e encontrar respostas para perguntas, e traduzido por Isabela Nehme. Seu original pode ser lido aqui.