Eine Ethereum-Arbeitsgruppe bestehend aus Wallet-Entwicklern, Sicherheitsfirmen und der Trillion Dollar Security Initiative der Ethereum Foundation hat heute einen offenen Standard vorgestellt, der Blind Signing beenden soll – ein struktureller Fehler, der zu Benutzerverlusten in Milliardenhöhe geführt hat, einschließlich des Bybit-Hacks. Die Trillion Dollar Security Initiative der Ethereum Foundation übernimmt eine aktive Rolle als glaubwürdig neutraler Verwalter des Clear Signing-Registers.
Bei großen Exploits in Krypto- und Blockchain-Anwendungen ist der letzte Schritt oft kein Fehler im Code, sondern die Genehmigung einer Transaktion durch den Benutzer. Auch wenn der Verstoß durch Phishing oder eine Kompromittierung der Infrastruktur ausgelöst wird, ist der letzte Schritt in der Regel eine Bestätigung, die der Benutzer nicht sinnvoll verstehen kann. Die Genehmigung einer Transaktion soll die letzte Verteidigungslinie sein, wenn es darum geht, die Kontrolle darüber auszuüben, was mit Ihren Vermögenswerten in der Blockchain geschieht. Wenn es blind geschieht, ist diese Verteidigung nicht haltbar.
Damit Benutzer und Institutionen sich beim Speichern und Interagieren mit Vermögenswerten in Billionenhöhe auf Ethereum wohl fühlen, muss „What You See Is What You Sign“ (WYSIWYS) unser Ziel sein und Clear Signing muss die Standardeinstellung sein.
Heutzutage bedeutet die Genehmigung einer Transaktion oft, dass man versucht, anhand von Informationen zu verstehen, was man tun wird, die nicht für die Öffentlichkeit bestimmt sind. In Situationen mit höherem Risiko verlassen sich Benutzer möglicherweise auf ein separates Gerät, um die Details noch einmal zu überprüfen, insbesondere wenn die von ihnen verwendete App kompromittiert sein könnte. In der Praxis werden diese Informationen oft in einfachen, maschinenlesbaren Formaten angezeigt, die genau sind, aber ohne technisches Fachwissen schwer zu interpretieren sind.
Was benötigt wird, ist eine Möglichkeit für bestehende und neue Anwendungen auf Ethereum, klare, für Menschen lesbare und strukturierte Beschreibungen dessen bereitzustellen, was eine Transaktion bewirken wird, damit Wallets diese Informationen den Benutzern konsistent und zuverlässig präsentieren können. Um dies zu erreichen, sind ein gemeinsames Format für diese Beschreibungen (ERC-7730), ein Register zum Speichern und Verteilen, eine Möglichkeit zur Überprüfung ihrer Richtigkeit und Tools erforderlich, die es Wallets und Entwicklern erleichtern, diesen Ansatz zu übernehmen, sowie eine glaubwürdig neutrale Partei zur Unterstützung der Infrastruktur.
Jeder kann Deskriptoren zu diesem System beitragen. Ihre Richtigkeit wird durch unabhängige Bewertungen und Bescheinigungen überprüft, und Wallets entscheiden, welchen Quellen sie vertrauen. Während diese Deskriptoren neben der Transaktion bereitgestellt und nicht direkt in sie eingebettet werden, ermöglicht dieser Ansatz die Unterstützung sowohl bestehender als auch neuer Anwendungen und ermöglicht gleichzeitig die unabhängige Überprüfung ihrer Genauigkeit.
Die One Billion Dollar Security Initiative der Ethereum Foundation hat sich zum Ziel gesetzt, diese Infrastruktur zu hosten und ihre Entwicklung zu unterstützen. Dabei werden von Mitwirkenden im gesamten Ökosystem Tools entwickelt und gepflegt, deren Einführung durch clearsigning.org gefördert wird, um dazu beizutragen, Clear Signing zum Standard auf Ethereum zu machen.
Wir ermutigen Wallet-Entwickler, diesen Ansatz zu übernehmen und Unterstützung für klare, für Menschen lesbare Transaktionsbestätigungen zu integrieren. Entwickler, die Anwendungen erstellen, werden aufgefordert, genaue Beschreibungen ihrer Transaktionen bereitzustellen, und Sicherheitsexperten werden aufgefordert, deren Richtigkeit zu überprüfen und zu bestätigen. Informationen zu den verfügbaren Tools, einschließlich der von 1TS finanzierten Rust- und TypeScript-Bibliotheken, finden Sie auf clearsigning.org.
Durch die Umstellung auf Clear Signing stärken wir die letzte Verteidigungslinie und machen das Ethereum-Ökosystem sicherer, zugänglicher und besser auf die nächste Welle von Benutzern und die institutionelle Einführung vorbereitet.
Wir möchten Ledger für die Initiierung von ERC-7730 und die frühen Bemühungen in den Bereichen Werkzeug, Infrastruktur und Bildung würdigen. Hierbei handelt es sich bewusst um eine Mehrparteieninitiative mit Beiträgen aus den Bereichen Forschung, Bibliotheksentwicklung, Audits und Koordination, an der Teams wie ZKnox, Sourcify, Cyfrin, Zama, WalletConnect, Fireblocks, Trezor, Keycard, MetaMask, Argot und unabhängige Mitwirkende im gesamten Ökosystem beteiligt sind.
