- Ethereum запустил Clear Signing, заменив нечитаемые гекс-данные на одобрения на простом языке.
- Слепое подписание способствовало взлому Bybit стоимостью 1,4 миллиарда долларов и миллиардным потерям экосистемы.
- Ledger, Trezor, MetaMask, WalletConnect и Fireblocks уже интегрируют стандарт.
Во вторник Ethereum Foundation запустил Clear Signing — открытый стандарт, предназначенный для замены нечитаемых данных транзакций на простые описания до одобрения онлайн-активности пользователей.
Фонд назвал слепое подписание структурным недостатком, который привёл к миллиардам долларов потерь экосистемы, включая прошлогодний взлом Bybit стоимостью 1,4 миллиарда долларов. Стандарт уже доступен и интегрируется Ledger, Trezor, MetaMask, WalletConnect и Fireblocks, среди прочих.
Как это работает
В настоящее время одобрение транзакции Ethereum часто означает подтверждение строки машиночитаемого шестнадцатикода, который большинство пользователей не могут интерпретировать. Clear Sign заменяет это простым объяснением того, что именно будет делать транзакция до подтверждения пользователя.
Стандарт включает три основных компонента:
- ERC-7730: открытый формат для описания транзакций, читаемых человеком
- Нейтральный публичный реестр, куда участники могут отправлять и обновлять описания
- ERC-8176: система для аттестации, позволяющая независимым аудиторам проверять точность дескрипторов
Инициатива по безопасности стоимостью триллиона долларов Ethereum Foundation будет размещать инфраструктуру реестра. Лейджер, который был пионером оригинального стандарта ERC-7730, считается инициатором этой работы.
Почему это было необходимо
Слепое подписание стало последней точкой эксплойта в некоторых из крупнейших краж в криптовалюте. Взлом Bybit работал, скомпрометируя сторонний сервис и манипулируя подписями транзакций, которые пользователи одобряли, не имея возможности правильно их прочитать. Хакеры, поддерживаемые государством Северной Кореи, с 2009 года украли более 7 миллиардов долларов в криптовалюте, значительная часть которых связана с манипулируемыми согласованиями транзакций.
Технический директор Trezor Томаш Сушанка заявил, что злоумышленники неустанно используют отсутствие инструмента, способного отличать вредоносные смарт-контракты от легитимных. Пользователи «неосознанно подписывают их и теряют всё», — сказал он. Clear Signing напрямую решает эту проблему, делая транзакции понятными для человека до утверждения.
Что меняется
Интерфейсы кошельков, включая экраны подтверждения аппаратного устройства и окна одобрения расширений браузера, начнут отображать сводки транзакций на простом языке вместо технических данных. Стандарт работает как с существующими, так и с новыми приложениями Ethereum без необходимости изменения в базовых протоколах.
Фонд Ethereum заявил, что его цель — сделать Clear Signing стандартным во всей экосистеме, побуждая разработчиков кошельков интегрировать поддержку, разработчиков приложений предоставлять точные описания, а аудиторов безопасности проверять и подтверждать их корректность.
Связано: Следователи Ethereum Foundation раскрывают 100 секретных ИТ-работников КНДР
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
