加密安全和錢包提供商 ZenGo 推出了一種解決方案來解決日益嚴重的離線簽名漏洞利用問題。 此類漏洞利用已導致攻擊者欺騙用戶簽署難以讀取的錢包消息以竊取加密資產和 NFT。
在過去幾年中,一些加密用戶成為這些惡意簽名的受害者,特別是在 OpenSea 等 NFT 市場上,離線簽名被廣泛用於交易 NFT 而無需預先支付費用。
XNUMX 月,NFT 創業者凱文·羅斯 (Kevin Rose) 黑客攻擊 NFT 總計 1.5 萬美元,此前他被誘騙簽署了一個惡意的離線簽名,這似乎是 OpenSea 上的一個真正的功能。
為了解決這個普遍的安全問題, ZenGo 已將其提議的解決方案作為官方以太坊改進提案發布,稱為 EIP-6384. 該提案旨在使離線簽名既安全又易於用戶閱讀。 通過在現有的離線簽名標準 EIP-712 的基礎上,ZenGo 為智能合約添加了一個只能查看的功能,將消息轉換為人類可讀的形式。
通過實施 EIP-6384,所有以太坊智能合約都將承擔提供清晰的消息解釋的責任,從而保持去中心化應用程序的免費交易體驗。 這一變化將使錢包用戶能夠收到對他們被要求籤名的消息的清晰易懂的描述,從而使他們能夠在簽署交易時做出明智的決定。
雖然已經有某些第三方服務可以幫助用戶了解他們簽署的內容,但這些服務可能並不總是可靠的。 ZenGo 指出,如果錢包和去中心化應用程序採用這一提議,用戶將不再需要依賴此類第三方工具來讀取離線簽名信息。
“EIP 完全依賴於現有的系統參與者,例如錢包和智能合約,來顯示必要的信息。 這消除了對第三方服務或瀏覽器擴展等額外參與者的需求,這些參與者可能會引入額外的潛在漏洞和信任問題,”ZenGo 首席技術官 Tal Be'ery 說。
ZenGo 團隊補充說,擬議的解決方案可能標誌著朝著創建更安全的應用程序邁出的一步,並減輕了用戶和項目在使用離線簽名時對資產被黑客丟失的恐懼。
©2023 The Block Crypto,Inc.保留所有權利。 本文僅供參考。 不提供或不打算將其用作法律,稅務,投資,財務或其他建議。
資料來源:https://www.theblock.co/post/208030/zengo-proposes-solution-to-tackle-offline-signature-exploits-with-eip-6384?utm_source=rss&utm_medium=rss