イーサリアム財団は本日、ユーザーが悪意のあるトランザクションを盲目的に承認するのを防ぐための新しい「Clear Signing」標準を発表した。この動きは、ほとんどの暗号資産ウォレットがトランザクションデータを表示する方法を悪用したフィッシング攻撃やウォレットからの不正引き出しにより、数十億ドルの損失が発生したことを受けたものだ。この標準は、ウォレットやdAppに対して承認リクエストを平易な言葉で表示することを義務付け、攻撃者が判読不能な16進コードの中に危険な操作を隠すことを困難にする。
Clear Signingが変えること
現在、ユーザーがトークン転送を承認したり、スマートコントラクト操作に署名したりする際、多くの場合、16進文字列の壁を目にすることになる。ほとんどの人はそれを読まずに「確認」をクリックしてしまう――まさにフィッシング攻撃が依存している点だ。Clear Signingは、ウォレットがそのデータを人間が読めるフィールド(どのトークンか、数量、どのコントラクトか、どのような権限か)に変換することを要求する。フォーマットを標準化することで、ユーザーはリクエストが正当なものか、それともウォレットを不正に引き出そうとするものかを迅速に判断できるようになる。
