Цього тижня спільнота Ethereum представила нову функцію безпеки під назвою Clear Signing, призначену для остаточного припинення практики сліпого підписання. Ідея проста: замість того, щоб підтверджувати транзакцію, не бачачи, що вона насправді робить, користувачі отримують зрозумілий опис взаємодії з контрактом перед натисканням «підтвердити». Це великий крок у сфері, де фішингові атаки та шкідливі підтвердження призвели до втрати мільярдів.
Що насправді робить Clear Signing
Сліпе підписання було постійною вразливістю. Користувачі підтверджують транзакції на апаратних гаманцях або розширеннях для браузера, не розуміючи базових викликів смарт-контрактів. Нешкідливе на перший погляд підтвердження може передати дозволи на токени шахраєві. Clear Signing перехоплює цей потік. Він відображає точну функцію, яка викликається, параметри та задіяні активи простою мовою. Мета — гарантувати, що користувачі бачать, що підписують, — більше жодних «чорних скриньок» під час підтверджень.
Хто вже приєднався
Ця функція — не просто пропозиція. Кілька великих гравців криптоінфраструктури вже інтегрували або зобов’язалися підтримувати Clear Signing. Ledger, Trezor, MetaMask, Keycard, WalletConnect, Argot і Fireblocks зазначені як перші користувачі та учасники. Це охоплює апаратні гаманці, розширення для браузера, протоколи підключення гаманців та інституційне зберігання. Широта підтримки свідчить про те, що це може стати стандартом для підтвердження транзакцій Ethereum, а не просто спеціалізованим інструментом.
Фішингові атаки, які змушують користувачів підписувати шкідливі транзакції, досі є одним із найпоширеніших векторів атак у DeFi. Час запуску Clear Signing не випадковий — екосистема роками шукала скоординоване вирішення. Об’єднавши апаратні та програмні гаманці, Clear Signing має на меті закрити прогалину, яку залишає сліпе підписання. Це не вирішить усіх проблем безпеки, але усуває конкретну високочастотну загрозу.
Що далі
Стандарт Clear Signing уже впроваджено, але його прийняття рештою екосистеми гаманців Ethereum потребуватиме часу. Перші користувачі вже забезпечили підтримку; інші, як очікується, приєднаються протягом наступних місяців. Тепер головне питання — як швидко решта великих гаманців і dApps інтегрують специфікацію. Поки цього не станеться, сліпе підписання залишиться як опція — але спільнота чітко дає зрозуміти, в якому напрямку має рухатися індустрія.
