ZenGo, постачальник криптобезпеки та гаманців, представив рішення для вирішення зростаючої проблеми експлойтів офлайн-підписів. Такі експлойти призвели до того, що зловмисники обманювали користувачів, змушуючи їх підписувати важкочитані повідомлення гаманця, щоб викрасти криптоактиви та NFT.
За останні кілька років декілька користувачів криптовалюти стали жертвами цих зловмисних підписів, особливо на ринках NFT, таких як OpenSea, де офлайн-підписи широко використовуються для торгівлі NFT без попередньої оплати.
У січні був NFT-підприємець Кевін Роуз зламаний за NFT на загальну суму 1.5 мільйона доларів після того, як його обманом змусили підписати зловмисний офлайн-підпис у тому, що здавалося справжньою функцією OpenSea.
Щоб вирішити цю поширену проблему безпеки, ZenGo випустив запропоноване рішення як офіційну пропозицію щодо покращення Ethereum, відоме як ЕІП-6384. Пропозиція спрямована на те, щоб офлайн-підписи були безпечними та легко читаними для користувачів. Спираючись на існуючий офлайн-стандарт підпису EIP-712, ZenGo додав до смарт-контрактів функцію лише перегляду, яка переводить повідомлення в зрозумілу людині форму.
Завдяки впровадженню EIP-6384 усі смарт-контракти Ethereum візьмуть на себе відповідальність за надання чіткого пояснення повідомлення, зберігаючи безкоштовні транзакції в децентралізованих програмах. Ця зміна дозволить користувачам гаманця отримувати чіткий і зрозумілий опис повідомлення, яке їх просять підписати, що дозволить їм приймати обґрунтоване рішення під час підписання транзакцій.
Хоча певні сторонні служби вже доступні, щоб допомогти користувачам зрозуміти, що вони підписують, вони не завжди можуть бути надійними. Якщо гаманці та децентралізовані додатки приймуть цю пропозицію, користувачам більше не доведеться залежати від таких сторонніх інструментів для читання інформації в офлайн-підписах, зазначив ZenGo.
«Для відображення необхідної інформації EIP покладається виключно на існуючих учасників системи, таких як гаманці та смарт-контракти. Це усуває потребу в додаткових учасниках, таких як сторонні служби або розширення браузера, які можуть створити додаткові рівні потенційної вразливості та проблеми з довірою», — сказав Тал Бе'ері, головний технічний директор ZenGo.
Запропоноване рішення може стати кроком до створення більш безпечних програм і позбавити користувачів і проекти від страху втратити активи хакерами під час використання офлайн-підписів, додала команда ZenGo.
© 2023 The Block Crypto, Inc. Всі права захищені. Ця стаття надана лише в інформаційних цілях. Він не пропонується або не може використовуватися як юридична, податкова, інвестиційна, фінансова чи інша порада.
Джерело: https://www.theblock.co/post/208030/zengo-proposes-solution-to-tackle-offline-signature-exploits-with-eip-6384?utm_source=rss&utm_medium=rss