بنیاد اتریوم استاندارد «Clear Signing» را برای کاهش ضررهای فیشینگ معرفی کرد

بنیاد اتریوم امروز استاندارد جدید «Clear Signing» را معرفی کرد که برای جلوگیری از تأیید کورکورانه تراکنش‌های مخرب توسط کاربران طراحی شده است. این اقدام پس از میلیاردها دلار ضرر ناشی از حملات فیشینگ و تخلیه کیف پول‌ها صورت می‌گیرد که از نحوه نمایش داده‌های تراکنش در اکثر کیف پول‌های رمزارزی سوءاستفاده می‌کنند. این استاندارد کیف پول‌ها و اپلیکیشن‌های غیرمتمرکز (dappها) را ملزم می‌کند تا درخواست‌های تأیید را به زبان ساده نمایش دهند و پنهان کردن اقدامات خطرناک در میان کدهای هگزادسیمال غیرقابل‌خواندن را برای مهاجمان دشوارتر می‌کند.

تغییرات Clear Signing

در حال حاضر، وقتی کاربر انتقال توکن را تأیید می‌کند یا تعاملی با قرارداد هوشمند امضا می‌کند، اغلب با دیواری از رشته‌های هگزادسیمال مواجه می‌شود. بیشتر افراد بدون خواندن آن روی «تأیید» کلیک می‌کنند – این دقیقاً همان چیزی است که حملات فیشینگ به آن متکی هستند. Clear Signing از کیف پول‌ها می‌خواهد آن داده‌ها را به فیلدهای قابل‌فهم برای انسان تبدیل کنند: کدام توکن، چه تعداد، کدام قرارداد، چه مجوزهایی. این استاندارد قالب را یکپارچه می‌کند تا کاربران بتوانند به سرعت تشخیص دهند که درخواست قانونی است یا سعی در تخلیه کیف پولشان دارد.

بنیاد اعلام کرده که این استاندارد متن‌باز است و آماده ادغام می‌باشد. این تغییر نحوه عملکرد اتریوم در پس‌زمینه را تغییر نمی‌دهد – فقط آنچه کاربر قبل از امضا می‌بیند را تغییر می‌دهد.

حملات فیشینگ یکی از پایدارترین تهدیدها در رمزارزها بوده است. ایردراپ‌های جعلی، تأییدیه‌های مخرب و طرح‌های «ice fishing» به طور جمعی میلیاردها دلار از کیف پول‌های فردی و پروتکل‌های دیفای تخلیه کرده‌اند. این مشکل جدید نیست، اما مقیاس آن همچنان در حال رشد است. Clear Signing ریشه مشکل را هدف قرار می‌دهد: عدم تقارن اطلاعاتی بین آنچه کاربر فکر می‌کند تأیید می‌کند و آنچه تراکنش واقعاً انجام می‌دهد.

زمان‌بندی تصادفی نیست. بنیاد اتریوم تحت فشار بوده است تا امنیت کاربران را بهبود بخشد، زیرا پول خرده‌فروشی بیشتری به لایه‌های دوم (L2ها) و زنجیره‌های اپلیکیشن وارد می‌شود. این استاندارد یکی از اولین خروجی‌های ملموس از گروه کاری ایمنی تجربه کاربری (UX safety working group) آن است.

موانع پذیرش

یک استاندارد تنها در صورتی مفید است که کیف پول‌ها آن را پیاده‌سازی کنند. ارائه‌دهندگان اصلی کیف پول مانند MetaMask، Rabby و Safe باید پشتیبانی از قالب جدید را اضافه کنند. اپلیکیشن‌های غیرمتمرکز (dappها) باید بارگذاری درخواست تراکنش خود را برای مطابقت با استاندارد به‌روزرسانی کنند. بنیاد Clear Signing را به‌عنوان یک ارتقاء با حداقل تلاش معرفی می‌کند – بیشتر کار بر عهده کیف پول است، نه سمت قرارداد هوشمند.

این استاندارد اجباری نیست. هیچ مکانیزم اجرایی وجود ندارد. اما بنیاد شرط بسته است که تقاضای کاربران باعث می‌شود کیف پول‌ها آن را بپذیرند، به‌ویژه پس از هک‌های پرمخاطبی که با اعلان‌های امضای واضح‌تر قابل جلوگیری بودند.

این استاندارد اکنون در صفحه گیت‌هاب بنیاد اتریوم در دسترس است. توسعه‌دهندگان می‌توانند از امروز ادغام آن را شروع کنند. این که آیا قبل از موج بزرگ بعدی فیشینگ به پیش‌فرض تبدیل شود، یک سؤال باز است.