Ethereum Foundation lanserte i dag en ny 'Clear Signing'-standard, utviklet for å hindre brukere i å blindt godkjenne ondsinnede transaksjoner. Tiltaket kommer etter milliarder av dollar i tap fra phishing-angrep og lommeboktømming som utnytter måten de fleste krypto-lommebøker presenterer transaksjonsdata på. Standarden tvinger lommebøker og dapper til å vise godkjenningsforespørsler på vanlig språk, noe som gjør det vanskeligere for angripere å skjule farlige handlinger inne i uleselig heksadesimal kode.
Hva Clear Signing endrer
I dag, når en bruker godkjenner en token-overføring eller signerer en smartkontrakt-interaksjon, ser de ofte en vegg av heksadesimale strenger. De fleste klikker bare 'bekreft' uten å lese det – det er akkurat det phishing-angrep utnytter. Clear Signing krever at lommebøker oversetter disse dataene til menneskelesbare felt: hvilket token, hvor mange, hvilken kontrakt, hvilke tillatelser. Det standardiserer formatet slik at brukere raskt kan se om forespørselen er legitim eller om den prøver å tømme lommeboken deres.
Stiftelsen sier at standarden er åpen kildekode og klar for integrasjon. Den endrer ikke hvordan Ethereum fungerer under panseret – den endrer bare hva brukeren ser før de signerer.
Phishing-angrep har vært en av de mest vedvarende truslene i krypto. Falske airdrops, ondsinnede godkjenninger og 'isfiske'-ordninger har samlet tappet milliarder fra individuelle lommebøker og DeFi-protokoller. Problemet er ikke nytt, men omfanget fortsetter å vokse. Clear Signing angriper roten: informasjonsasymmetrien mellom hva brukeren tror de godkjenner og hva transaksjonen faktisk gjør.
Tidspunktet er ikke tilfeldig. Ethereum Foundation har vært under press for å forbedre brukersikkerheten ettersom mer detaljhandelspenger strømmer inn i L2-er og app-kjeder. Denne standarden er et av de første konkrete resultatene fra dens pågående brukeropplevelse-sikkerhetsarbeidsgruppe.
Adopsjonshindre
En standard er bare nyttig hvis lommebøker faktisk implementerer den. Store lommebokleverandører som MetaMask, Rabby og Safe må legge til støtte for det nye formatet. Dapper må oppdatere sine transaksjonsforespørselsnyttelaster for å være kompatible. Stiftelsen presenterer Clear Signing som en oppgradering med minimal innsats – mesteparten av arbeidet er på lommeboksiden, ikke smartkontraktsiden.
Det er ikke obligatorisk. Det finnes ingen håndhevingsmekanisme. Men stiftelsen satser på at brukeretterspørsel vil presse lommebøker til å ta det i bruk, spesielt etter høyt profilerte hacks som kunne vært forhindret med tydeligere signeringsmeldinger.
Standarden er tilgjengelig nå på Ethereum Foundations GitHub-side. Utviklere kan begynne å integrere den i dag. Om den blir standard før den neste store phishing-bølgen er et åpent spørsmål.
