以太坊基金會聯手多家主流錢包開發商推出「Clear Signing」安全標準,以 ERC-7730 提案為核心建立公開登入檔,讓錢包能將複雜的合約程式碼轉譯為人類可讀的交易說明,從根本解決因「盲簽」導致的數十億美元釣魚攻擊與錢包掏空損失。
(前情提要:EIP-7702 首次大規模實戰失利:QNT、ETH 遭盜,Pectra 帳戶抽象機制淪釣魚溫床)
(背景補充:詭異!ETH 主網 500 個沉睡錢包被一夜清空,AI 強到老地址瘋狂被盜?)
本文目錄
以太坊基金會(Ethereum Foundation)宣布聯手多家主流加密錢包開發商,推出全新安全標準「Clear Signing」,旨在終結長期困擾加密生態的「盲簽」(blind signing)漏洞——使用者在不知情下簽署惡意交易,導致資產遭洗劫一空的慘案屢見不鮮。
這項倡議的核心很簡單:把錢包畫面上那一串令人眼花撩亂的十六進位合約程式碼,換成人話。使用者在按下「確認」之前,能看到清楚的白話說明——這筆交易到底在做什麼、哪些資產正在移動、接收方是誰、授權了哪些許可權。
從 Bybit 駭客到日常釣魚:盲簽如何吞掉數十億美元
以太坊基金會指出,多年來的釣魚攻擊與錢包掏空事件,追根究柢都指向同一個痛點:使用者在完全不理解交易內容的情況下盲目批准。以 Bybit 遭駭事件為例,攻擊者正是利用「盲簽」手法,讓使用者批准充滿不可讀技術資料的交易,從而盜走鉅額資金。
目前加密交易的簽署體驗,被形容為「像在點選一份用外語寫成的服務條款」。錢包通常顯示長串程式碼,只有具備高度技術能力的使用者才能辨讀,一般投資者因此在假應用、惡意連結與遭入侵的網站面前毫無防備。
ERC-7730 與公開登入檔:讓交易說明可被審查
Clear Signing 的技術基礎是提案中的以太坊標準 ERC-7730,搭配一套公開登入檔(public registry)。獨立安全研究人員可以在登入檔中審查並驗證各類交易的描述內容,錢包開發者則可自行選擇要信任哪些來源,來向用戶呈現交易資訊。
以太坊基金會旗下的「兆美元安全倡議」(Trillion Dollar Security Initiative)將負責監督註冊表背後的基礎設施,同時鼓勵生態系內的錢包與開發者廣泛採用這項標準。
Trezor CTO:這是整個產業的關鍵安全進展
硬體錢包龍頭 Trezor 的技術長 Tomáš Sušánka 在給 CoinDesk 的宣告中表示:「我們歡迎以太坊基金會的 Clear Signing 標準,這對整個產業來說是一項關鍵的安全進展。它解決了長期困擾加密貨幣使用者的根本漏洞——盲簽。當使用者看不懂自己簽署的內容時,安全防護變得極為困難。這項標準改變了這一點,每個錢包供應商都應該擁抱它。」
Clear Signing 的推出,反映出加密產業內部日益增長的共識:更好的安全防護,或許不只在於更聰明的程式碼,而在於確保使用者真正理解自己在簽署什麼。隨著以太坊積極吸引主流與機構使用者,降低交易簽署的技術門檻已成為生態發展的關鍵環節。
📍相關報導📍
小龍蝦 OpenClaw 爆紅成「駭客提款機」!官網遭畫素級複製洗劫 Web3 錢包
