Ethereum Foundation e i principali wallet lanciano lo standard "Clear Signing" per porre fine alle approvazioni cieche delle transazioni

Negli ultimi anni, la maggiore vulnerabilità dei wallet di criptovalute è rappresentata dalla firma cieca. Si tratta della pratica di approvare stringhe esadecimali grezze senza conoscerne il significato effettivo. Tuttavia, martedì la Ethereum Foundation ha annunciato ufficialmente che questo standard verrà gradualmente eliminato e sostituito con la firma trasparente, adottata da alcuni dei principali wallet e infrastrutture hardware che utilizzano Ethereum per la maggior parte degli utenti. Tra questi figurano nomi come Ledger, Trezor, MetaMask, WalletConnect, Fireblocks e Cyfrin. In pratica, ciò significa che gli utenti potranno visualizzare un riepilogo chiaro e comprensibile di ciò che una firma autorizza. 

Il motivo di tutto ciò è semplice e si riduce ai recenti attacchi hacker di alto profilo avvenuti negli ultimi due anni. L'attacco hacker a Bybit, che ha causato la perdita di 1,5 miliardi di dollari e rimane il più grande attacco hacker nel settore delle criptovalute fino ad oggi, è avvenuto in parte perché i firmatari hanno approvato una transazione che non potevano effettivamente leggere. Allo stesso modo, nel luglio 2024, l'attacco hacker a WazirX, che ha visto il furto di circa 235 milioni di dollari dal portafoglio multi-firma dell'exchange di criptovalute indiano, si è svolto praticamente nello stesso modo. Secondo la Ethereum Foundation, la firma cieca è una falla strutturale nell'ecosistema da anni e ha contribuito a miliardi di dollari di perdite cumulative tra attacchi hacker, truffe di phishing e exploit di approvazione.

Cosa fa realmente Clear Signing

Le autorizzazioni e le firme presentano attualmente una specifica falla. Gli utenti che interagiscono contracintelligenti possono visualizzare dati accurati, ma si tratta solitamente di una sequenza di dati di basso livello, praticamente illeggibile per chiunque non abbia competenze di sviluppo o tecniche. 

La firma trasparente ribalta completamente la situazione. I wallet che supportano il nuovo standard visualizzeranno un file descrittore che converte la funzione di untracin testo leggibile, fornendone al contempo un riepilogo all'utente prima di firmare qualsiasi cosa. 

Le basi tecniche derivano da due proposte di miglioramento già esistenti. L'ERC-7730, proposto per la prima volta da Ledger nel 2024, defiun formato aperto per la descrizione delle transazioni in JSON leggibile dall'uomo. L'ERC-8176 aggiunge poi un livello di attestazione, consentendo a revisorident di garantire crittograficamente che un descrittore corrisponda effettivamente a ciò che iltracintende fare. I descrittori stessi risiedono off-chain in un registro neutrale su clearsigning.org, il che significa che itracesistenti possono adottare lo standard senza bisogno di alcuna ridistribuzione.

Una coalizione che arriva direttamente dove vivono gli utenti

Non si tratta di un lancio di un singolo wallet. L'elenco dei contributori comprende ogni componente dell'infrastruttura che oggi entra in contatto con gli utenti Ethereum , con Ledger e Trezor per l'hardware, MetaMask e WalletConnect per il software, Fireblocks per la custodia istituzionale, Cyfrin per le verifiche e Sourcify e Argot per gli strumenti di supporto. Ledger ha originariamente sviluppato la firma in chiaro come funzionalità di sicurezza interna nel 2021, l'ha formalizzata come ERC-7730 nel 2024 e all'inizio di quest'anno ha ceduto la governance alla Fondazione specificamente per rendere lo standard credibilmente neutrale e non legato ad alcuna azienda.

Perché la tempistica coincide con i finanziamenti istituzionali

Anche la tempistica non è casuale. La Trillion Dollar Security Initiative della Fondazione, che ora gestisce il registro Clear Signing, è stata creata appositamente per preparare Ethereum al tipo di valore istituzionale che ora risiede direttamente sulla blockchain. Il coinvolgimento di Fireblocks nel progetto è particolarmente importante, poiché si tratta del fornitore di servizi di custodia che la maggior parte delle società finanziarie tradizionali utilizza quando inizia a operare nel settore delle criptovalute. 

La firma cieca è sempre stata un livello di rischio tollerabile per gli utenti al dettaglio che movimentavano piccole somme. Per un gestore patrimoniale che movimenta importi considerevoli, tuttavia, è praticamente impraticabile, poiché non è possibile apporre una firma di conformità a una transazione che il team operativo non è in grado di esaminare.