以太坊基金会推出清晰签名标准,旨在终结以太坊上的盲签风险
在加密安全领域,最薄弱的环节往往并非密码学本身,而是「批准」。多年来,许多以太坊用户被要求确认交易,这些交易显示为无法解读的 calldata、通用警告或不透明的消息提示。这种模式被称为「盲签」:即授权你无法在签名屏幕上进行有意义验证的操作。
为解决这一系统性的用户体验安全漏洞,以太坊生态系统已团结在「清晰签名」周围——这是一种开放式方法,旨在将「所见即所签 (WYSIWYS)」推向默认。这项举措由以太坊基金会的「万亿美元安全 (1TS)」项目牵头,该项目明确将盲签和交易不确定性列为以太坊下一阶段增长的关键采用障碍。你可以在以太坊基金会的倡议公告博客以及更广泛的安全工作流的官方「万亿美元安全」中心阅读更多关于 1TS 的信息:万亿美元安全倡议公告 和 安全挑战概述。
为何“盲签”成为 2025-2026 年的顶级风险
如今的以太坊交易不再仅仅是“发送 ETH”。今天的签名请求通常包含:
- 具有复杂参数的 DeFi 批准(包括无限额度)
- 多签操作和基于合约的账户行为
- 跨链和 L2 流程,其结果在签名时可能不明显
- EIP-712 类型数据消息,可编码强大的权限
攻击者也随之适应。许多有影响力的安全事件都有一个熟悉的模式:用户(或操作员)批准了一个在 Web UI 中看起来无害的操作,但实际签名的载荷却授权了其他内容。
一个广受讨论的例子是 Bybit 事件,分析显示当签名体验未能可靠地传达实际授权内容时,签名者可能会被误导。有关这些 UI 和签名不匹配如何导致灾难性后果的技术讲解,请参阅 NCC Group 的技术分析。
关键教训非常直接:无法阅读的钱包提示无法被人类审计,这使得社会工程学的成本远低于破解密码学。
清晰签名:为人类验证而构建的显示层
清晰签名不会改变以太坊的交易语义。相反,它增加了一个标准化的、可验证的「解释层」,以便钱包可以渲染:
- 结构化的操作标签(例如,“兑换”、“质押”、“撤销额度”)
- 具有正确小数位和代币元数据的可读金额
- 清晰的交易对手/接收方信息
- 有助于用户识别协议和意图的上下文
清晰签名工作已在 清晰签名:所见即所签 上公开记录,并在 从原始 calldata 到可读意图 上提供了问题和方法的实用概述。
核心构建模块:ERC-7730 描述符
标准化工作的核心是 ERC-7730,这是一种结构化格式,允许协议(和其他贡献者)定义如何向签名者显示特定的合约交互或消息类型。
通俗地说,ERC-7730 将原始字节转换为一致的交易“解释模板”。 钱包随后可以在签名时应用该模板,渲染出一个用户可以真正理解的确认屏幕。
你可以在此处查阅规范:ERC-7730:结构化数据清晰签名格式。值得注意的是,ERC-7730 被设计为与现代以太坊模式兼容,包括类型数据签名流程(请参阅 EIP-712)和账户抽象用户操作(请参阅 EIP-4337),这些都在 ERC-7730 规范中引用。
开放提交,独立审查,钱包本地信任
一个全局的描述符系统会带来一个显而易见的问题:如果有人提交了误导性的元数据怎么办?
清晰签名通过「发布」与「信任」的分离来解决这个问题:
- 描述符可以公开编写和提交(因此覆盖范围可以超出少数白名单)。
- 可以通过证明(attestations)来叠加独立的审查信号。
- 钱包保持主权:每个钱包都选择信任哪些来源和审查信号,以及在元数据缺失或不受信任时如何行事。
这一设计在项目的治理模式中得到了强调:清晰签名治理原则。
在实现方面,生态系统也在标准化如何将完整性/验证元数据附加到描述符上,以便钱包可以在不集中控制的情况下做出更好的信任决策。一个例子是围绕 ERC-7730 描述符的完整性验证讨论:ERC-8176 完整性验证讨论。
为何“元数据与交易分离”很重要
一个微妙但重要的架构选择是,清晰签名元数据(描述符、证明、注册表条目)是「与交易本身分离」的。
这种分离带来了两个主要好处:
- 向后兼容性:现有合约和 dApp 可以在不重新部署的情况下获得清晰签名支持。
- 未来弹性:随着以太坊用户体验的演进(账户抽象、批量调用、新签名类型),显示层可以演进而不破坏交易有效性。
这种「添加一个可验证的显示层」的框架是清晰签名概述中描述的方法的核心:清晰签名架构概述。
这将如何改变普通用户的体验
清晰签名并非万能盾,但它通过在批准发生的精确时刻减少模糊性,显著提高了许多常见攻击的成本。
随着采用的增长,用户应该会看到一个更健康的默认工作流程:
- 如果交易被良好描述并经过独立审查,钱包可以显示一个清晰、结构化的意图屏幕。
- 如果元数据缺失或不受信任,钱包可以显示明确的警告和更安全的备用方案(而不是默默地训练用户点击无法阅读的提示)。
在此期间,用户层面的最佳实践仍然很重要:
- 将任何无法阅读的签名请求视为高风险,尤其是批准和签名请求。
- 优先使用签名设备显示有意义细节(金额、接收方、操作)的工作流程。
- 定期审查和撤销不再需要的代币额度。
构建者(dApps、协议和钱包团队)下一步该做什么
如果你在以太坊上进行开发,清晰签名正成为安全基线的一部分——类似于经过验证的合约、审计和安全额度设计随着时间的推移而被普遍预期。
实际步骤:
- 协议/dApps:为核心合约和高流量流程发布 ERC-7730 描述符,并随着合约的演进(尤其是代理升级)保持更新。
- 安全团队:将描述符视为安全资产——它们可以防止损失,但错误的描述符也可能误导用户。
- 钱包团队:实现 ERC-7730 的消费功能,并制定清晰的注册表和证明信任策略。
清晰签名网站包含了一个具体的提交和实施路径:实施 ERC-7730(构建指南)。
OneKey 如何融入“所见即所签”的未来
清晰签名与硬件钱包的初衷一致:提供一个可信的签名环境,用户可以在此环境中验证意图,然后再授权不可逆的操作。
随着 ERC-7730 等开放标准的成熟,钱包可以趋向于一个更一致、更安全的用户签名体验,从而减少用户为了“让交易顺利进行”而被推向盲签的情况。
如果你的威胁模型包含钓鱼、前端泄露或高价值 DeFi 活动,使用 OneKey 等硬件钱包——并优先选择提供人类可读、结构化确认的流程——是更安全的链上操作的实际步骤。
