以太坊基金會的清晰簽署標準旨在終止以太坊上的盲簽風險
在加密貨幣安全領域,最薄弱的環節往往不是密碼學,而是「批准」本身。多年來,許多以太坊用戶都曾被要求確認交易,而這些交易的顯示方式僅為無法讀取的 calldata、通用警告或模糊不清的訊息提示。這種模式廣為人知,稱為「盲簽」:在簽署畫面中授權你無法有意義地驗證的事項。
為了解決這個系統性的用戶體驗安全漏洞,以太坊生態系已團結起來推動「清晰簽署」——一種旨在將「你所見即你所簽」(What You See Is What You Sign,WYSIWYS)設為預設的開放方法。此倡議由以太坊基金會的「萬億美元安全」(Trillion Dollar Security,1TS)計畫領導,該計畫明確指出盲簽和交易不確定性是阻止以太坊下一階段成長的關鍵障礙。你可以在以太坊基金會的倡議公告部落格文章以及官方「萬億美元安全」中心關於更廣泛安全工作的部分,閱讀更多關於 1TS 的資訊:萬億美元安全倡議公告 和 安全挑戰概覽。
為何「盲簽」在 2025-2026 年成為頂級風險?
如今,以太坊交易不再僅僅是「發送 ETH」。請款簽署要求現今已例行包含:
- 具有複雜參數(包括無限額度)的 DeFi 批准
- 多重簽署操作和基於合約的帳戶操作
- 跨鏈和 L2 流程,其中簽署時的結果可能不明朗
- EIP-712 類型化資料訊息,可編碼強大的權限
攻擊者也隨之適應。許多高影響力的事件都有一個熟悉的模式:使用者(或操作員)批准了在 Web UI 中看似無害的內容,但實際簽署的負載卻授權了其他事項。
一個廣泛討論的例子是 Bybit 事件,對該事件的分析突顯了簽署者在簽署體驗無法可靠傳達實際授權內容時可能被誤導。有關 UI 和簽署不匹配如何導致災難性後果的技術性深入解析,請參閱 NCC Group 的技術分析。
關鍵的教訓很明確:一個無法閱讀的錢包提示無法被人類審核,這使得社交工程的成本顯著低於破解密碼學。
清晰簽署:為人類驗證而建的顯示層
「清晰簽署」並不會改變以太坊的交易語義。相反,它增加了一個標準化、可驗證的「詮釋層」,以便錢包可以呈現:
- 結構化的操作標籤(例如,「交換」、「質押」、「撤銷額度」)
- 具有正確小數和代幣元資料的可讀金額
- 清晰的交易對手/接收者資訊
- 有助於使用者識別協議和意圖的上下文
「清晰簽署」計畫已在 清晰簽署:看你所簽 公開記錄,並在 從原始 calldata 到可讀意圖 提供對問題和方法的實用概述。
核心構建塊:ERC-7730 描述符
標準化推動的核心是 ERC-7730,這是一種結構化格式,允許協議(和其他貢獻者)定義特定合約互動或訊息類型應如何顯示給簽署者。
簡而言之,「ERC-7730 將原始字節轉化為一致的交易「解釋模板」」。錢包隨後可以在簽署時應用該模板,以呈現使用者可以實際理解的確認畫面。
你可以在此處查閱規格:ERC-7730:結構化資料清晰簽署格式。值得注意的是,ERC-7730 的設計旨在與現代以太坊模式配合使用,包括類型化資料簽署流程(參閱 EIP-712)以及 ERC-7730 規格中引用的帳戶抽象用戶操作(參閱 EIP-4337)。
開放提交,獨立審核,錢包本地信任
一個全局的描述符系統引出了一個顯而易見的問題:「萬一有人提交誤導性元資料呢?」
「清晰簽署」通過將「發佈」與「信任」分開來解決這個問題:
- 描述符可以公開編寫和提交(因此涵蓋範圍可以擴展到一個小型白名單之外)。
- 獨立審核信號可通過證明層疊添加。
- 錢包保持主權:每個錢包選擇信任哪些來源和審核信號,以及在元資料丟失或不受信任時如何行動。
這種設計在該專案的治理模式中得到強調:清晰簽署治理原則。
在實施方面,生態系也在標準化如何將完整性/驗證元資料附加到描述符上,以便錢包在不集中控制的情況下做出更好的信任決策。一個例子是關於 ERC-7730 描述符的完整性驗證討論:ERC-8176 完整性驗證討論。
為何「元資料獨立於交易」很重要
一個微妙但重要的架構選擇是,「清晰簽署」元資料(描述符、證明、註冊表條目)是「獨立於交易本身」的。
這種分離帶來兩大好處:
- 向後兼容性:現有的合約和 dApp 無需重新部署即可獲得清晰簽署支援。
- 未來彈性:隨著以太坊用戶體驗的演進(帳戶抽象、批量調用、新簽名類型),顯示層可以演進而不會破壞交易的有效性。
這種「添加一個可驗證的顯示層」的框架是「清晰簽署」概述中所述方法的中心:「清晰簽署架構概述」。
這對普通使用者有何改變
「清晰簽署」並非萬靈丹,但它通過減少批准發生時的模糊性,有意義地提高了許多常見攻擊的成本。
隨著採用的增長,使用者應該期望一個更健康的預設工作流程:
- 如果一筆交易有良好的描述和獨立審核,錢包可以顯示一個「清晰、結構化的意圖畫面」。
- 如果元資料丟失或不受信任,錢包可以顯示「明確的警告」和更安全的後備選項(而不是悄悄地訓練使用者點擊無法閱讀的提示)。
與此同時,使用者端的最佳實踐仍然很重要:
- 將任何無法閱讀的簽署請求視為「高風險」,特別是批准和簽名請求。
- 偏好簽署設備顯示有意義詳細信息(金額、接收者、操作)的工作流程。
- 定期審查和撤銷不必要的代幣額度。
建構者(dApp、協議和錢包團隊)下一步該做什麼
如果你在以太坊上進行建構,「清晰簽署」正逐漸成為安全基礎的一部分,就像經過驗證的合約、審核和安全的額度設計隨著時間的推移成為預期一樣。
實際步驟:
- 協議 / dApp:為核心合約和高流量流程發佈 ERC-7730 描述符,並在合約演進時(尤其是代理升級)保持更新。
- 安全團隊:將描述符視為安全工件——它們可以防止損失,但錯誤的描述符也可能誤導使用者。
- 錢包團隊:實施 ERC-7730 的調用,以及針對註冊表和證明的清晰信任策略。
「清晰簽署」網站在此提供了具體的提交和實施路徑:「實施 ERC-7730(建構指南)」。
OneKey 在「看你所簽」的未來中扮演的角色
「清晰簽署」與硬體錢包的預期功能一致:提供一個受信任的簽署環境,讓使用者在授權不可逆操作之前能驗證意圖。
隨著 ERC-7730 等開放標準的成熟,「清晰簽署」將推動生態系內更一致、更安全的簽署用戶體驗,減少使用者為了「讓交易通過」而被推向盲簽的情況。
如果你的威脅模型包含網絡釣魚、前端漏洞或高價值 DeFi 活動,使用像 OneKey 這樣的硬體錢包——並優先使用提供人類可讀、結構化確認的流程——是實現更安全鏈上操作的實際步驟。
