Фонд Ethereum и группа крупных разработчиков криптокошельков выпускают новый стандарт безопасности, призванный предотвратить случайное подписание пользователями транзакций с переводом средств. Эта проблема стала причиной некоторых крупнейших взломов и мошеннических схем в индустрии.
Инициатива под названием «Clear Signing» («Четкое подписание») призвана заменить непонятные стены кода, которые пользователи видят при одобрении транзакций в Ethereum, на простые и понятные человеку объяснения того, что именно они подтверждают.
Это решение последовало после лет фишинговых атак и опустошения кошельков, которые часто сводятся к одной проблеме: пользователи неосознанно одобряют вредоносные транзакции, которые они не понимают. Фонд Ethereum привел в пример взлом Bybit, показав, как злоумышленники эксплуатируют «слепое подписание» (blind signing), при котором пользователи одобряют транзакции, заполненные нечитаемыми техническими данными.
В настоящее время подписание крипто-транзакции напоминает нажатие кнопки «принять» на странице условий использования, написанной на иностранном языке. Кошельки часто отображают длинные строки кода, которые могут расшифровать только высококвалифицированные технические специалисты, оставляя обычных трейдеров уязвимыми перед фейковыми приложениями, вредоносными ссылками и взломанными сайтами.
Новая система позволит кошелькам отображать более понятные подсказки, такие как какие активы переводятся, кто их получает и какие разрешения предоставляются, прежде чем пользователь нажмет кнопку подтверждения.
Фреймворк опирается на предлагаемый стандарт Ethereum под названием ERC-7730 и публичный реестр, где описания транзакций могут быть проверены и подтверждены независимыми исследователями безопасности. Кошельки смогут выбирать, каким доверенным источникам доверять при отображении информации пользователям.
Инициатива безопасности на триллион долларов (Trillion Dollar Security Initiative) Фонда Ethereum заявила, что планирует курировать инфраструктуру реестра, одновременно поощряя кошельки и разработчиков во всей экосистеме к внедрению стандарта.
Этот шаг подчеркивает растущее осознание внутри криптоиндустрии: лучшая безопасность может зависеть не столько от более умного кода, сколько от того, чтобы пользователи действительно понимали, что они подписывают.
«Мы приветствуем стандарт Clear Signing от Фонда Ethereum как важнейшее достижение в области безопасности для всей нашей индустрии. Это устраняет фундаментальную уязвимость, которая годами преследовала пользователей криптовалют, — слепое подписание. Когда пользователи не понимают, что они подписывают, обеспечить безопасность становится намного сложнее. Этот стандарт меняет ситуацию, и каждый провайдер кошельков должен его внедрить», — заявил Томаш Сушанка, технический директор Trezor, в письме CoinDesk.
Подробнее: Виталик Бутерин продвигает «DVT-Lite» для упрощения настройки валидаторов Ethereum