ZenGo, ein Krypto-Sicherheits- und Wallet-Anbieter, hat eine Lösung eingeführt, um das zunehmende Problem von Offline-Signatur-Exploits anzugehen. Solche Exploits haben dazu geführt, dass Angreifer Benutzer dazu verleitet haben, schwer lesbare Wallet-Nachrichten zu signieren, um Krypto-Assets und NFTs zu stehlen.
In den letzten Jahren sind mehrere Krypto-Benutzer Opfer dieser böswilligen Signaturen geworden, insbesondere auf NFT-Marktplätzen wie OpenSea, wo Offline-Signaturen ausgiebig verwendet werden, um NFTs zu handeln, ohne im Voraus Gebühren zu zahlen.
Im Januar war NFT-Unternehmer Kevin Rose dabei gehackt für NFTs in Höhe von insgesamt 1.5 Millionen US-Dollar, nachdem er dazu verleitet worden war, eine böswillige Offline-Signatur in einer scheinbar echten Funktion von OpenSea zu signieren.
Um dieses weit verbreitete Sicherheitsproblem zu beheben, ZenGo hat seine vorgeschlagene Lösung als offiziellen Ethereum-Verbesserungsvorschlag veröffentlicht, bekannt als EIP-6384. Der Vorschlag zielt darauf ab, Offline-Signaturen sowohl sicher als auch für Benutzer leicht lesbar zu machen. Indem ZenGo auf dem bestehenden Offline-Signaturstandard EIP-712 aufbaut, hat es Smart Contracts um eine Nur-Anzeige-Funktion erweitert, die die Nachricht in eine für Menschen lesbare Form übersetzt.
Durch die Implementierung von EIP-6384 würden alle Smart Contracts von Ethereum die Verantwortung übernehmen, eine klare Erläuterung der Nachricht bereitzustellen und so das gebührenfreie Transaktionserlebnis dezentralisierter Apps zu bewahren. Diese Änderung würde es Wallet-Benutzern ermöglichen, eine klare und verständliche Beschreibung der Nachricht zu erhalten, die sie unterzeichnen sollen, sodass sie beim Unterzeichnen von Transaktionen eine fundierte Entscheidung treffen können.
Es gibt zwar bereits bestimmte Dienste von Drittanbietern, die Benutzern helfen zu verstehen, was sie signieren, aber diese sind möglicherweise nicht immer zuverlässig. Wenn Wallets und dezentrale Apps diesen Vorschlag übernehmen, müssen sich Benutzer nicht mehr auf solche Tools von Drittanbietern verlassen, um Informationen zu Offline-Signaturen zu lesen, stellte ZenGo fest.
„Das EIP stützt sich ausschließlich auf bestehende Systemteilnehmer wie Wallets und Smart Contracts, um die notwendigen Informationen anzuzeigen. Dadurch werden zusätzliche Teilnehmer wie Dienste von Drittanbietern oder Browsererweiterungen überflüssig, die zusätzliche Ebenen potenzieller Schwachstellen und Vertrauensprobleme einführen können“, sagte Tal Be'ery, Chief Technology Officer bei ZenGo.
Die vorgeschlagene Lösung könnte einen Schritt hin zur Entwicklung sichererer Apps darstellen und Benutzern und Projekten die Angst nehmen, Vermögenswerte an Hacker zu verlieren, während sie Offline-Signaturen verwenden, fügte das ZenGo-Team hinzu.
© 2023 The Block Crypto, Inc. Alle Rechte vorbehalten. Dieser Artikel dient nur zu Informationszwecken. Es wird nicht als Rechts-, Steuer-, Anlage-, Finanz- oder sonstige Beratung angeboten oder verwendet.
Quelle: https://www.theblock.co/post/208030/zengo-proposes-solution-to-tackle-offline-signature-exploits-with-eip-6384?utm_source=rss&utm_medium=rss