近日我看到以太坊基金会发布年度安全报告,显示2023年涉及盲签漏洞的事件占DeFi攻击总量的37%——这个数字让我倒吸一口凉气。上次让我如此震惊的,还是2016年The DAO黑客盗取360万ETH的旧闻。有位记者问基金会安全研究员时,对方用了个精妙比喻:”这就像要求用户在空白支票上签好名,再交给素未谋面的陌生人”。
我查了查资料,你猜我发现了什么?目前主流钱包的”一键授权”功能,本质上都在使用EOA(外部账户)盲签机制。用户点击确认时,根本看不到将要执行的具体交易内容,只能看到一串像外星文字的十六进制代码。去年9月Poly Network遭攻击时,黑客就是利用这个漏洞,让受害者在不知情的情况下签署了权限转移交易;更有趣的是,大部分受害者事后回忆,他们当时以为只是在进行普通的NFT转账操作。
原本我以为这单纯是用户教育问题,结果深入研究后发现症结在技术架构。当前以太坊账户体系就像个双面胶带:智能合约账户可以验证交易内容,但普通用户账户(EOA)必须先签名后验证。这就衍生出一个问题——绝大部分DeFi应用为节省gas费,都在要求用户使用EOA进行批量授权。我在测试网上尝试部署合约时发现,如果强制要求所有交易可视化,用户需要多支付约23%的gas成本;但如果不这么做,相当于给黑客开了后门。
有三个解决方案正在角逐:EIP-4337提出的账户抽象、Metamask等钱包的”交易预览”功能、以及Gnosis Safe的多签机制。但关键问题在于,它们就像三种不同制式的充电头——账户抽象需要整个生态升级,交易预览依赖DApp配合解析,多签则根本不适合普通用户。有位开发者社区KOL在Discord吐槽:”我们就像在给高速行驶的汽车换轮胎,既要保持兼容性,又要解决致命缺陷”。去年Uniswap迁移到BNB Chain时,就因账户体系不兼容导致大量用户误操作损失资产。
需要注意的是,这种安全漏洞之所以顽固存在,深层原因是激励错配。当我对比以太坊和比特币的安全模型时发现,前者为追求灵活性牺牲了确定性——智能合约可以调用用户已授权的资产,而UTXO模型必须明确指定转账金额。这就很有意思了,就像超市允许顾客先拿走商品再决定付多少钱。现有ERC-20授权机制下,用户一旦给DApp开放权限,就等于把整个钱包的控制权交了出去,而绝大多数项目方根本没有动力提醒用户及时撤销授权。
从The DAO事件到今天的盲签危机,以太坊始终在”绝对自主权”与”必要安全性”之间走钢丝。那些看似便利的一键确认按钮,正在把加密世界变成暗藏陷阱的冒险乐园。或许正如某位匿名核心开发者所言:”区块链的终矛盾,是把人类惰性与机器绝对理性强行耦合的必然代价”。
关键词标签:以太坊基金会发布安全报告,盲签漏洞为何成最大用户风险?
相关阅读
热门文章
质押ETH占比达28%,现货ETF通过将如何改变质押市场格局?
比特币矿企IPO热潮,散户如何识别优质项目?
印度央行坚持反加密立场,最高法院会干预吗?
巴菲特会投资比特币财库公司吗,关键障碍是什么?
Notepad2时间:2022-03-14 19:51:43
winhex中文版(多功能十六进制编辑器)时间:2022-03-08 16:34:03
文本替换、符号批量替换必备工具时间:2021-12-13 15:40:25
emeditor32位+64位专业版时间:2021-07-16 15:20:05
精科文字转换通时间:2021-06-01 18:10:22
WinHex单文件版时间:2021-03-23 19:20:39
人气排行 meme币与比特币有关系吗?meme币和比特币之间的关系揭秘 虚拟币交易所怎么下载?虚拟币交易所app下载安装教程最新版 web3交易平台排行榜:全球web3交易平台排名前十最新汇总 大零币和小零币哪个值钱?大零币和小零币投资价值解析 热币是什么意思,是交易所还是一个币?热币概念解析 web3交易所是什么意思,它是什么时候成立的?web3交易所简介 币圈杠杆倍率1还是10,倍数怎么算?币圈杠杆倍率计算方式介绍 热币交易所是干什么的,什么时候成立的?热币交易所入门介绍
查看所有0条评论>>