Nguồn: MetaCat
Đồng tác giả EIP-3074 đang ở đây! Trước khi mọi thứ trở nên mất kiểm soát hơn nữa, hãy để tôi tạm gác lại mối lo ngại này trong giây lát.
Trước hết: Tôi chưa nghe nói có ví nào hiện hỗ trợ ký dữ liệu không có tiền tố. Điều này có nghĩa là hiện tại không có ví nào hỗ trợ EIP-3074. Bất kể bạn duyệt qua bao nhiêu bảng điều khiển hay bao nhiêu tính năng nâng cao bạn bật. Không thể ký tin nhắn cho EIP-3074 vào lúc này.
Thông báo bạn đăng nhập để "đăng nhập" dapp sử dụng tiêu chuẩn hoàn toàn khác với EIP-3074, dựa trên EIP-191 . Thao tác này sẽ thêm dữ liệu sau vào tin nhắn đã ký của bạn:
0x19 <0x45 (E) > <thereum Tin nhắn đã ký:\n" + len(message)> <dữ liệu cần ký
Đây là lý do tại sao không thể lừa ai đó đã đăng nhập vào dapp để thực sự ký một giao dịch Ethereum hợp lệ.
Các giao dịch được bắt đầu bằng một giá trị một byte:
0x01 - 2930 tx
0x02 - 1559 tx
0x03 - 4844 tx span >
Để biết thêm thông tin, hãy xem: https://github.com/ethereum/execution-specs/tree /master /lists/signature-types
EIP-3074 được lên kế hoạch sử dụng tiền tố 0x04 để loại bỏ nó khỏi tất cả các loại khác trong Ethereum Sự mơ hồ về dữ liệu có thể ký được Ví phải chủ động chọn cho phép người dùng ký các tin nhắn này
Dựa trên việc tích hợp ví EIP-. 3074. Những cách cụ thể có thể khiến người dùng dễ bị lợi dụng hơnĐể hiểu điều này, chúng tôi cần đảm bảo rằng chúng tôi hiểu cách thức hoạt động của chữ ký EIP-3074
Thông báo xác thực tạo chữ ký có các trường sau. Điều quan trọng là nó bao gồm địa chỉ người gọi. Đây là địa chỉ duy nhất mà AUTH coi chữ ký là hợp lệ.
Đối với tài khoản muốn rút hết số dư, hai điểm sau phải< /strong> được đáp ứng cùng lúc:
1) Ví cần cho phép người dùng đăng nhập vào bất kỳ địa chỉ nào của người triệu tập,
2) Người dùng không được xác minh xem người gọi (người gọi) có đáng tin cậy hay không.
Điều này có nghĩa là sẽ không có vấn đề gì nếu người dùng thực hiện bất kỳ lệnh nào trong số đó.
Chúng tôi hy vọng rằng phần mềm ví hiểu được: EIP-3074 Trình kích hoạt giống với một phần mở rộng của mã phần mềm ví hơn là một hợp đồng . Ví không cho phép người dùng tự do chạy mã tùy ý và truy cập PK (khóa riêng) của họ; tương tự, họ không được phép người dùng tự ý ủy quyền tài khoản Ethereum của mình.
Do đó, nếu phần mềm ví tích hợp EIP-3074 một cách không an toàn,và người dùng không xác minh người gọi mà họ đang tương tác, điều đó có thể xảy ra sẽ được ủy quyền cho những người gọi có ý đồ xấu. Tuy nhiên, nó vẫn có thể được hoàn tác bằng cách gửi một tx từ EOA. Điều này sẽ thu hồi tất cả chữ ký AUTH "đang tiến hành".
Ít nhất, phần mềm ví sẽ khiến việc ký tin nhắn EIP-3074 trở thành một vấn đề lớn, giống như việc xuất khóa riêng của bạn là một vấn đề lớn.
Giả sử ví tích hợp 3074 một cách an toàn thì tài khoản vẫn có khả năng bị xâm phạm. Đây là thuộc tính cơ bản của giao dịch số lượng lớn. Nó cho phép bạn gửi nhiều hành động một cách dễ dàng, giống như nó cho phép kẻ tấn công lừa bạn gửi một loạt tài sản đến địa chỉ mà chúng kiểm soát.
Phần mềm ví phải hiển thị rõ ràng mọi hành động bạn đang ký. Bằng cách này, thật dễ dàng để nhận thấy "Tôi chỉ định thực hiện một giao dịch, nhưng yêu cầu chữ ký này đã khiến tôi thực hiện thêm hàng chục giao dịch nữa." Không thể phát hiện điều này nếu việc xử lý hàng loạt được thực hiện thông qua ký tên mù.
Có, EIP-3074 rất tin tưởng vào ví. Tuy nhiên, chúng tôi đã tin tưởng họ một cách an toàn bằng khóa riêng của mình! Không có mức độ tin cậy cao hơn.
EIP-3074 có thể được tích hợp và sử dụng một cách an toàn. Nếu bất kỳ ví nào có thắc mắc về cách thực hiện việc này, vui lòng liên hệ với chúng tôi. Với tư cách là tác giả của EIP-3074, chúng tôi hiện đang xem xét cách chúng tôi có thể hỗ trợ tốt nhất trong giai đoạn tiếp theo của quá trình phát triển tiêu chuẩn.
Trong vài năm qua, chúng tôi đã dành rất nhiều thời gian để phát triển các kịch bản giả định về cách nó có thể được sử dụng và lạm dụng. Chúng tôi rất vui mừng khi những ý tưởng này đang bắt đầu được đưa vào sản xuất. Nhưng chúng tôi cũng nhận ra rằng đây là phần khó nhất.
Để tóm tắt những lo ngại rằng một chữ ký xấu duy nhất có thể làm cạn kiệt số dư tài khoản Ethereum của bạn sau EIP-3074:
- Hiện tại ví không hỗ trợ chữ ký loại EIP-3074, tuân theo định dạng mới.
- Trường người gọi trong chữ ký EIP-3074 rất quan trọng. Một người gọi xấu có thể ăn cắp tiền của bạn.
- Ví cần đảm bảo địa chỉ người gọi là đáng tin cậy. Điều này tương tự như cách các ví hiện ngăn chặn việc thực thi mã tùy ý.
- Các giao dịch hàng loạt trong EIP-3074 vẫn mở ra một thế giới nơi những kẻ độc hại có thể lừa bạn ký các giao dịch chuyển tài sản. Ví cần hiển thị rõ ràng điều gì sẽ xảy ra khi tin nhắn EIP-3074 được ký.
- Đúng, chúng tôi có mức độ tin cậy cao đối với ví, nhưng người dùng đã giao phó khóa riêng của họ cho họ, đây là mức độ tin cậy cao nhất.
EIP-3074 EIP-4337
EIP-3074 là một giải pháp rất tốt cho các nhà cung cấp tính năng trừu tượng hóa tài khoản vì nó rất có lợi cho khách hàng của chúng tôi.
- ERC-4337 là cách tốt nhất để giới thiệu cho người dùng mới về không gian tiền điện tử.
- EIP-3074 là cách tốt nhất để đưa người dùng hiện tại vào Tài khoản thông minh.
Liên kết gốc: https://twitter.com/lightclients/status/1778823652584120497
EIP-3074 sẽ trực tuyến trong đợt hard fork Ethereum tiếp theo.