ZenGo, dostawca zabezpieczeń kryptograficznych i portfeli, wprowadził rozwiązanie, które ma rozwiązać rosnący problem exploitów związanych z sygnaturami offline. Takie exploity doprowadziły do tego, że osoby atakujące oszukały użytkowników, aby podpisali trudne do odczytania wiadomości portfela w celu kradzieży aktywów kryptograficznych i NFT.
W ciągu ostatnich kilku lat kilku użytkowników kryptowalut padło ofiarą tych złośliwych podpisów, szczególnie na rynkach NFT, takich jak OpenSea, gdzie podpisy offline są szeroko wykorzystywane do handlu NFT bez uiszczania opłat z góry.
W styczniu był nim przedsiębiorca NFT, Kevin Rose hacked za NFT o łącznej wartości 1.5 miliona dolarów, po tym, jak został oszukany do podpisania złośliwego podpisu offline w czymś, co wyglądało na prawdziwą funkcję OpenSea.
Aby rozwiązać ten powszechny problem z bezpieczeństwem, ZenGo opublikowała swoje proponowane rozwiązanie jako oficjalną propozycję ulepszenia Ethereum, znaną jako EIP-6384. Wniosek ma na celu uczynienie podpisów offline zarówno bezpiecznymi, jak i łatwymi do odczytania dla użytkowników. Opierając się na istniejącym standardzie podpisu offline EIP-712, ZenGo dodał funkcję tylko do przeglądania do inteligentnych kontraktów, która tłumaczy wiadomość na formę czytelną dla człowieka.
Wdrażając EIP-6384, wszystkie inteligentne kontrakty Ethereum przyjęłyby odpowiedzialność za dostarczenie jasnego wyjaśnienia wiadomości, zachowując doświadczenie transakcji bez opłat w zdecentralizowanych aplikacjach. Ta zmiana pozwoliłaby użytkownikom portfela otrzymać jasny i zrozumiały opis wiadomości, o podpisanie której są proszeni, co pozwoli im podjąć świadomą decyzję podczas podpisywania transakcji.
Chociaż istnieją już pewne usługi stron trzecich, które pomagają użytkownikom zrozumieć, co podpisują, nie zawsze są one niezawodne. Jeśli portfele i zdecentralizowane aplikacje przyjmą tę propozycję, użytkownicy nie będą już musieli polegać na takich narzędziach innych firm, aby czytać informacje o podpisach offline, zauważył ZenGo.
„EIP opiera się wyłącznie na istniejących uczestnikach systemu, takich jak portfele i inteligentne kontrakty, aby wyświetlać niezbędne informacje. Eliminuje to potrzebę dodatkowych uczestników, takich jak usługi stron trzecich lub rozszerzenia przeglądarki, które mogą wprowadzać dodatkowe warstwy potencjalnych luk i problemów z zaufaniem” – powiedział Tal Be'ery, dyrektor ds. technologii w ZenGo.
Proponowane rozwiązanie może stanowić krok w kierunku tworzenia bezpieczniejszych aplikacji i uwolnienia użytkowników i projektów od strachu przed utratą zasobów na rzecz hakerów podczas korzystania z podpisów offline, dodał zespół ZenGo.
© 2023 The Block Crypto, Inc. Wszelkie prawa zastrzeżone. Ten artykuł służy wyłącznie celom informacyjnym. Nie jest oferowany ani przeznaczony do wykorzystania jako porady prawne, podatkowe, inwestycyjne, finansowe lub inne.
Źródło: https://www.theblock.co/post/208030/zengo-proposes-solution-to-tackle-offline-signature-exploits-with-eip-6384?utm_source=rss&utm_medium=rss