بعد EIP-3074، هل ستتسبب التوقيعات الضارة في استنفاد أموال حساب Ethereum؟

المؤلف: عملاء الضوء

ترجمة: ميتاكات

بعد EIP-3074، يمكن أن يؤدي التوقيع الخاطئ إلى استنزاف الرصيد في حساب Ethereum الخاص بك.

نعم هذا صحيح.

المؤلفون المشاركون EIP-3074 موجودون هنا! قبل أن تخرج الأمور عن نطاق السيطرة، اسمحوا لي أن أضع هذا القلق جانبًا للحظة.

أولًا: لم أسمع عن أي محافظ حاليًا تدعم التوقيع على بيانات غير مسبوقة. وهذا يعني أنه لا توجد محفظة تدعم حاليًا EIP-3074. بغض النظر عن عدد لوحات التحكم التي تتصفحها أو عدد الميزات المتقدمة التي تقوم بتشغيلها. لا يمكن توقيع رسالة EIP-3074 في هذا الوقت.

تستخدم الرسالة التي تسجلها “لتسجيل الدخول” إلى التطبيق اللامركزي معيارًا مختلفًا تمامًا عن EIP-3074، والذي يعتمد على EIP-191. سيؤدي هذا إلى إضافة البيانات التالية إلى رسالتك الموقعة:

0x19 <0x45 (ه)>

ولهذا السبب، من المستحيل خداع أي شخص قام بتسجيل الدخول إلى تطبيق لامركزي للتوقيع فعليًا على معاملة إيثريوم صالحة.

المعاملات مسبوقة بقيمة بايت واحدة:

0x01 - 2930 TX0x02 - 1559 TX0x03 - 4844 TX

لمزيد من المعلومات، راجع:

يخطط EIP-3074 لاستخدام البادئة 0x04. سيؤدي هذا إلى إزالة الغموض عن جميع أنواع البيانات الأخرى القابلة للتوقيع في Ethereum. يجب أن تختار المحافظ بشكل فعال السماح للمستخدمين بالتوقيع على هذه الرسائل.

استنادًا إلى الطريقة المحددة التي تدمج بها المحفظة EIP-3074، قد يتسبب ذلك في استغلال المستخدمين بسهولة أكبر. لفهم ذلك، نحتاج إلى التأكد من فهمنا لكيفية عمل توقيعات EIP-3074.

تحتوي رسالة المصادقة التي تقوم بإنشاء التوقيع على الحقول التالية. والأهم من ذلك أنه يتضمن عنوان المتصل. هذا هو العنوان الوحيد الذي تعتبره AUTH أن التوقيع صالح.

لكي يستنزف الحساب رصيده، يجب أن يكون الأمران التاليان صحيحين:

1. تحتاج المحفظة إلى السماح للمستخدمين بالتوقيع على أي عنوان مستدعي،

2. يجب على المستخدم عدم التأكد من أن المتصل (المستدعي) موثوق به.

وهذا يعني أنه لن تكون هناك مشكلة إذا قام المستخدم بتنفيذ أي منها.

نريد أن يفهم برنامج المحفظة ما يلي: إن EIP-3074 Invocers يشبه امتدادات رمز برنامج المحفظة أكثر من العقود. لا تسمح المحافظ للمستخدمين بتشغيل تعليمات برمجية عشوائية والوصول إلى PKs (المفاتيح الخاصة) الخاصة بهم بحرية؛ وبالمثل، يجب ألا تسمح للمستخدمين بتفويض حسابات Ethereum الخاصة بهم بشكل تعسفي.

لذلك، إذا قام برنامج المحفظة بدمج EIP-3074 بشكل غير آمن، ولم يتحقق المستخدمون من المتصل الذي يتفاعلون معه، فقد يتم تفويضه إلى متصل ضار. ومع ذلك، لا يزال من الممكن التراجع عن ذلك عن طريق إرسال رسالة واحدة من EOA. سيؤدي هذا إلى إلغاء جميع توقيعات AUTH “قيد التقدم”.

على أقل تقدير، ينبغي لبرنامج المحفظة أن يجعل توقيع رسائل EIP-3074 أمرًا مهمًا، تمامًا مثلما يعد تصدير مفتاحك الخاص أمرًا مهمًا.

على افتراض أن المحفظة تدمج 3074 بشكل آمن، فلا يزال من الممكن اختراق الحساب. هذه هي الخاصية الأساسية للمعاملات بالجملة. فهو يتيح لك إرسال إجراءات متعددة بسهولة، تمامًا كما يسمح للمهاجم بخداعك لإرسال مجموعة من الأصول إلى عنوان يتحكم فيه.

يجب أن يُظهر برنامج المحفظة بوضوح كل إجراء تقوم بالتوقيع عليه. بهذه الطريقة، من السهل ملاحظة “كنت أنوي إجراء معاملة واحدة فقط، لكن طلب التوقيع هذا جعلني أقوم بإجراء عشرات المعاملات الأخرى.” لا يمكن اكتشاف ذلك إذا تمت معالجة الدُفعات عبر التوقيع الأعمى.

نعم، EIP-3074 يثق بالمحفظة كثيرًا. ومع ذلك، فإننا نثق بهم بالفعل بشكل آمن من خلال مفتاحنا الخاص! لا يوجد مستوى أعلى من الثقة.

يمكن دمج EIP-3074 واستخدامه بأمان. إذا كانت لدى أي محفظة أسئلة حول كيفية القيام بذلك، فلا تتردد في الاتصال بنا. باعتبارنا مؤلفي EIP-3074، فإننا نفكر حاليًا في كيفية تقديم المساعدة الأفضل في المرحلة التالية من تطوير المعيار.

لقد أمضينا الكثير من الوقت خلال السنوات القليلة الماضية في تطوير سيناريوهات “ماذا لو” حول كيفية استخدامها وإساءة استخدامها. نحن متحمسون لأن هذه الأفكار بدأت تنتقل إلى الإنتاج. ولكننا ندرك أيضًا أن هذا هو الجزء الأصعب.

** لتلخيص المخاوف التالية لـ EIP-3074 من أن توقيعًا سيئًا واحدًا يمكن أن يستنزف رصيد حساب Ethereum الخاص بك: **

• لا تدعم المحفظة حاليًا التوقيعات من النوع EIP-3074، والتي تتبع التنسيق الجديد. *EIP-3074 حقل المتصل في التوقيع مهم جداً. يمكن للمتصل السيئ أن يسرق أموالك.
• تحتاج المحفظة إلى التأكد من أن عنوان المتصل جدير بالثقة. وهذا مشابه لكيفية منع المحافظ حاليًا تنفيذ التعليمات البرمجية التعسفية.
• لا تزال المعاملات المجمعة في EIP-3074 تفتح عالمًا حيث يمكن للجهات الفاعلة الضارة خداعك لتوقيع المعاملات التي تنقل الأصول. تحتاج المحافظ إلى إظهار ما يحدث بوضوح عند توقيع رسالة EIP-3074.
• نعم، لدينا مستوى عالٍ من الثقة في المحافظ، لكن المستخدمين عهدوا إليها بمفاتيحهم الخاصة، وهو أعلى مستوى من الثقة.

EIP-3074 وEIP-4337

يعد EIP-3074 أمرًا جيدًا جدًا لموفري خدمة تجريد الحساب لأنه مفيد جدًا لعملائنا.

• ERC-4337 هو أفضل طريقة لتعريف المستخدمين الجدد بمجال التشفير.
• EIP-3074 هو أفضل وسيلة لضم المستخدمين الحاليين إلى الحسابات الذكية.