以太坊基金会今日推出了一项新的“清晰签署”标准,旨在阻止用户盲目批准恶意交易。此举是在数十亿美元因钓鱼攻击和钱包盗刷事件损失之后采取的,这些攻击利用了大多数加密货币钱包展示交易数据的方式。该标准强制要求钱包和去中心化应用以通俗语言显示批准请求,使攻击者更难将危险操作隐藏在不可读的十六进制代码中。
清晰签署改变了什么
目前,当用户批准代币转账或签署智能合约交互时,他们通常会看到一串十六进制字符串。大多数人只是点击“确认”而不阅读——这正是钓鱼攻击所依赖的。清晰签署要求钱包将这些数据解析为人类可读的字段:哪种代币、多少数量、哪个合约、什么权限。它标准化了格式,让用户能快速判断请求是否合法,或者是否试图清空他们的钱包。
基金会表示,该标准是开源的,并已准备好集成。它不会改变以太坊的底层运行方式——只是改变了用户在签署前看到的内容。
钓鱼攻击一直是加密货币中最持久的威胁之一。虚假空投、恶意批准和“冰钓”骗局已从个人钱包和DeFi协议中窃取了数十亿美元。这个问题并不新鲜,但规模持续增长。清晰签署直击根源:用户认为自己批准的内容与实际交易内容之间的信息不对称。
这一时机并非偶然。随着更多散户资金流入二层网络和应用链,以太坊基金会一直面临提升用户安全性的压力。该标准是其正在进行的用户体验安全工作组的首批具体成果之一。
采用障碍
标准只有在钱包实际实施时才有效。主要钱包提供商如MetaMask、Rabby和Safe需要添加对新格式的支持。去中心化应用需要更新其交易请求负载以符合要求。基金会将清晰签署定位为一种低成本的升级——大部分工作在钱包端,而非智能合约端。
该标准并非强制性的,也没有执行机制。但基金会相信,用户需求将推动钱包采用它,尤其是在那些本可通过更清晰的签署提示来避免的高调黑客攻击事件之后。
该标准现已可在以太坊基金会的GitHub页面上获取。开发者即日起即可开始集成。在下一波大规模钓鱼攻击到来之前,它能否成为默认标准,仍是一个悬而未决的问题。
