Ethereum Foundation во вторник запустила стандарт безопасности Clear Signing, призванный положить конец "слепой подписи" транзакций. Новая функция перед подтверждением будет показывать пользователям понятное описание операции вместо нечитаемого шестнадцатеричного кода. К стандарту уже присоединились ведущие производители аппаратных и программных кошельков.
Природа уязвимости
Слепая подпись существует столько же, сколько существует Ethereum. При подтверждении транзакции кошелек отображает технические данные в формате байт-кода, который большинство людей не читает и не понимает. Пользователь подписывает операцию, не зная точно, что она делает с его активами.
"Подтверждение транзакции должно быть последним рубежом защиты, когда вы контролируете, что происходит с вашими активами в блокчейне. Когда оно выполняется вслепую, эта защита не работает."
Ethereum Foundation, блог-пост о запуске стандарта Clear Signing, 13 мая 2026
Атаки на слепую подпись имеют схожий паттерн. Фишинговый сайт просит жертву подтвердить якобы стандартную транзакцию, которая на деле передает злоумышленникам полный доступ к активам. Поскольку кошелек показывает только непонятный байт-код, большинство людей просто нажимают "Подтвердить" и теряют всё.
CTO Trezor Томаш Сушанка заявил, что злоумышленники "неустанно" используют эту брешь из-за отсутствия доступного средства защиты, способного отличить вредоносный смарт-контракт от легитимного. Это приводит к тому, что пользователи "незаметно для себя подписывают их и теряют всё".
Механика стандарта
Clear Signing реализует принцип "What You See Is What You Sign" (WYSIWYS). Перед подтверждением транзакции кошелек будет отображать её в понятном человеку виде: названия функций смарт-контракта, суммы, адреса и другие параметры вместо шестнадцатеричного кода.
Стандарт опирается на два существующих ERC. ERC-7730 определяет формат описания транзакций в читаемом виде, ERC-8176 строит систему аттестации и проверки целостности этих описаний. Помимо этого, стандарт предусматривает децентрализованный офлайн-реестр для распространения дескрипторов и SDK для разработчиков.
Реестр дескрипторов будет открытым. Разработчики протоколов смогут публиковать описания своих смарт-контрактов, а кошельки будут подтягивать их для отображения. Система аттестации через ERC-8176 позволяет аудиторам проверять точность этих описаний независимо от создателей контракта.
Участники и сроки
Среди первых участников стандарта: Ledger, Trezor, MetaMask, WalletConnect, Keycard, Argot, Sourcify, Zama, ZKnox и Fireblocks. Именно Ledger ранее разработал ERC-7730 как базовый стандарт описаний транзакций и является ключевым техническим автором решения.
Trezor планирует внедрить Clear Signing до 30 июня 2026 года. Сушанка назвал стандарт "критически важным прорывом в сфере безопасности для всей индустрии" и добавил, что задача стандарта состоит в том, чтобы сделать транзакции читаемыми до подтверждения.
Инициатива Trillion Dollar Security Initiative была запущена Ethereum Foundation в мае 2025 года с целью сделать сеть безопасной в сценарии, где миллиарды людей хранят на ней личные средства. Clear Signing является одним из практических шагов в этом направлении.
Убытки и давление на изменения
Наиболее резонансным примером слепой подписи является взлом Bybit в 2025 году с убытками около $1,4-1,5 млрд. Злоумышленники взломали стороннего поставщика сервисов и манипулировали подписями транзакций, а персонал Bybit подтвердил операции, не подозревая о подмене. Это оказалось крупнейшим крипто-ограблением в истории.
Проблема значительно шире одного инцидента. Кибергруппы, связанные с Северной Кореей, похитили более $7 млрд в активах с 2009 года, и значительная часть этих средств приходится на крипту. Clear Signing не остановит всех атак, но убирает один из самых простых векторов, которым злоумышленники систематически пользовались.
Внедрение стандарта не будет мгновенным. Каждый кошелек интегрирует его в своем темпе, разработчики протоколов должны публиковать дескрипторы, и до тех пор обычные пользователи остаются уязвимыми. Тем не менее направление определено, и к стандарту уже присоединились ключевые игроки рынка самокастодии.
Комментарии
Ваш e-mail адрес не будет опубликован. Обязательные поля отмечены *