Сьогодні Ethereum Foundation запустив новий стандарт 'Clear Signing', розроблений, щоб запобігти сліпому підтвердженню шкідливих транзакцій користувачами. Цей крок став відповіддю на багатомільярдні збитки від фішингових атак та викрадень гаманців, які використовують спосіб подання даних транзакцій у більшості криптогаманців. Стандарт зобов'язує гаманці та dapps показувати запити на підтвердження зрозумілою мовою, що ускладнює зловмисникам приховування небезпечних дій у нечитабельному шістнадцятковому коді.
Що змінює Clear Signing
Наразі, коли користувач підтверджує передачу токенів або підписує взаємодію зі смарт-контрактом, він часто бачить набір шістнадцяткових рядків. Більшість людей просто натискають 'підтвердити', не читаючи — саме на це розраховані фішингові атаки. Clear Signing вимагає, щоб гаманці перетворювали ці дані на зрозумілі поля: який токен, скільки, який контракт, які дозволи. Він стандартизує формат, щоб користувач міг швидко визначити, чи є запит легітимним, чи він намагається спустошити гаманець.
Фонд заявляє, що стандарт є відкритим і готовим до інтеграції. Він не змінює те, як працює Ethereum всередині — він лише змінює те, що бачить користувач перед підписанням.
Фішингові атаки залишаються однією з найстійкіших загроз у криптосвіті. Фейкові еірдропи, шкідливі підтвердження та схеми 'ice fishing' (крижаний фішинг) спільно спустошили мільярди доларів з індивідуальних гаманців та DeFi-протоколів. Проблема не нова, але масштаб постійно зростає. Clear Signing спрямований на першопричину: інформаційну асиметрію між тим, що користувач думає, що підтверджує, і тим, що насправді робить транзакція.
Вибір часу не випадковий. Ethereum Foundation перебуває під тиском через необхідність підвищення безпеки користувачів, оскільки все більше роздрібних грошей надходить у L2 та прикладні ланцюжки. Цей стандарт є одним із перших конкретних результатів роботи його постійної робочої групи з безпеки UX.
Перешкоди для впровадження
Стандарт корисний лише якщо гаманці його фактично впровадять. Великі постачальники гаманців, такі як MetaMask, Rabby та Safe, повинні будуть додати підтримку нового формату. Dapps потрібно оновити свої корисні навантаження запитів транзакцій для відповідності. Фонд пропонує Clear Signing як оновлення з мінімальними зусиллями — основна робота лягає на сторону гаманця, а не смарт-контракту.
Це не є обов'язковим. Немає механізму примусу. Але Фонд робить ставку на те, що попит користувачів підштовхне гаманці до впровадження, особливо після гучних зламів, яких можна було б уникнути за допомогою чіткіших підказок при підписанні.
Стандарт доступний зараз на сторінці Ethereum Foundation у GitHub. Розробники можуть почати інтеграцію вже сьогодні. Чи стане він стандартом за замовчуванням до наступної великої фішингової хвилі — залишається відкритим питанням.
