以太坊社区推出了 Clear Signing,这是一项安全功能,可确保用户在签名前清晰了解交易详情,以取代难以辨认的十六进制数据,并降低盲签攻击风险。
“批准一笔交易,本应是在控制区块链上资产去向时的最后一道防线。当它是在盲目状态下完成时,这道防线就失效了,”以太坊基金会周二表示,并称盲签是一项“结构性缺陷”,已造成数十亿美元损失,其中包括去年14亿美元的 Bybit 黑客攻击。
“所见即所签”安全功能旨在解决这一问题,目前正被包括 Ledger、Trezor 和 MetaMask 在内的多款自托管加密钱包集成。
来源: 以太坊基金会
尽管近年来安全措施已有显著改善,但随着不法分子以日益复杂的黑客攻击和诈骗手段瞄准加密行业,这项安全功能应运而生。
自2009年以来,朝鲜国家支持的工作人员仅在资金方面就窃取了超过70亿美元,其中很大一部分来自加密协议。Bybit 黑客事件是其最大规模的加密劫案,攻击者通过入侵第三方服务提供商并操纵交易签名得手。
Trezor 首席技术官 Tomáš Sušánka 告诉 Cointelegraph,攻击者之所以能持续利用这一漏洞,是因为市场上缺乏一种广泛可用、能够区分恶意智能合约与合法交易的安全功能。
Sušánka 表示,这一问题导致用户“在不知情的情况下签署它们,并失去一切”,并补充称 Clear Signing 功能“通过在批准前让交易变得可读,直接解决了这一问题”。
Clear Signing 功能通过以太坊基金会的 Trillion Dollar Security Initiative 推出,并由 Ledger 通过开源 ERC-7730 代币标准发起。
基金会表示,Clear Signing 功能的关键组成部分包括“人类可读的交易描述”和“中立、可镜像的描述符注册表”。
它还包括一个证明框架,使审计员能够验证这些描述符。
多家加密平台正在支持 Clear Signing
包括 Keycard、WalletConnect、Argot、Sourcify、Zama、ZKnox 和Fireblocks在内的多家加密钱包及以太坊隐私和安全平台都为 Clear Signing 功能作出了贡献。
Sušánka 表示,Trezor 计划在6月30日前实施这项安全功能。
“我们正在实施这一标准,因为这对我们的用户来说是正确的做法,”Sušánka 说,并称 Clear Signing 功能是“对我们整个行业而言至关重要的安全进步”。
