著者: ライトクライアント
翻訳: メタキャット
EIP-3074 以降、間違った署名によりイーサリアム アカウントの残高が枯渇する可能性があります。
はい、それは本当だ。
EIP-3074 の共著者がここにいます!事態がさらに制御不能になる前に、この懸念を少し休ませてください。
まず第一に、プレフィックスのないデータへの署名をサポートしているウォレットは現在聞いたことがありません。これは、現在 EIP-3074 をサポートしているウォレットがないことを意味します。閲覧するコントロール パネルの数や、有効にした高度な機能の数は関係ありません。現時点では、EIP-3074 のメッセージに署名できません。
dapp に「ログイン」するために署名するメッセージは、EIP-191 に基づく EIP-3074 とはまったく異なる標準を使用します。これにより、署名付きメッセージに次のデータが追加されます。
0x19 <0x45 (E)>
これが、dapp にログインしている誰かをだまして有効なイーサリアム トランザクションに実際に署名させることが不可能である理由です。
トランザクションには、次のような単一バイト値が接頭辞として付けられます。
0x01 - 2930 トランザクション0x02 - 1559 トランザクション0x03 - 4844 トランザクション
詳細については、以下を参照してください。
EIP-3074 はプレフィックス 0x04 を使用する予定です。これにより、イーサリアム内の他のすべてのタイプの署名可能なデータから曖昧さがなくなります。ウォレットは、ユーザーがこれらのメッセージに署名できるようにすることを積極的に選択する必要があります。
ウォレットに EIP-3074 が統合される特定の方法に基づいて、ユーザーが悪用されやすくなる可能性があります。これを理解するには、EIP-3074 署名がどのように機能するかを確実に理解する必要があります。
署名を構築する認証メッセージには次のフィールドがあります。重要なのは、発信者のアドレスが含まれていることです。これは、AUTH が署名が有効であるとみなす唯一のアドレスです。
アカウントの残高がなくなるには、次の両方が満たされる必要があります。
ウォレットでは、ユーザーが任意の呼び出し元アドレスに署名できるようにする必要があります。
ユーザーは、呼び出し元 (実行者) が信頼できるかどうかを確認してはなりません。
つまり、ユーザーがどれを実行しても問題はありません。
ウォレット ソフトウェアには次のことを理解してもらいたい: EIP-3074 実行者はコントラクトよりもウォレット ソフトウェア コードの拡張に似ています。ウォレットでは、ユーザーが自由に任意のコードを実行したり、PK (秘密鍵) にアクセスしたりすることを許可してはなりません。同様に、ユーザーがイーサリアム アカウントを恣意的に委任することも許可すべきではありません。
したがって、ウォレット ソフトウェアが EIP-3074 を安全に統合せず、ユーザーが対話している発信者を確認しない場合、悪意のある発信者に権限が委任される可能性があります。ただし、EOA から 1 つの TX を送信することで元に戻すことができます。これにより、「進行中の」AUTH 署名がすべて取り消されます。
少なくとも、ウォレット ソフトウェアは、秘密鍵のエクスポートが重要であるのと同じように、EIP-3074 メッセージへの署名を重要なものにする必要があります。
ウォレットが 3074 を安全に統合していると仮定しても、アカウントが侵害される可能性は依然としてあります。これは一括トランザクションの基本的な特性です。これにより、攻撃者がユーザーを騙して、攻撃者が管理するアドレスにアセットのバッチを送信できるようにするのと同じように、複数のアクションを簡単に送信できます。
ウォレット ソフトウェアは、署名しているすべてのアクションを明確に表示する必要があります。こうすることで、「トランザクションを 1 つだけ行うつもりだったのに、この署名リクエストのせいでさらに 12 個のトランザクションが必要になった」ことに気づきやすくなります。バッチ処理がブラインド署名によって行われる場合、これは検出できません。
はい、EIP-3074 はウォレットを非常に信頼しています。ただし、私たちはすでに秘密鍵を使用してそれらを安全に信頼しています。これ以上の信頼レベルはありません。
EIP-3074 は安全に統合して使用できます。ウォレットの操作方法についてご不明な点がございましたら、お気軽にお問い合わせください。 EIP-3074 の作成者として、私たちは現在、標準開発の次の段階でどのように最善の支援ができるかを検討しています。
私たちは過去数年間、それがどのように使用され、悪用される可能性があるかについての仮定のシナリオの開発に多くの時間を費やしてきました。私たちは、これらのアイデアが製品化され始めていることに興奮しています。しかし、これが最も難しい部分であることも私たちは認識しています。
**単一の不正な署名によってイーサリアム アカウントの残高が枯渇する可能性があるという EIP-3074 後の懸念を要約すると: **
EIP-3074 は、顧客にとって非常に有益であるため、アカウント抽象化プロバイダーにとって非常に良いものです。
290.69K 人気度
119.73K 人気度
13.94K 人気度
49.86M 人気度
1.75M 人気度
EIP-3074 の後、悪意のある署名によりイーサリアム アカウントの資金が枯渇することになりますか?
