Salaustietoturva- ja lompakkotoimittaja ZenGo on esitellyt ratkaisun offline-allekirjoituksen hyväksikäytön kasvavaan ongelmaan. Tällaiset hyväksikäytöt ovat johtaneet siihen, että hyökkääjät pettävät käyttäjiä allekirjoittamaan vaikealukuisia lompakkoviestejä varastaakseen kryptoresursseja ja NFT:itä.
Muutaman viime vuoden aikana useat kryptokäyttäjät ovat joutuneet näiden haitallisten allekirjoitusten uhreiksi, erityisesti NFT-markkinapaikoilla, kuten OpenSea, jossa offline-allekirjoituksia käytetään laajasti NFT-kaupankäyntiin ilman ennakkomaksuja.
Tammikuussa NFT-yrittäjä Kevin Rose oli hakkeroitu NFT:lle yhteensä 1.5 miljoonaa dollaria sen jälkeen, kun hänet huijattiin allekirjoittamaan haitallinen offline-allekirjoitus OpenSean aidolta ominaisuudella.
Tämän yleisen tietoturvaongelman ratkaisemiseksi Zengo on julkaissut ratkaisuehdotuksensa virallisena Ethereumin parannusehdotuksena, joka tunnetaan nimellä EIP-6384. Ehdotuksella pyritään tekemään offline-allekirjoituksista sekä turvallisia että helposti luettavia käyttäjille. Rakentamalla olemassa olevaa offline-allekirjoitusstandardia EIP-712 ZenGo on lisännyt älykkäisiin sopimuksiin vain katselutoiminnon, joka muuntaa viestin ihmisen luettavaan muotoon.
Ottamalla käyttöön EIP-6384:n kaikki Ethereumin älykkäät sopimukset ottaisivat vastuun selkeän selityksen antamisesta viestille, mikä säilyttää hajautettujen sovellusten maksuttoman tapahtumakokemuksen. Tämän muutoksen ansiosta lompakon käyttäjät voisivat saada selkeän ja ymmärrettävän kuvauksen viestistä, jota heitä pyydetään allekirjoittamaan, jolloin he voivat tehdä tietoisen päätöksen allekirjoittaessaan tapahtumia.
Vaikka tiettyjä kolmannen osapuolen palveluita on jo saatavilla, jotta käyttäjät ymmärtävät, mitä he allekirjoittavat, ne eivät välttämättä aina ole luotettavia. Jos lompakot ja hajautetut sovellukset hyväksyvät tämän ehdotuksen, käyttäjien ei enää tarvitse olla riippuvaisia sellaisista kolmannen osapuolen työkaluista lukeakseen tietoja offline-allekirjoituksista, ZenGo huomautti.
”EIP luottaa vain olemassa oleviin järjestelmän osallistujiin, kuten lompakoihin ja älykkäisiin sopimuksiin, näyttämään tarvittavat tiedot. Tämä eliminoi lisäosanottajat, kuten kolmannen osapuolen palvelut tai selainlaajennukset, jotka voivat tuoda esiin uusia kerroksia mahdollisia haavoittuvuuksia ja luottamusongelmia", sanoi Tal Be'ery, ZenGon teknologiajohtaja.
ZenGo-tiimi lisäsi, että ehdotettu ratkaisu voi olla askel kohti turvallisempien sovellusten luomista ja lievittää käyttäjiä ja projekteja pelosta menettää omaisuutta hakkereille käytettäessä offline-allekirjoituksia.
© 2023 The Block Crypto, Inc. Kaikki oikeudet pidätetään. Tämä artikkeli on tarkoitettu vain tiedoksi. Sitä ei tarjota eikä ole tarkoitettu käytettäväksi juridisena, vero-, sijoitus-, rahoitus- tai muuna neuvona.
Lähde: https://www.theblock.co/post/208030/zengo-proposes-solution-to-tackle-offline-signature-exploits-with-eip-6384?utm_source=rss&utm_medium=rss