ERA Wallet đã khép lại lỗ hổng Blind Signing từng gây thiệt hại hàng tỷ USD cho DeFi

📄Toàn văn bài viết· Được trích xuất tự động bởi trafilaturaGemini 翻譯8526 từ

- Blind signing vẫn là một trong những rủi ro hàng ngày nguy hiểm nhất của DeFi vì người dùng thường phê duyệt các giao dịch hợp đồng thông minh mà họ không thể đọc được. - Vụ hack Bybit cho thấy cách các private key có thể được bảo vệ trong khi một phê duyệt độc hại vẫn rút cạn tài sản. - ERA Wallet giới thiệu ERA Lens™, một công cụ phân tích giao dịch trên thiết bị giúp chuyển đổi calldata thô thành các chi tiết bằng ngôn ngữ đơn giản trước khi ký. Vào ngày 12 tháng 5, Ethereum Foundation và một Ethereum Working Group gồm các nhà phát triển ví và công ty bảo mật đã ra mắt Clear Signing, một tiêu chuẩn mở cho các phê duyệt giao dịch Ethereum có thể đọc được. Thông báo này gọi blind signing là một lỗ hổng cấu trúc liên quan đến hàng tỷ USD tổn thất của người dùng, bao gồm cả vụ hack Bybit. Blind signing thường được coi là vấn đề UX của ví, vấn đề giáo dục người dùng hoặc vấn đề màn hình cảnh báo. Người dùng cần hiểu giao dịch sẽ làm gì trước khi phê duyệt, nếu không màn hình xác nhận cuối cùng sẽ trở thành một biện pháp kiểm soát bảo mật yếu kém. Lấy trường hợp Bybit làm ví dụ, các phân tích bảo mật đã mô tả một quy trình làm việc nơi người ký tin rằng họ đang phê duyệt một lệnh chuyển tiền thông thường, trong khi giao dịch cơ bản lại chuyển hướng quyền kiểm soát ví proxy sang một hợp đồng của kẻ tấn công. Đối với người dùng DeFi, mô hình tương tự xuất hiện mỗi ngày: - Một chiếc ví yêu cầu phê duyệt; - Một thiết bị phần cứng hiển thị mã hash, calldata đã mã hóa hoặc một đoạn thông tin mà chỉ nhà phát triển mới có thể đọc được; - Ứng dụng trông có vẻ quen thuộc, quy trình có vẻ thường lệ và người dùng thực hiện ký. Blind signing bắt đầu khi cold storage bảo vệ key, trong khi người dùng phê duyệt một chỉ dẫn mà họ không thể đọc được. Blind signing là gì? Blind signing là hành động phê duyệt một giao dịch mà không nhìn thấy toàn bộ ý định giao dịch ở dạng con người có thể đọc được. Khi một ví hoặc dApp thiếu hỗ trợ clear signing, người dùng sẽ thấy các mã hash không thể đọc được hoặc dữ liệu đã mã hóa, khiến việc xác minh những gì họ đang ủy quyền trở nên bất khả thi. Đối với các giao dịch chuyển tiền đơn giản, người dùng mong đợi nhìn thấy địa chỉ người nhận và số tiền. Các giao dịch DeFi phức tạp hơn. Một phê duyệt hợp đồng thông minh có thể liên quan đến lệnh gọi hàm, quyền token, giới hạn chi tiêu, địa chỉ đích, lộ trình swap, hành động cho vay, hành động staking hoặc nâng cấp hợp đồng. Sự nguy hiểm xuất hiện khi giao diện hiển thị một đằng nhưng payload lại thực hiện một nẻo. Một front-end, tiện ích mở rộng trình duyệt hoặc điện thoại được kết nối có thể hiển thị bản tóm tắt giao dịch sạch sẽ trong khi thiết bị ký nhận được dữ liệu mà người dùng không thể diễn giải. Sau khi ký, blockchain thực thi chỉ dẫn chính xác như đã được ủy quyền. Cold storage bảo vệ private key khỏi việc bị trích xuất. Khả năng hiển thị giao dịch là một vấn đề bảo mật riêng biệt. Tại sao chỉ riêng ví phần cứng không thể giải quyết mọi phê duyệt DeFi Ví phần cứng trở nên phổ biến vì chúng loại bỏ private key khỏi các thiết bị kết nối internet. Đó là câu trả lời đúng cho một rủi ro lớn: phần mềm độc hại, trang web lừa đảo, tấn công trình duyệt và máy tính xách tay bị xâm nhập cố gắng đánh cắp seed phrase hoặc ký trực tiếp từ hot wallet. DeFi tạo ra một rủi ro khác. Người dùng hiện tương tác với các hợp đồng thông minh mỗi ngày. Họ phê duyệt quyền token, bridge tài sản, swap qua các router, gửi tiền vào vault, stake, cho vay, vay mượn, nhận phần thưởng và kết nối với các giao thức mới. Mỗi hành động có thể chứa calldata phức tạp. Một ví phần cứng có thể giữ key ngoại tuyến nhưng vẫn yêu cầu người dùng phê duyệt một giao dịch không thể đọc được. Môi trường ký thì an toàn, nhưng quá trình ra quyết định vẫn có thể bị mù quáng. Đây là lý do tại sao clear signing trở thành một chủ đề bảo mật quan trọng như vậy. Clear signing biến dữ liệu giao dịch thành các trường có thể đọc được, chẳng hạn như hàm, số tiền, người nhận, token và giao thức. Tuy nhiên, thách thức nằm ở phạm vi bao phủ. Clear signing phụ thuộc vào các ví được hỗ trợ, dApp được hỗ trợ, metadata và việc triển khai trên toàn hệ sinh thái. Các

Trạng thái dữ liệu✓ Đã trích xuất toàn vănĐọc bài gốc (BeInCrypto)

🔍Sự kiện tương tự trong lịch sử· Đối chiếu từ khóa + tài sản6 tin

2026-05-13

Ethereum Foundation ra mắt tiêu chuẩn Clear Signing để chấm dứt việc phê duyệt ví mù quáng

Độ tương đồng 380%標的 ETH關鍵字 signing/wallet/blind

2026-05-13

Cộng đồng Ethereum ra mắt tính năng bảo mật để chấm dứt blind signing

Độ tương đồng 330%標的 ETH關鍵字 signing/blind

2026-05-12

Các nhà phát triển Ethereum đề xuất giải pháp khắc phục rủi ro 'Blind Signing' liên quan đến các khoản lỗ lớn

Độ tương đồng 330%標的 ETH關鍵字 signing/blind

2026-04-18