以太坊的新ERC-7730清晰签名标准
以太坊基金会的清晰签名工作组最近发布了一项新的开放标准——ERC-7730,旨在通过用人类可读的审计交易摘要替代钱包提示中的十六进制乱码,从而减少钓鱼和盲签带来的损失。具体内容可见以太坊基金会的官方博客。
清晰签名的目标
基于ERC-7730规范,清晰签名标准化了交易意图的描述、展示和验证方式,旨在为用户提供一个简单明了的摘要,让他们在点击批准之前了解链上将发生的实际情况。清晰签名所解决的问题是加密领域最古老且最常被利用的用户体验失败之一。
当用户与智能合约交互时——无论是批准代币支出、列出NFT,还是授权DeFi头寸——目前大多数钱包显示的是原始的调用数据或部分ABI解码,对于非开发者来说几乎无法理解。这种屏幕显示内容与交易实际执行内容之间的差距,是导致大量钓鱼攻击的核心机制。恶意的去中心化应用(dApp)在表面上呈现出无害的界面,而底层交易却在悄然耗尽用户的钱包。
清晰签名的组成部分
Ledger与以太坊基金会工作组共同开发了ERC-7730,并将该标准描述为对这一攻击面直接的回应,指出“盲签”是硬件钱包事件中用户损失的主要原因之一。清晰签名的架构包含三个组成部分:
- 统一的基于JSON的描述格式:dApp开发者可以利用该格式为其合约注释每个函数调用和参数的可读解释。
- 公共注册表:用于存储、版本控制和链接到已部署合约地址的描述,以便钱包在签名时提取相关元数据。
- 独立的验证和审计层:第三方可以在此审查并证明合约描述的准确性,从而在dApp开发者的意图与钱包最终显示内容之间建立信任链。
该标准明确设计为非破坏性的。清晰签名不会改变交易的结构、广播或链上结算方式,这意味着现有的智能合约、第二层网络和DeFi协议无需更改即可受益。
用户体验的改善
改进完全体现在钱包的展示层:兼容清晰签名的钱包将显示诸如“批准Uniswap从您的钱包支出最多500 USDC”或“在OpenSea以40 ETH的价格出售CryptoPunk #4156”的内容——这些都是从该合约的ERC-7730注册条目中得出的精确、经过审计的人类可读描述。
对于更广泛的以太坊安全生态系统而言,清晰签名的推出正值钱包级别的钓鱼和批准诈骗仍然是零售用户的主要攻击向量之际。即使协议级别的漏洞在成熟、经过审计的合约上变得更难以执行,用户仍需警惕。
清晰签名的必要性
最近一篇关于CoW DAO域名劫持事件的报道显示,攻击者在4.5小时内将用户重定向到钓鱼网站,并诱使他们签署恶意交易,正好说明了清晰签名旨在缓解的失败模式:如果用户能够阅读他们所签署的内容,他们将更有可能在批准交易前发现异常。
同时,关于以太坊Glamsterdam开发网络进展的报道详细说明了基金会如何同时推进执行层升级和领导结构重组。清晰签名正是更广泛推动以太坊在每一层堆栈中变得更安全和更易于访问的努力的一部分,而无需等待协议级别的更改传播。
正如一篇关于AI驱动的加密欺诈的报道所述,Binance自己的安全数据表明,仅在2026年第一季度就拦截了2290万次钓鱼尝试——这一数量突显了让普通用户能够理解交易批准的重要性,这不再是用户体验的附加功能,而是安全的必要条件。
