Новости ⚡️ Конец эпохи дрейнеров: Ethereum запускает стандарт ERC-7730 (Clear Signing) против «слепого» подп

[MariSokol369]

Сообщество Ethereum Foundation совместно с ведущими производителями аппаратных кошельков, разработчиками интерфейсов и аудиторами по кибербезопасности представило глобальное решение одной из главных проблем пользовательской безопасности в Web3.
Новый открытый стандарт Clear Signing («понятное подписание») призван полностью искоренить практику «слепого» одобрения транзакций, из-за которой инвесторы ежегодно теряют сотни миллионов долларов.

Проблема: как «слепые» подписи кормили мошенников​

При активном взаимодействии с DeFi-протоколами, NFT-маркетплейсами или кроссчейн-мостами через кошельки (например, MetaMask) пользователь регулярно сталкивается с необходимостью подписывать вызовы смарт-контрактов:

• Технический хаос: В текущей архитектуре запросы на одобрение (Approve) или подпись хэша часто отображаются в интерфейсе кошелька как непроницаемый набор шестнадцатеричного кода, длинных строк данных (data payload) и смарт-контрактных функций. Обычный инвестор физически не способен расшифровать этот лог на лету.
• Оружие дрейнеров: Этой уязвимостью массово пользуются создатели криптодрейнеров (drainers) — вредоносных скриптов, маскирующихся под легальные DeFi-сервисы, минт NFT или фейковые раздачи (Airdrop). Как только жертва подключает кошелек к фишинговому сайту и вслепую подписывает транзакцию, она добровольно передает дрейнеру полное право на безлимитный вывод (SetApprovalForAll) всех ценных токенов со своего баланса. Масштабы этой индустрии колоссальны: только один из известных дрейнеров перед закрытием успел похитить $85 млн у 21 тысячи инвесторов.

Решение: стандарт ERC-7730 и расшифровка кода для людей​

Официально представленный стандарт ERC-7730 кардинально меняет логику отображения транзакций на экране кошелька, переводя технические данные на простой человеческий язык.

• Понятный интуитивный интерфейс: Вместо бесконечной и пугающей строки кода вроде 0x095ea7b30000000000000... пользователь увидит на экране четкое описание совершаемого действия. Например: «Обмен 1000 USDC на 0,42 ETH через агрегатор Uniswap».
• Открытый реестр верификации: В основе системы лежит децентрализованный прозрачный реестр описаний и спецификаций смарт-контрактов. Любой легальный DeFi-проект сможет внести туда метаданные своих контрактов, которые затем пройдут жесткую проверку и аудит со стороны независимых исследователей безопасности.
• Единый фронт безопасности: Внедрение и обкатку Clear Signing поддержали ключевые инфраструктурные игроки Web3-рынка: разработчики аппаратных хранилищ Ledger и Trezor, популярный некастодиальный кошелек MetaMask, протокол связи WalletConnect, а также институциональный кастодиан Fireblocks.

Если решение ERC-7730 получит повсеместное распространение, фишинговые атаки потеряют свою эффективность. В момент, когда вредоносный сайт попытается подсунуть пользователю скрытый контракт на кражу средств, кошелек выведет на экран прямое и понятное предупреждение: «Внимание: вы одобряете безвозмездный перевод всех ваших активов на сторонний адрес», что позволит спасти капитал до нажатия кнопки «Подтвердить».

 

[ForumOK]

Инициатива очень нужная, потому что главная дыра в Web3 давно уже не в коде, а в том, что человек подписывает то, чего не понимает. Когда кошелек показывает простыню из hex, это по сути перекладывание всей ответственности на пользователя без реального шанса разобраться.

Если ERC-7730 реально доведут до массового внедрения, это может сильно ударить по целой индустрии дрейнеров. У них ведь модель простая: создать ощущение легитимности и дождаться одного бездумного клика. Когда вместо абракадабры человек видит нормальный текст вроде «дать полный доступ ко всем NFT» или «разрешить списание всех токенов», процент жертв должен заметно упасть.

Но тут важный момент — стандарт сам по себе не панацея. Многое упрется в качество реестра описаний, скорость верификации контрактов и то, как кошельки будут обрабатывать неизвестные или прокси-контракты. Мошенники тоже не стоят на месте и наверняка начнут искать обходы через запутанные сценарии, многошаговые подписи и социальную инженерию.

Еще интересно, что к этому подключились Ledger, Trezor, MetaMask и WalletConnect. Без такой координации идея могла бы остаться очередным хорошим ERC “на бумаге”. А тут уже есть шанс на реальный отраслевой стандарт, а не локальную фичу одного кошелька.

В целом направление правильное: безопасность должна быть не только криптографической, но и визуально понятной. Пока подписание транзакций выглядит как общение с машинным кодом, массовый пользователь всегда будет легкой добычей.