Fundacja Ethereum wdrożyła dziś nowy standard 'Clear Signing', zaprojektowany, aby powstrzymać użytkowników przed ślepym zatwierdzaniem złośliwych transakcji. Decyzja ta następuje po miliardowych stratach spowodowanych atakami phishingowymi i opróżnianiem portfeli, które wykorzystują sposób, w jaki większość kryptowalutowych portfeli prezentuje dane transakcji. Standard wymusza na portfelach i dappach wyświetlanie próśb o zatwierdzenie w prostym języku, utrudniając atakującym ukrywanie niebezpiecznych działań w nieczytelnym kodzie szesnastkowym.
Co zmienia Clear Signing
Obecnie, gdy użytkownik zatwierdza transfer tokena lub podpisuje interakcję z inteligentnym kontraktem, często widzi ścianę ciągów szesnastkowych. Większość osób po prostu klika 'potwierdź' bez czytania – właśnie na tym polegają ataki phishingowe. Clear Signing wymaga, aby portfele przekształcały te dane na czytelne dla człowieka pola: który token, ile, który kontrakt, jakie uprawnienia. Standaryzuje format, dzięki czemu użytkownicy mogą szybko ocenić, czy żądanie jest legalne, czy próbuje opróżnić ich portfel.
Fundacja podaje, że standard jest open-source i gotowy do integracji. Nie zmienia on działania Ethereum od środka – zmienia jedynie to, co użytkownik widzi przed podpisaniem.
Ataki phishingowe są jednym z najbardziej uporczywych zagrożeń w kryptowalutach. Fałszywe airdropy, złośliwe zatwierdzenia i schematy 'ice fishing' łącznie wyczerpały miliardy z indywidualnych portfeli i protokołów DeFi. Problem nie jest nowy, ale skala stale rośnie. Clear Signing atakuje źródło: asymetrię informacyjną między tym, co użytkownik myśli, że zatwierdza, a tym, co transakcja faktycznie robi.
Termin nie jest przypadkowy. Fundacja Ethereum była pod presją, aby poprawić bezpieczeństwo użytkowników w miarę napływu środków detalicznych do L2 i łańcuchów aplikacji. Ten standard jest jednym z pierwszych konkretnych wyników prac jej grupy roboczej ds. bezpieczeństwa UX.
Przeszkody we wdrożeniu
Standard jest użyteczny tylko wtedy, gdy portfele go wdrożą. Główni dostawcy portfeli, tacy jak MetaMask, Rabby i Safe, będą musieli dodać obsługę nowego formatu. Dappy będą musiały zaktualizować swoje ładunki żądań transakcji, aby były zgodne. Fundacja przedstawia Clear Signing jako ulepszenie wymagające minimalnego wysiłku – większość pracy leży po stronie portfela, a nie inteligentnego kontraktu.
Nie jest to obowiązkowe. Nie ma mechanizmu egzekwowania. Jednak Fundacja stawia na to, że popyt użytkowników skłoni portfele do jego przyjęcia, zwłaszcza po głośnych atakach, którym można było zapobiec dzięki wyraźniejszym monitom o podpis.
Standard jest już dostępny na stronie GitHub Fundacji Ethereum. Deweloperzy mogą rozpocząć integrację już dziś. To, czy stanie się domyślnym rozwiązaniem przed następną wielką falą phishingu, pozostaje pytaniem otwartym.
