ZenGo, poskytovateľ kryptografického zabezpečenia a peňaženky, predstavil riešenie na riešenie rastúceho problému zneužívania podpisov offline. Takéto zneužitia viedli k tomu, že útočníci klamali používateľov, aby podpísali ťažko čitateľné správy peňaženky, aby ukradli krypto aktíva a NFT.
Počas niekoľkých posledných rokov sa niekoľko používateľov kryptomien stalo obeťou týchto škodlivých podpisov, najmä na trhoch NFT, ako je OpenSea, kde sa offline podpisy vo veľkej miere používajú na obchodovanie s NFT bez platenia poplatkov vopred.
V januári bol podnikateľom NFT Kevin Rose Nabúral za NFT v celkovej výške 1.5 milióna dolárov, po tom, čo bol oklamaný, aby podpísal škodlivý offline podpis v tom, čo sa javilo ako skutočná funkcia na OpenSea.
Ak chcete vyriešiť tento rozšírený bezpečnostný problém, ZenGo vydala svoje navrhované riešenie ako oficiálny návrh na zlepšenie Etherea, známy ako EIP-6384. Cieľom návrhu je zabezpečiť, aby offline podpisy boli pre používateľov bezpečné a ľahko čitateľné. Vychádzajúc z existujúceho štandardu offline podpisov EIP-712, ZenGo pridalo do inteligentných zmlúv funkciu len na zobrazenie, ktorá prekladá správu do podoby čitateľnej pre ľudí.
Implementáciou EIP-6384 by všetky inteligentné zmluvy Ethereum prevzali zodpovednosť za poskytnutie jasného vysvetlenia správy, pričom by sa zachovali bezpoplatkové transakcie decentralizovaných aplikácií. Táto zmena by umožnila používateľom peňaženky získať jasný a zrozumiteľný popis správy, ktorú majú podpísať, čo im umožní urobiť informované rozhodnutie pri podpisovaní transakcií.
Aj keď sú už k dispozícii určité služby tretích strán, ktoré používateľom pomáhajú pochopiť, čo podpisujú, nemusia byť vždy spoľahlivé. Ak peňaženky a decentralizované aplikácie prijmú tento návrh, používatelia sa už nebudú musieť spoliehať na takéto nástroje tretích strán pri čítaní informácií o offline podpisoch, poznamenal ZenGo.
„EIP sa pri zobrazovaní potrebných informácií spolieha výlučne na existujúcich účastníkov systému, ako sú peňaženky a smart kontrakty. To eliminuje potrebu ďalších účastníkov, ako sú služby tretích strán alebo rozšírenia prehliadača, ktoré môžu priniesť ďalšie vrstvy potenciálnych zraniteľností a problémov s dôverou,“ povedal Tal Be'ery, technologický riaditeľ spoločnosti ZenGo.
Navrhované riešenie môže znamenať krok k vytvoreniu bezpečnejších aplikácií a odbremeneniu používateľov a projektov od strachu zo straty majetku hackermi pri používaní offline podpisov, dodal tím ZenGo.
© 2023 The Block Crypto, Inc. Všetky práva vyhradené. Tento článok sa poskytuje iba na informačné účely. Neponúka sa ani sa nemá používať ako právne, daňové, investičné, finančné alebo iné poradenstvo.
Zdroj: https://www.theblock.co/post/208030/zengo-proposes-solution-to-tackle-offline-signature-exploits-with-eip-6384?utm_source=rss&utm_medium=rss