以太坊基金会和一群主要加密钱包开发者于5月12日宣布推出名为“清晰签名”的新安全标准。该标准旨在用明文描述替换不可读的交易代码,以用户批准任何操作前的描述。
该倡议针对盲签名,基金会将其列为 #Ethereum 生态系统中最常被利用的漏洞之一。
目前大多数钱包在请求用户批准交易时会显示原始十六进制代码。这些数据对绝大多数用户来说是无法读取的。清晰签名用描述替换了这些输出,说明哪些资产正在移动、谁接收它们,以及在用户确认前将获得哪些权限。
什么是ERC-7730?
Clear Signing 的技术基础是 ERC-7730,这是硬件钱包制造商 Ledger 于 2024 年首次提出的开放标准。以太坊基金会将ERC-7730命名为结构化、人类可读交易描述的共享格式。它还在 Clearsigning(dot)org 推出了公开注册库,供独立安全研究人员提交、审核和验证合同描述符。
钱包会从注册表中提取经过验证的描述,并在用户签名时直接显示。由于描述符存在链外,系统与现有合同相配合,无需链上任何更改。基金会还发布了工具库,帮助钱包开发者和应用开发者采用该标准。
以太坊基金会的万亿美元安全倡议将负责管理注册基础设施。参与该项目的参与者包括ZKnox、Sourcify、Cyfrin、Zama、WalletConnect、Fireblocks、Trezor、Keycard、MetaMask和Argot。Ledger 最早于2024年提出 ERC-7730,基金会认可了生态系统中独立贡献者推动了这项工作。
Bybit被黑客事件作为盲签名可能造成的损害的直接例子。拉撒路集团通过诱骗交易所盲签恶意交易,从交易所中盗取了14亿美元。基金会以该事件为例,说明攻击者如何利用交易内容与用户在批准前所见内容之间的差距。
Trezor首席技术官Tomáš Sušánka表示,该标准解决了“多年来困扰加密货币用户的一个根本性漏洞”。他补充说,当用户无法理解自己签署的内容时,安全措施将变得更加难以执行。“这个标准改变了这一点,每个钱包提供商都应该拥抱它,”他说。
Clear Signing的启动紧随基金会近几个月来一系列安全投资之后,包括后量子密码学研究和100万美元的审计补贴项目。5月11日,基金会还宣布核心协议团队变动,Barnabé Monnot、Tim Beiko和Alex Stokes辞去集群负责人职务,由Will Corcoran、Kev Wedderburn和Fredrik接替。
