Seit der Ankündigung der Billionen Dollar SicherheitsprojektWir haben das Ökosystem befragt, um zu verstehen, welche Verbesserungen für jede Schicht des Ethereum -Stacks und der Gemeinschaft höchste Priorität haben.
Jetzt ist es an der Zeit, die nächste Phase dieser Initiative zu beginnen: Einwirken Sie auf die höchsten Prioritätsprobleme, mit denen wir konfrontiert sind.
Für diese erste Welle von Aktionen werden wir uns hauptsächlich auf UX -Probleme konzentrieren. Unsere Forschung zeigte, dass dies die dringendsten Fragen der individuellen und institutionellen Nutzer von Ethereum- und Ethereum-basierten Anwendungen darstellen.
Während dieser ersten Welle werden wir eine Reihe von Arbeiten starten, die auf wichtige Bereiche in der UX -Sicherheit abzielen. Die Arbeit, die wir heute beginnen, ist eine Kombination aus kurzfristigen Maßnahmen mit hoher Hebelwirkung und langfristigen Projekten, die wir erwarten werden, die jahrelang andauern werden. Wir beabsichtigen, regelmäßig neue Projektwellen auf den Markt zu bringen und im Laufe der Zeit unterschiedliche Prioritätssicherungsdomänen zu bekämpfen. Wenn diese Projekte in den nächsten Wochen und Monaten an Dynamik gewinnen, werden wir unsere Aufmerksamkeit auf die nächste Prioritätenwelle auf andere Domänen wenden.
Wie immer sind wir bestrebt, andere zu unterstützen und mit anderen zusammenzuarbeiten, um die Sicherheit von Ethereum weiter zu verbessern und Ethereum für Milliarden von Nutzern und Billionen Dollar an Kettenkapital sicherer zu machen. Wenden Sie sich an uns an billiondollarsecurity@ethereum.org.
1. Koordination eines „Mindestsicherheitsstandards“ für Ethereum -Brieftaschen und Unterstützung Brieftetbeat
In der Brieftasche UX beginnt die Sicherheit für alle Nutzer von Ethereum. Wenn Benutzer Schlüssel nicht sicher verwalten, Transaktionen unterzeichnen und mit Onkain-Anwendungen interagieren können, können sie Ethereum nicht sicher verwenden.
Wir glauben, dass das Ethereum -Ökosystem einen Mindestsicherheitsstandard für Brieftaschen entwickeln und annehmen sollte, der als vertrauenswürdiger und legitimer Bezugspunkt dienen kann, für den Brieftaschen für normale Nutzer von Ethereum sicher sind. Wir glauben, dass dieser Standard Funktionen erfordern sollte wie:
- Transparente Transaktionen
- Kompromisse-resistente Schnittstellen
- Privatsphäre stützende Architektur
- Standards für Brieftaschenverhalten, z. B. Genehmigungsmanagement, wichtige Handhabung, Frontend -Überprüfung
- + mehr
Wir lassen uns vom Erfolg von L2Beat bei der Erziehung von Benutzern inspirieren und die Sicherheits- und Dezentralisierungseigenschaften von L2S für das Ökosystem transparent machen.
Wir glauben, dass ein Mindestsicherheitsstandard für Brieftaschen dazu beitragen könnte, zwei verschiedene Seiten dieses Problems anzugehen. Erstens, wenn Sie normalen Nutzern einen zuverlässigen Leitfaden zur Auswahl von Brieftaschen geben, die diesen Standard erfüllen, bedeutet dies, dass ein größerer Anteil an Ethereum-Nutzern Zugriff auf die Funktionen hat, die sie benötigen, um ein sicheres On-Chain-Erlebnis zu haben. Um dies effektiv zu tun, muss der Standard ein sehr hoher Balken sein und muss regelmäßig angehoben werden, da vom Ökosystem neue Sicherheitsfunktionen entwickelt werden oder neue Bedrohungen gefunden werden. Zweitens ermutigt der Standard Wallet -Teams, wichtige Funktionen zu priorisieren, um konform zu bleiben.
Um einen solchen Standard zu entwickeln und zu fördern, freuen wir uns, eine Bereitstellung zu erhalten gewähren Zu Brieftetbeatdie auf eine ähnliche Vision hingearbeitet haben. Walletbeat wird sowohl zu diesem Community -Standard als auch zu einer Organisation beitragen, die dazu beitragen kann, die harte Arbeit zu erledigen, Brieftaschen vor dem Standard zu messen und Informationen für Benutzer leicht zugänglich zu machen.
Weitere Informationen zu Arbeiten zu diesem Standard und zum Beitrag leisten.
2. Die „Tech -Baum“ entfernen, um die blinde Unterschrift zu lösen
Eines der wichtigsten Probleme, mit denen UX -Sicherheit konfrontiert ist, ist die blinde Unterzeichnung. Von Benutzern wird häufig erwartet, dass sie Transaktionen unterzeichnen, ohne zu verstehen, was diese Transaktionen tun werden.
Durch Diskussionen mit Ökosystemberatern und unseren Stewards haben wir einige Möglichkeiten identifiziert, wie wir den „Tech -Baum“ entsperren können, mit dem mehr Brieftaschen Funktionen bereitgestellt werden können, um dieses Problem anzugehen.
Transaktionsdecodierung entfernen
Eine Lösung für das Blind Signing-Problem besteht darin, dass Brieftaschen die RAW-Transaktionsdaten dekodieren und sie in eine menschlich lesbare Beschreibung dessen übersetzen, was die Transaktion ausführt. Anstatt eine lange Codezeichenfolge zu sehen, kann ein Benutzer Informationen wie „Übertragen von 1.000 Token ABC an den Empfänger 0x123“ sehen.
