Ethereum Foundation cùng Ledger, MetaMask và Trezor thúc đẩy tiêu chuẩn mới nhằm chấm dứt blind signing — lỗ hổng đằng sau các vụ thất thoát hàng tỷ USD.
Một liên minh gồm Ethereum Foundation, các nhà cung cấp ví phần cứng Ledger và Trezor, cùng MetaMask và WalletConnect vừa công bố kế hoạch thiết lập tiêu chuẩn “clear signing”, giải pháp kỹ thuật nhằm chấm dứt thực tiễn blind signing, đặc tính đã bị khai thác trong vụ hack Bybit trị giá gần 1,5 tỷ USD vào năm ngoái, vụ tấn công tài sản mã hóa lớn nhất mọi thời đại.
Clear signing: tuyến phòng thủ cuối cùng cho người dùng Ethereum
Blind signing xảy ra khi người dùng phê duyệt giao dịch dựa trên các định dạng cấp thấp mà máy móc có thể đọc nhưng con người khó diễn giải nếu không có chuyên môn kỹ thuật. Trong thực tế, điều này có nghĩa người dùng, kể cả các tổ chức tài chính lớn, thường ký xác nhận giao dịch mà không thực sự hiểu họ đang ủy quyền điều gì.
Tiêu chuẩn clear signing thay thế mô hình này bằng nguyên tắc “những gì bạn thấy là những gì bạn ký”, cung cấp thông tin giao dịch theo dạng ngôn ngữ tự nhiên trước khi người dùng xác nhận.
Về mặt kỹ thuật, đề xuất dựa trên hai Ethereum Improvement Proposal đã có sẵn. ERC-7730, vốn được phát triển bởi Ledger, cung cấp tiêu chuẩn mô tả giao dịch ở dạng dễ đọc với con người, trong khi ERC-8176 xây dựng khuôn khổ xác thực và đảm bảo tính toàn vẹn dữ liệu.
Hệ thống còn tích hợp một registry phi tập trung ngoài chuỗi để phân phối bộ mô tả giao dịch, cùng SDK và công cụ phát triển dành cho các nhà phát triển ứng dụng. Trillion Dollar Security Initiative của Ethereum Foundation sẽ đảm nhận vai trò quản lý trung lập cho hệ thống đăng ký này.
Sáng kiến Trillion Dollar Security được khởi động từ tháng 5 năm ngoái với mục tiêu đưa mạng Ethereum đạt mức độ bảo mật đủ vững chắc để hỗ trợ hàng tỷ người dùng nắm giữ an toàn hơn 1.000 USD trực tiếp trên chuỗi.
Ngoài clear signing, các trọng tâm của sáng kiến còn bao gồm giảm thiểu rủi ro từ điện toán lượng tử, các cuộc tấn công giao diện người dùng, bảo mật on-chain và cải thiện trải nghiệm người dùng trong bối cảnh nhiều ứng dụng hiện đang ưu tiên tốc độ hơn an toàn.
Tuyên bố của Ethereum Foundation đặt vấn đề rõ ràng: khi hành động phê duyệt giao dịch, vốn phải là tuyến phòng thủ cuối cùng của người dùng, được thực hiện một cách mù quáng, tuyến phòng thủ đó trở nên vô nghĩa.
Với sự tham gia của các tên tuổi hàng đầu trong hạ tầng ví Ethereum, đề xuất lần này có trọng lượng thực thi đáng kể, dù lộ trình triển khai cụ thể và mức độ áp dụng rộng rãi trong hệ sinh thái vẫn là câu hỏi cần thời gian để trả lời.
