A ZenGo, a kriptográfiai biztonsági és pénztárca-szolgáltató megoldást mutatott be az offline aláírás-kihasználások növekvő problémájának kezelésére. Az ilyen visszaélések oda vezettek, hogy a támadók megtévesztik a felhasználókat, hogy nehezen olvasható pénztárcaüzeneteket írjanak alá kriptoeszközök és NFT-k ellopása érdekében.
Az elmúlt néhány évben számos kriptográfiai felhasználó esett áldozatul ezeknek a rosszindulatú aláírásoknak, különösen az NFT-piacokon, például az OpenSea-n, ahol az offline aláírásokat széles körben használják az NFT-k kereskedelmére előzetes díjfizetés nélkül.
Januárban Kevin Rose NFT-vállalkozó volt csapkodott NFT-k esetében összesen 1.5 millió dollár értékben, miután rávetették, hogy aláírjon egy rosszindulatú offline aláírást az OpenSea eredeti funkciójának tűnőben.
Ennek az elterjedt biztonsági problémának a megoldása érdekében Zengő hivatalos Ethereum fejlesztési javaslatként tette közzé javasolt megoldását, az úgynevezett EIP-6384. A javaslat arra törekszik, hogy az offline aláírásokat biztonságossá és könnyen olvashatóvá tegye a felhasználók számára. A meglévő EIP-712 offline aláírási szabványra építve a ZenGo csak megtekintési funkciót adott az intelligens szerződésekhez, amely az üzenetet ember által olvasható formába fordítja.
Az EIP-6384 bevezetésével az összes Ethereum intelligens szerződés felelősséget vállalna az üzenet egyértelmű magyarázatáért, megőrizve a decentralizált alkalmazások díjmentes tranzakciós élményét. Ez a változás lehetővé tenné, hogy a pénztárca felhasználói világos és érthető leírást kapjanak az aláírásukra kért üzenetről, így megalapozott döntést hozhatnak a tranzakciók aláírása során.
Bár már elérhetőek bizonyos harmadik féltől származó szolgáltatások, amelyek segítenek a felhasználóknak megérteni, hogy mit írnak alá, ezek nem mindig megbízhatóak. Ha a pénztárcák és a decentralizált alkalmazások elfogadják ezt a javaslatot, a felhasználóknak többé nem kell harmadik féltől származó eszközökre támaszkodniuk az offline aláírásokkal kapcsolatos információk olvasásához, jegyezte meg a ZenGo.
„Az EIP kizárólag a meglévő rendszerrésztvevőkre, például pénztárcákra és intelligens szerződésekre támaszkodik a szükséges információk megjelenítésében. Így nincs szükség további résztvevőkre, például harmadik féltől származó szolgáltatásokra vagy böngészőbővítményekre, amelyek további potenciális sebezhetőségi rétegeket és bizalmi problémákat okozhatnak” – mondta Tal Be'ery, a ZenGo technológiai igazgatója.
A ZenGo csapata hozzátette, hogy a javasolt megoldás egy lépést jelenthet a biztonságosabb alkalmazások létrehozása felé, és enyhítheti a felhasználókat és a projekteket attól a félelemtől, hogy a hackerek elveszítik vagyonukat, miközben offline aláírásokat használnak.
© 2023 The Block Crypto, Inc. Minden jog fenntartva. Ez a cikk csak tájékoztató jellegű. Nem kínálják, vagy nem szándékoznak felhasználni jogi, adóügyi, befektetési, pénzügyi vagy egyéb tanácsadásként.
Forrás: https://www.theblock.co/post/208030/zengo-proposes-solution-to-tackle-offline-signature-exploits-with-eip-6384?utm_source=rss&utm_medium=rss