Ethereum 基金会和主流钱包推出“明文签名”标准，终结盲目交易审批

过去几年的实践表明，目前加密钱包最大的安全漏洞在于盲签名。盲签名是指在不了解原始十六进制字符串实际含义的情况下对其进行授权。然而， Ethereum 基金会于周二正式宣布，将逐步淘汰盲签名标准，并由一些主流钱包和运行 Ethereum 硬件基础设施（例如 Ledger、Trezor、MetaMask、WalletConnect、Fireblocks 和 Cyfrin）采用明文签名。这意味着用户将能够看到签名授权内容的清晰易懂的摘要。. 

造成这种情况的原因很简单，归根结底是过去两年发生的一系列备受瞩目的黑客攻击事件。迄今为止加密货币领域最大的黑客攻击事件——损失高达15亿美元的Bybit黑客事件，部分原因是签名者批准了一笔他们实际上无法读取的交易。同样，2024年7月发生的WazirX黑客事件，导致这家印度加密货币交易所的多重签名钱包被盗约2.35亿美元，其作案手法也大同小异。 Ethereum 基金会指出，盲签名机制多年来一直是该生态系统的一个结构性缺陷，并已导致黑客攻击、网络钓鱼诈骗和授权漏洞等造成的累计损失达数十亿美元。.

清晰签名究竟能做什么

目前授权和签名存在一个特定缺陷。与智能trac交互的用户能够查看准确的数据，但这通常是一串底层数据，对于没有开发人员或技术背景的人来说几乎无法阅读。. 

清晰签名从根本上颠覆了这一模式。支持新标准的钱包会在用户签署任何内容之前，调出一个描述符文件，将trac的功能转换为可读文本，并向用户提供合约摘要。. 

该技术基础源于两项现有的改进提案。ERC-7730 是 Ledger 早在 2024 年首次提出的，它 defi了一种用于以人类可读的 JSON 格式描述交易的开放格式。ERC-8176 在此基础上增加了一个认证层，允许dent 的审计人员以加密方式验证描述符与合约实际执行的trac相符。这些描述符本身存储在 clearsigning.org 的链下中立注册表中，这意味着现有trac无需重新部署即可采用该标准。.

一个与用户实际生活息息相关的联盟

这并非单一钱包的推广。贡献者名单几乎囊括了所有如今与 Ethereum 用户息息相关的基础设施：硬件方面有 Ledger 和 Trezor，软件方面有 MetaMask 和 WalletConnect，机构托管方面有 Fireblocks，审计方面有 Cyfrin，支持工具方面有 Sourcify 和 Argot。Ledger 最初于 2021 年将明文签名作为一项内部安全功能开发，并于 2024 年将其正式确立为 ERC-7730 标准。今年早些时候，Ledger 将该标准的治理权移交给了基金会，旨在确保该标准的可信度中立性，使其不与任何一家公司挂钩。.

为什么时机与机构资金的动向相吻合

此次推出的时机并非巧合。基金会的万亿美元安全计划（Trillion Dollar Security Initiative）目前正在管理明文签名注册表（Clear Signing registry），该计划的设立初衷就是为了让 Ethereum 能够应对如今直接存储在链上的机构级价值。Fireblocks 的加入尤其重要，因为它是大多数传统金融公司在涉足加密货币领域时实际使用的托管服务提供商。. 

对于进行小额交易的零售用户而言，盲签的风险始终在可接受范围内。然而，对于进行大额交易的资产管理公司来说，盲签基本上行不通，因为如果运营团队根本无法查看交易内容，就无法为其签署合规文件。.

如果你正在阅读这篇文章，你已经领先一步了。 订阅我们的新闻简报，继续保持领先优势。