加密安全和钱包提供商 ZenGo 推出了一种解决方案来解决日益严重的离线签名漏洞利用问题。 此类漏洞利用已导致攻击者欺骗用户签署难以读取的钱包消息以窃取加密资产和 NFT。
在过去几年中,一些加密用户成为这些恶意签名的受害者,特别是在 OpenSea 等 NFT 市场上,离线签名被广泛用于交易 NFT 而无需预先支付费用。
XNUMX 月,NFT 创业者凯文·罗斯 (Kevin Rose) 至少从2010年开始, NFT 总计 1.5 万美元,此前他被诱骗签署了一个恶意的离线签名,这似乎是 OpenSea 上的一个真正的功能。
为了解决这个普遍的安全问题, ZenGo 已将其提议的解决方案作为官方以太坊改进提案发布,称为 EIP-6384. 该提案旨在使离线签名既安全又易于用户阅读。 通过在现有的离线签名标准 EIP-712 的基础上,ZenGo 为智能合约添加了一个只能查看的功能,将消息转换为人类可读的形式。
通过实施 EIP-6384,所有以太坊智能合约都将承担提供清晰的消息解释的责任,从而保持去中心化应用程序的免费交易体验。 这一变化将使钱包用户能够收到对他们被要求签名的消息的清晰易懂的描述,从而使他们能够在签署交易时做出明智的决定。
虽然已经有某些第三方服务可以帮助用户了解他们签署的内容,但这些服务可能并不总是可靠的。 ZenGo 指出,如果钱包和去中心化应用程序采用这一提议,用户将不再需要依赖此类第三方工具来读取离线签名信息。
“EIP 完全依赖于现有的系统参与者,例如钱包和智能合约,来显示必要的信息。 这消除了对第三方服务或浏览器扩展等额外参与者的需求,这些参与者可能会引入额外的潜在漏洞和信任问题,”ZenGo 首席技术官 Tal Be'ery 说。
ZenGo 团队补充说,拟议的解决方案可能标志着朝着创建更安全的应用程序迈出的一步,并减轻了用户和项目在使用离线签名时对资产被黑客丢失的恐惧。
©2023 The Block Crypto,Inc.保留所有权利。 本文仅供参考。 不提供或不打算将其用作法律,税务,投资,财务或其他建议。
资料来源:https://www.theblock.co/post/208030/zengo-proposes-solution-to-tackle-offline-signature-exploits-with-eip-6384?utm_source=rss&utm_medium=rss