以太坊基金會與多家主要加密錢包開發商正推出一項全新的安全標準,旨在防止用戶意外簽署並轉移資金。此類問題一直是導致業界重大駭客攻擊與詐騙的主因。
這項名為「Clear Signing」(清晰簽名)的倡議,旨在將用戶目前核准以太坊交易時所見的混亂程式碼牆,替換為簡單易懂、人類可讀的說明,清楚告知用戶實際同意的事項。
此舉是經過多年網路釣魚攻擊與錢包掏空事件後所推動的,這些事件往往源於同一個問題:用戶在不知情的情況下核准了他們無法理解的惡意交易。以太坊基金會指出,Bybit 駭客事件等案例正是攻擊者如何利用「盲簽」(blind signing)的明證,即用戶核准了充滿無法閱讀的技術資料的交易。
目前,簽署加密交易的感覺就像點擊同意用另一種語言寫成的服務條款頁面。錢包通常顯示長串程式碼,只有高度技術性的用戶才能解讀,這使得一般交易者容易受到假應用程式、惡意連結和遭入侵網站的攻擊。
新系統將允許錢包顯示更清晰的提示,例如在用戶點擊核准前,顯示哪些資產正在轉移、接收者是誰以及授予了哪些權限。
該框架依賴於一項名為 ERC-7730 的以太坊提案標準,以及一個公開註冊表,交易描述可由獨立安全研究人員審查與驗證。錢包隨後可選擇在向用戶呈現資訊時使用哪些受信任的來源。
以太坊基金會的「Trillion Dollar Security Initiative」表示,計劃監督註冊表背後的基礎設施,同時鼓勵生態系中的錢包與開發者採用此標準。
此舉凸顯了加密貨幣內部日益增長的認知:更好的安全性可能較少依賴更聰明的程式碼,而更多在於確保用戶真正理解他們正在簽署的內容。
Trezor 首席技術官 Tomáš Sušánka 在發送給 CoinDesk 的電子郵件中表示:「我們歡迎以太坊基金會的 Clear Signing 標準,這對於整個產業而言是一項關鍵的安全進步。這解決了多年來困擾加密貨幣用戶的根本漏洞——盲簽。當用戶無法理解他們簽署的內容時,安全性就會變得更加困難。此標準改變了這一點,每個錢包供應商都應該擁抱它。」
延伸閱讀:Vitalik Buterin 推動「DVT-Lite」以簡化以太坊驗證器設置