Eine Herausforderung für Wallet -Teams besteht darin, dass diese Art von Funktion einen umfassenden Datensatz von Funktionssignaturen erfordert, der Zugriff auf Datenbanken mit verifizierten Verträgen erfordert, von denen viele geschlossen sind und teure Lizenzen für die Verwendung erfordern.
In den letzten Jahren die Verifier Allianz (Vera) hat stillschweigend daran gearbeitet, dies anzugehen, und hat heute eine Datenbank von mehr als acht Millionen Verträgen erstellt. Durch unsere Forschungen wurde klar, dass viele Teams die Ressourcen, die Vera angeboten haben, nicht bewusst waren, und in den nächsten Wochen und Monaten werden wir ihre Arbeit fördern, um sicherzustellen, dass die Brieftaschenteams diese Open -Source -Ressourcen kennen und andere Möglichkeiten untersuchen, um die Auswirkungen ihrer Arbeit zu maximieren.
Zweitens beginnen wir einige F & E -Projekte, von denen wir glauben, dass sie neue Methoden für die Transaktionstransparenz in Brieftaschen freischalten könnten.
- Standards, die Anwendungen ermutigen würden, ihren Verträgen Code hinzuzufügen, was es den Brieftaschen erleichtert, Transaktionen zu interpretieren.
- Überdenken Sie frühere Vorschläge, um dieses Problem anzugehen, die vom Ökosystem zu dieser Zeit nicht priorisiert wurden, wie ERC 4430, EIP 7730, EIP 719, und untersuchen, wie die Arbeit der Arbeit fortgesetzt werden kann Gruppe lesbarer Transaktionen Gruppe.
Brieftaschen können sogar noch einen Schritt weiter gehen und tatsächlich die Ergebnisse einer Transaktion in einer EVM -Umgebung gegen den aktuellen Zustand von Ethereum simulieren. Diese Simulation würde dann eine Nachricht wie „Dieses X führt dazu zurück, dass Sie 1 ETH von x nach y senden und 1 NFT aus der Sammlung Y erhalten.“.
Wenn Brieftaschen das Vertrauen in Verträge zuverlässig kategorisieren könnten, mit denen Benutzer interagieren, würde dies noch weiter zur Lösung dieses Problems bestehen.
Einige Brieftaschen bieten diese Funktionen heute an, aber wir möchten es mehr Brieftaschen und für alle Transaktionssimulationsfunktionen zuverlässig und hoher Qualität erleichtern.
Wir haben auch mehrere F & E-Projekte begonnen, um zu untersuchen, ob Verbesserungen in den Proprotokollverbesserungen wie Opt-in-Transaktionsbehauptungen und zusätzliche Sicherheitsfunktionen die Sicherheit der Benutzer weiter erhöhen würden.
3.. Ermöglichen Sie es den Entwicklern, es zu vermeiden, anfälligen Code bereitzustellen
Eine Open-Source-Datenbank mit Schwachstellen in Smart Contract, die als Referenz durch IDES und andere Entwickler-Tools verwendet werden kann, könnte dazu beitragen, gefährdete Verträge zu reduzieren. Diese Tools könnten vorab eingebrachte Verträge gegen die Open-Source-Datenbank scannen, bevor der Code Onchain bereitgestellt wird, sodass Entwickler Schwachstellen in ihrer Anwendung leichter erkennen können, bevor sie ihn bereitstellen.
Wir sind zwar kein UX -Projekt, aber wir glauben, dass dies ein hohes Hebelwirkung ist, in dem sich der EF in einer einzigartigen Position befindet, um eine weit verbreitete Datenbank zu koordinieren, und wir laden jeden ein, der helfen möchte, wie beispielsweise Audit -Wettbewerbsplattformen, Auditoren, weiße Hüte oder andere, um ihre Erkenntnisse beizutragen.
Sobald wir eine großflächige Open-Source-Datenbank haben, besteht der nächste Schritt darin, dass Tool-Entwickler Funktionen erstellen können, die dies nutzen.
Hier ist, was das Ökosystem helfen kann:
Ultra-einfacher Nicht-Tech-Brieftasche
Ein sehr häufiges Feedback in unserer Umfragephase war, dass die vorhandenen Brieftaschen auf die technische Menge abzielen. Es scheint eine hohe Nachfrage nach Brieftaschen für nicht-technische Benutzer auf der ganzen Welt zu geben, die Funktionen bieten, die praktisch eine sichere Umgebung gewährleisten, indem sie Wachgelände bauen, die es den Benutzern ermöglichen, über das On-Chain-Erlebnis zu verfügen. Die Befragten erwähnten Dinge wie einfache Transaktionen zu Freunden und Unternehmen (keine öffentlichen Schlüssel eingeben müssen), einfache Zahlungen für Waren und Dienstleistungen, eingebauter grundlegender Austausch und die Möglichkeit, Ihre Brieftasche wiederherzustellen. Wenn Sie Ideen zur Lösung dieser Probleme haben, erreichen Sie bitte.
Unternehmensfokussierte Brieftaschen
Unternehmen haben die Bedeutung der Privatsphäre, den Widerstand der Zensur (einschließlich externer Dienste von der Brieftasche zur Interaktion mit dem Netzwerk) und Compliance -Anforderungen für das Schlüsselmanagement erwähnt. Wenn Sie Ideen dazu haben, wie Sie dies ansprechen können, erreichen Sie bitte.
