جامعه اتریوم این هفته یک ویژگی امنیتی جدید به نام Clear Signing را معرفی کرد که هدف آن پایان دادن به رویه امضای کور (blind signing) یکبار برای همیشه است. ایده ساده است: به جای تأیید یک تراکنش بدون دیدن آنچه واقعاً انجام میدهد، کاربران قبل از تأیید، یک توضیح قابلخواندن از تعامل با قرارداد دریافت میکنند. این یک تحول بزرگ در فضایی است که حملات فیشینگ و تأییدهای مخرب میلیاردها دلار را از بین برده است.
Clear Signing واقعاً چه کاری انجام میدهد
امضای کور یک آسیبپذیری پایدار بوده است. کاربران تراکنشها را روی کیفپولهای سختافزاری یا افزونههای مرورگر بدون درک فراخوانیهای قرارداد هوشمند زیرین تأیید میکنند. یک تأیید ظاهراً بیخطر میتواند مجوزهای توکن را به یک کلاهبردار واگذار کند. Clear Signing این جریان را قطع میکند. این ویژگی دقیقاً تابع فراخوانیشده، پارامترها و داراییهای درگیر را به زبان ساده نمایش میدهد. هدف این است که کاربران ببینند چه چیزی را امضا میکنند — دیگر خبری از تأییدهای جعبه سیاه نیست.
چه کسانی قبلاً پیوستهاند
این ویژگی فقط یک پیشنهاد نیست. چندین بازیگر بزرگ زیرساخت کریپتو قبلاً از Clear Signing پشتیبانی کردهاند یا متعهد به پشتیبانی از آن شدهاند. Ledger، Trezor، MetaMask، Keycard، WalletConnect، Argot و Fireblocks بهعنوان پذیرندگان اولیه و مشارکتکنندگان ذکر شدهاند. این شامل کیفپولهای سختافزاری، افزونههای مرورگر، پروتکلهای اتصال کیفپول و نگهداری نهادی میشود. گستردگی این پشتیبانی نشان میدهد که این ویژگی میتواند به استانداردی برای تأیید تراکنشهای اتریوم تبدیل شود، نه فقط یک ابزار خاص.
حملات فیشینگ که کاربران را فریب میدهند تا تراکنشهای مخرب را امضا کنند، همچنان یکی از رایجترین بردارهای حمله در دیفای (DeFi) است. زمانبندی راهاندازی Clear Signing تصادفی نیست — اکوسیستم سالها به دنبال یک راهحل هماهنگ بوده است. با هماهنگسازی کیفپولهای سختافزاری و نرمافزاری، Clear Signing قصد دارد شکافی را که امضای کور باز میگذارد، ببندد. این ویژگی همه مشکلات امنیتی را حل نمیکند، اما یک تهدید خاص و پربسامد را هدف قرار میدهد.
چه اتفاقی میافتد بعد
استاندارد Clear Signing فعال است، اما پذیرش آن در بقیه اکوسیستم کیفپول اتریوم زمان میبرد. پذیرندگان اولیه پشتیبانی را ارائه کردهاند؛ انتظار میرود دیگران در ماههای آینده دنبال کنند. سؤال اصلی اکنون این است که کیفپولها و dAppهای اصلی باقیمانده با چه سرعتی این مشخصات را یکپارچه میکنند. تا آن زمان، امضای کور بهعنوان یک گزینه باقی خواهد ماند — اما جامعه مشخص کرده است که صنعت به کدام سمت باید برود.
