Ethereum Vakfı bugün, kullanıcıların kötü niyetli işlemleri körü körüne onaylamasını engellemek için tasarlanmış yeni bir 'Clear Signing' standardını duyurdu. Bu adım, çoğu kripto cüzdanının işlem verilerini sunma şeklini istismar eden kimlik avı saldırıları ve cüzdan boşaltma yöntemleriyle milyarlarca dolar kaybedilmesinin ardından geldi. Standart, cüzdanların ve dapp'lerin onay taleplerini sade bir dille göstermesini zorunlu kılarak saldırganların tehlikeli eylemleri okunamaz hex kodları içinde gizlemesini zorlaştırıyor.
Clear Signing neleri değiştiriyor
Şu anda, bir kullanıcı token transferini onayladığında veya bir akıllı sözleşme etkileşimini imzaladığında genellikle bir dizi onaltılık dizeyle karşılaşıyor. Çoğu kişi bunu okumadan 'onayla'ya tıklıyor — işte kimlik avı saldırıları tam da buna güveniyor. Clear Signing, cüzdanların bu verileri insan tarafından okunabilir alanlara dönüştürmesini gerektiriyor: hangi token, kaç tane, hangi sözleşme, hangi izinler. Formatı standartlaştırarak kullanıcıların talebin meşru olup olmadığını veya cüzdanlarını boşaltmaya çalışıp çalışmadığını hızlıca anlamasını sağlıyor.
Vakıf, standardın açık kaynak olduğunu ve entegrasyona hazır olduğunu belirtiyor. Ethereum'un nasıl çalıştığını değiştirmiyor — sadece kullanıcının imzalamadan önce gördüklerini değiştiriyor.
Kimlik avı saldırıları kriptoda en kalıcı tehditlerden biri oldu. Sahte airdrop'lar, kötü niyetli onaylar ve 'buz balıkçılığı' düzenekleri, bireysel cüzdanlardan ve DeFi protokollerinden toplu olarak milyarlarca dolar çekti. Sorun yeni değil, ancak ölçek büyümeye devam ediyor. Clear Signing, temel nedeni hedef alıyor: kullanıcının onayladığını sandığı ile işlemin gerçekte yaptığı arasındaki bilgi asimetrisi.
Zamanlama rastgele değil. Ethereum Vakfı, daha fazla perakende para L2'lere ve uygulama zincirlerine akarken kullanıcı güvenliğini artırma baskısı altındaydı. Bu standart, devam eden UX güvenlik çalışma grubunun ilk somut çıktılarından biri.
Benimseme engelleri
Bir standart ancak cüzdanlar onu uygularsa kullanışlıdır. MetaMask, Rabby ve Safe gibi büyük cüzdan sağlayıcılarının yeni formatı desteklemesi gerekecek. Dapp'lerin uyum sağlamak için işlem talebi yüklerini güncellemeleri gerekecek. Vakıf, Clear Signing'i minimum çaba gerektiren bir yükseltme olarak tanıtıyor — işin çoğu akıllı sözleşme tarafında değil, cüzdan tarafında.
Zorunlu değil. Herhangi bir uygulama mekanizması yok. Ancak Vakıf, kullanıcı talebinin cüzdanları benimsemeye iteceğine bahse giriyor, özellikle de daha net imza istemleriyle önlenebilecek yüksek profilli hack'lerden sonra.
Standart şu anda Ethereum Vakfı'nın GitHub sayfasında mevcut. Geliştiriciler bugünden itibaren entegrasyona başlayabilir. Bir sonraki büyük kimlik avı dalgasından önce varsayılan hale gelip gelmeyeceği açık bir soru.
