Фонд Ethereum сегодня представил новый стандарт «Clear Signing», призванный помешать пользователям слепо подтверждать вредоносные транзакции. Это решение последовало после потерь в миллиарды долларов из-за фишинговых атак и опустошения кошельков, которые используют способ отображения данных транзакций в большинстве крипто-кошельков. Стандарт обязывает кошельки и dapp-приложения отображать запросы на подтверждение простым языком, что усложняет злоумышленникам сокрытие опасных действий внутри нечитаемого шестнадцатеричного кода.
Что изменит Clear Signing
Сейчас, когда пользователь утверждает перевод токена или подписывает взаимодействие со смарт-контрактом, он часто видит стену шестнадцатеричных строк. Большинство людей просто нажимают «подтвердить», не читая, — именно на это и рассчитывают фишинговые атаки. Clear Signing требует, чтобы кошельки преобразовывали эти данные в понятные человеку поля: какой токен, сколько, какой контракт, какие разрешения. Стандартизирует формат, чтобы пользователи могли быстро определить, является ли запрос законным или он пытается опустошить их кошелек.
Фонд заявил, что стандарт является open-source и готов к внедрению. Он не меняет работу Ethereum на низком уровне — он просто изменяет то, что пользователь видит перед подписанием.
Фишинговые атаки остаются одной из самых устойчивых угроз в криптоиндустрии. Поддельные эйрдропы, вредоносные утверждения и схемы «ледяной рыбалки» вместе опустошили кошельки отдельных пользователей и DeFi-протоколы на миллиарды долларов. Проблема не нова, но масштабы растут. Clear Signing направлен на корневую причину: информационную асимметрию между тем, что пользователь думает, что он утверждает, и тем, что транзакция делает на самом деле.
Этот момент не случаен. Фонд Ethereum находится под давлением улучшать безопасность пользователей, поскольку все больше розничных средств поступает в L2 и app-цепочки. Этот стандарт является одним из первых конкретных результатов его текущей рабочей группы по безопасности UX.
Препятствия для внедрения
Стандарт полезен только если кошельки действительно внедрят его. Крупные поставщики кошельков, такие как MetaMask, Rabby и Safe, должны добавить поддержку нового формата. Dapps должны обновить данные запросов на транзакции для соответствия. Фонд представляет Clear Signing как обновление с минимальными усилиями — основная работа лежит на стороне кошельков, а не смарт-контрактов.
Это необязательно. Нет механизма принудительного внедрения. Однако Фонд надеется, что спрос пользователей заставит кошельки внедрить стандарт, особенно после громких взломов, которые можно было предотвратить при наличии более понятных запросов на подписание.
Стандарт уже доступен на странице GitHub Фонда Ethereum. Разработчики могут начать внедрение сегодня. Будет ли он стандартом по умолчанию до следующей волны массовых фишинговых атак — пока открытый вопрос.
