rbc.ru
Ethereum Foundation совместно с разработчиками кошельков и аудиторскими компаниями запустила новый открытый стандарт Clear Signing. Он должен сделать подтверждение транзакций в Ethereum более понятным и безопасным для пользователей, сообщили разработчики.
Это направлено против «слепого» подписания транзакций, когда пользователь подтверждает операцию, не понимая ее реального содержания. Именно через такие подтверждения часто теряют токены при взломах и фишинговых атаках.
При работе с Ethereum через криптокошельки вроде MetaMask пользователь должен вручную подтверждать многие действия с токенами и смарт-контрактами. Это может быть обмен токенов, подключение к DeFi-сервису или выдача разрешения на доступ к криптовалюте в кошельке.
Проблема в том, что такие запросы часто отображаются как набор сложных технических данных, которые обычный пользователь не может нормально проверить или понять. В итоге люди нередко подтверждают операции, не до конца понимая, что именно разрешают сделать со своими токенами или кошельком.
Этим активно пользуются мошенники. Пользователя могут убедить подписать транзакцию, которая даст доступ к токенам или переведет криптовалюту на чужой адрес. Именно такие подтверждения часто становятся последним этапом фишинговых атак и кражи криптовалюты.
Новый стандарт, представленный Ethereum 12 мая, позволит кошелькам показывать понятное описание операции вместо набора технических данных. Например, пользователь увидит «обмен 1000 USDC на 0,42 ETH через Uniswap» вместо длинной строки кода.
В основе системы лежит стандарт ERC-7730 и отдельный открытый реестр с описаниями транзакций, которые смогут проверять независимые аудиторы и исследователи безопасности. В разработке инициативы участвовали Ledger, Trezor, MetaMask, WalletConnect, Fireblocks и другие компании экосистемы Ethereum.
Как действуют мошенники
Схемы со «слепыми» подписями действуют через так называемые дрейнеры — вредоносные смарт-контракты, крадущие криптоактивы с кошельков. Если жертва подключает кошелек к сайту с дрейнером и вслепую подписывает транзакцию, с этого кошелька списываются все доступные на нем активы.
В 2024 году операторы одного из популярных дрейнеров объявили, что сворачивают деятельность после того, как с его помощью украли $85 млн у более чем 21 тыс. жертв.
Как правило, дрейнер встраивается в копии сайтов реальных криптопроектов или фейковые страницы, обещающие эирдропы токенов или NFT. Если новое решение Ethereum получит распространение, жертве при подписи транзакции должно будет выводиться понятное предупреждение о том, что ему предлагается согласиться на перевод всех имеющихся у него токенов на чужой кошелек.