イーサリアムコミュニティは今週、盲署名(ブラインドサイニング)の慣行を完全に廃止することを目的とした新しいセキュリティ機能「クリアサイニング」を公開した。そのアイデアはシンプルだ。ユーザーはトランザクションの内容を確認せずに承認する代わりに、確認ボタンを押す前に、コントラクトとのやり取りを人間が読める形で詳細に表示される。これは、フィッシング攻撃や悪意のある承認によって数十億ドルが流出してきた分野において、非常に重要な進展である。
クリアサイニングの実際の機能
盲署名は長年にわたって脆弱性として存在してきた。ユーザーはハードウェアウォレットやブラウザ拡張機能上でトランザクションを承認する際、背後にあるスマートコントラクトの呼び出しを理解しないまま行う。一見無害に見える承認が、詐欺師にトークンの権限を渡してしまう可能性がある。クリアサイニングはその流れを遮断する。呼び出される関数、そのパラメータ、関与する資産を平易な言葉で表示する。目的は、ユーザーが署名する内容を確実に確認できるようにすること、つまりブラックボックス的な承認をなくすことだ。
すでに参加している企業
この機能は単なる提案ではない。主要な暗号資産インフラ企業のいくつかはすでにクリアサイニングを統合するか、サポートを約束している。Ledger、Trezor、MetaMask、Keycard、WalletConnect、Argot、Fireblocksが初期導入企業および貢献企業として挙げられている。これにはハードウェアウォレット、ブラウザ拡張機能、ウォレット接続プロトコル、機関向けカストディが含まれる。これだけ広範なサポートがあることから、クリアサイニングはイーサリアムのトランザクション承認における標準となり得るものであり、単なるニッチなツールではないことを示している。
ユーザーを騙して悪意のあるトランザクションに署名させるフィッシング攻撃は、DeFiにおいて依然として最も一般的な攻撃ベクトルの一つである。クリアサイニングの開始時期は偶然ではない。エコシステムは長年にわたって協調的な修正を模索してきた。ハードウェアウォレットとソフトウェアウォレットを同じページに揃えることで、クリアサイニングは盲署名が残すギャップを埋めることを目指している。すべてのセキュリティ問題を解決するわけではないが、特定の高頻度の脅威に対処するものである。
今後の展開
クリアサイニングの標準はすでに公開されているが、残りのイーサリアムウォレットエコシステム全体への採用には時間がかかるだろう。初期導入企業はすでにサポートを提供しているが、他の企業も今後数ヶ月のうちに追随すると見込まれている。現在の核心的な課題は、残りの主要ウォレットとdAppsがどの程度迅速にこの仕様を統合するかである。統合が完了するまでは、盲署名はオプションとして残り続けるだろう。しかし、コミュニティは業界が向かうべき方向性を明確に示している。
