Donanım cüzdan firması Ledger’ın CTO’su Charles Guillemet, kullanıcıları kör imzalama konusunda uyararak ‘güvenmeyin doğrulayın’ dedi.
OpenSea’ya yapılan son siber saldırıda blockchain güvenlik açıklarına dikkat çeken Ledger baş teknoloji sorumlusu Charles Guillemet, bu defa kör imzalama konusunda uyardı. Bir işlemin ne anlama geldiğini tam olarak öğrenmeden imza onayı vermek olarak tanımladığı kör imzalama işlemiyle ilgili sorunları açıkladı.
Guillemet, yakın tarihte verdiği bir röportajda, kör imzalamanın işlemlere rıza göstererek blok zincirine gönderilecek mesajı onaylamayı gerektirdiğini belirtti. Kullanıcıların, özel anahtarla işlemleri imzalamayı gerçekleştirdiğini kaydetti. Kullanıcılar sistem içerisinde özel anahtarla işlemleri imzalayan tek yetkili kişi ve diğerleri sadece yapılan işlemleri doğrulayabiliyor. Guillemet, sorunun mesajın anlaşılır nitelikte olmadığını ve bu durumun dijital bir yük olduğunu kaydetti.
Charles Guillemet ek olarak, kripto para transferi imzalandığında, yükü doğru bir şekilde ayrıştıran ve amacını gösteren bir cüzdan tarafından desteklendiğini açıkladı. Akıllı sözleşmeler gibi karmaşık etkileşimler söz konusu olduğunda ekran ayrıştırmanın her zaman gerektiği gibi desteklenmediğini ve tam olarak bilinmeyen bir işleme rıza göstermekten başka bir seçenek olmadığını kaydetti.
“Riskli çünkü tüm fonlarınızı B adresine taşımak için bir işlem imzalarken, fonlarınızın bir kısmını A adresine taşımak için bir işlem imzaladığınızı düşünebilirsiniz.”
Guillemet: ‘güvenme doğrula’
Güvenlik uzmanı Charles Guillemet, kör imzanın önemli kayıplara yol açtığına da değindi. NFT pazarı OpenSea’nın hack’lenmesinde 1,7 milyon dolar NFT çalınmıştı. Kullanıcılar bu olayla bir kimlik avı saldırısı ile karşı karşıya kaldılar. Guillemet, bu olayda, bilgisayar korsanlarının kurbanlarını, tüm NFT’lerini 0 ETH karşılığında satmaya razı olmalarını sağlayan bir mesajı kör imza atmaları için kandırdığını belirtti.
Kör imza sorununun çözümleri hakkında açıklama yapan güvenlik uzmanı, eski bir kripto atasözüne değinerek ‘güvenme doğrula’ dedi. Kripto kullanıcılarına verdiği tavsiyede imzalamayı kabul ettikleri her işlemi doğrulamaya özen göstermeleri gerektiğini kaydetti. Güvenlik uzmanının gündeme getirdiği bir öneri, donanım cüzdanlarında bulunabilen güvenilir ekranları kullanarak işlemleri imzalamak.