著者: ライトクライアント
翻訳: メタキャット
EIP-3074 以降、間違った署名によりイーサリアム アカウントの残高が枯渇する可能性があります。
はい、それは本当だ。
EIP-3074 の共著者がここにいます!事態がさらに制御不能になる前に、この懸念を少し休ませてください。
まず第一に、プレフィックスのないデータへの署名をサポートしているウォレットは現在聞いたことがありません。これは、現在 EIP-3074 をサポートしているウォレットがないことを意味します。閲覧するコントロール パネルの数や、有効にした高度な機能の数は関係ありません。現時点では、EIP-3074 のメッセージに署名できません。
dapp に「ログイン」するために署名するメッセージは、EIP-191 に基づく EIP-3074 とはまったく異なる標準を使用します。これにより、署名付きメッセージに次のデータが追加されます。
0x19 <0x45 (E)>
これが、dapp にログインしている誰かをだまして有効なイーサリアム トランザクションに実際に署名させることが不可能である理由です。
トランザクションには、次のような単一バイト値が接頭辞として付けられます。
0x01 - 2930 トランザクション0x02 - 1559 トランザクション0x03 - 4844 トランザクション
詳細については、以下を参照してください。
EIP-3074 はプレフィックス 0x04 を使用する予定です。これにより、イーサリアム内の他のすべてのタイプの署名可能なデータから曖昧さがなくなります。ウォレットは、ユーザーがこれらのメッセージに署名できるようにすることを積極的に選択する必要があります。
ウォレットに EIP-3074 が統合される特定の方法に基づいて、ユーザーが悪用されやすくなる可能性があります。これを理解するには、EIP-3074 署名がどのように機能するかを確実に理解する必要があります。
署名を構築する認証メッセージには次のフィールドがあります。重要なのは、発信者のアドレスが含まれていることです。これは、AUTH が署名が有効であるとみなす唯一のアドレスです。
アカウントの残高がなくなるには、次の両方が満たされる必要があります。
ウォレットでは、ユーザーが任意の呼び出し元アドレスに署名できるようにする必要があります。
ユーザーは、呼び出し元 (実行者) が信頼できるかどうかを確認してはなりません。
つまり、ユーザーがどれを実行しても問題はありません。
ウォレット ソフトウェアには次のことを理解してもらいたい: EIP-3074 実行者はコントラクトよりもウォレット ソフトウェア コードの拡張に似ています。ウォレットでは、ユーザーが自由に任意のコードを実行したり、PK (秘密鍵) にアクセスしたりすることを許可してはなりません。同様に、ユーザーがイーサリアム アカウントを恣意的に委任することも許可すべきではありません。
したがって、ウォレット ソフトウェアが EIP-3074 を安全に統合せず、ユーザーが対話している発信者を確認しない場合、悪意のある発信者に権限が委任される可能性があります。ただし、EOA から 1 つの TX を送信することで元に戻すことができます。これにより、「進行中の」AUTH 署名がすべて取り消されます。
少なくとも、ウォレット ソフトウェアは、秘密鍵のエクスポートが重要であるのと同じように、EIP-3074 メッセージへの署名を重要なものにする必要があります。
ウォレットが 3074 を安全に統合していると仮定しても、アカウントが侵害される可能性は依然としてあります。これは一括トランザクションの基本的な特性です。これにより、攻撃者がユーザーを騙して、攻撃者が管理するアドレスにアセットのバッチを送信できるようにするのと同じように、複数のアクションを簡単に送信できます。
ウォレット ソフトウェアは、署名しているすべてのアクションを明確に表示する必要があります。こうすることで、「トランザクションを 1 つだけ行うつもりだったのに、この署名リクエストのせいでさらに 12 個のトランザクションが必要になった」ことに気づきやすくなります。バッチ処理がブラインド署名によって行われる場合、これは検出できません。
はい、EIP-3074 はウォレットを非常に信頼しています。ただし、私たちはすでに秘密鍵を使用してそれらを安全に信頼しています。これ以上の信頼レベルはありません。
EIP-3074 は安全に統合して使用できます。ウォレットの操作方法についてご不明な点がございましたら、お気軽にお問い合わせください。 EIP-3074 の作成者として、私たちは現在、標準開発の次の段階でどのように最善の支援ができるかを検討しています。
私たちは過去数年間、それがどのように使用され、悪用される可能性があるかについての仮定のシナリオの開発に多くの時間を費やしてきました。私たちは、これらのアイデアが製品化され始めていることに興奮しています。しかし、これが最も難しい部分であることも私たちは認識しています。
**単一の不正な署名によってイーサリアム アカウントの残高が枯渇する可能性があるという EIP-3074 後の懸念を要約すると: **
EIP-3074 与EIP-4337
EIP-3074 は、顧客にとって非常に有益であるため、アカウント抽象化プロバイダーにとって非常に良いものです。