EIP-3074实施后错误签名可能导致以太坊账户资金被清空

芝麻开门

芝麻开门(Gateio)

注册芝麻开门享最高$2,800好礼。

币安

币安(Binance)

币安是世界领先的数字货币交易平台,注册领100U。

以太坊EIP-3074安全风险警示:错误签名或导致账户资金耗尽 EIP-3074共同作者警示该提案存在潜在安全风险:1)当前尚无钱包支持3074签名,未来需主动启用0x04前缀签名;2)若钱包不安全整合该标准或用户未验证调用者地址,恶意调用者可能通过批量交易清空账户。关键防护措施包括:钱包需显著标识3074签名风险(类私钥导出级别)、清晰展示每笔批量交易明细。尽管存在风险,通过严格的钱包整合和用户验证机制仍可实现安全部署。作者团队表示已针对各类滥用场景进行多年研究,愿为钱包提供商提供实施支持。

关于EIP-3074安全性的深入探讨

近期关于”在EIP-3074实施后,一个错误的签名可能导致以太坊账户余额被耗尽”的讨论引起了广泛关注。作为该提案的共同作者,我认为有必要澄清一些关键点,帮助社区更好地理解这个技术标准。

目前市场上还没有任何钱包支持签署EIP-3074消息。用户现在通过dapp登录时签署的消息采用的是完全不同的EIP-191标准,这种消息会在签名前添加特定前缀数据:”0x19 “。这种设计机制使得欺骗用户签署有效以太坊交易变得不可能。

在以太坊交易中,不同类型交易使用不同的单字节前缀值:0x01对应2930交易,0x02对应1559交易,0x03对应4844交易。EIP-3074计划使用0x04作为前缀,这将使其与以太坊中其他类型的可签名数据明确区分开来。钱包需要主动选择允许用户签署这类消息。

EIP-3074的签名机制建立在包含调用者地址的授权消息上。只有当签名在特定地址的AUTH下才会被视为有效。要发生账户耗尽的情况,需要同时满足两个条件:钱包允许用户为任意调用者地址签名,且用户未验证调用者的可信度。

我们期望钱包开发者能够理解,EIP-3074的调用者更类似于代码扩展而非普通合约。就像钱包不会允许用户随意运行能访问私钥的任意代码一样,它们也不应该允许用户随意委托账户权限。如果钱包不安全地整合EIP-3074且用户未验证调用者,确实可能发生委托给恶意调用者的情况。

不过,用户可以通过发送单个交易来撤销所有”进行中”的AUTH签名。钱包应该将签署EIP-3074消息视为与导出私钥同等重要的操作。即使钱包安全地整合了该标准,批量交易的基本属性仍然可能被利用,攻击者可能欺骗用户将多笔资产转移到他们控制的地址。

钱包必须清晰显示用户正在签署的每个操作,这样用户就能轻松识别异常情况。如果通过盲目签名实现批量处理,这种风险将难以防范。虽然EIP-3074确实对钱包提出了很高的信任要求,但考虑到我们已经将私钥安全托付给钱包,这种信任关系本就存在。

我们相信EIP-3074可以安全地整合和使用。作为提案作者,我们积累了多年关于其使用场景和潜在滥用的研究经验,对这些想法即将投入生产感到兴奋,同时也清楚认识到其中的挑战。任何钱包开发者如有疑问,我们都愿意提供帮助,共同推动这个标准的发展。

声明:文章不代表CHAINTT观点及立场,不构成本平台任何投资建议。投资决策需建立在独立思考之上,本文内容仅供参考,风险 自担!转载请注明出处:https://www.chaintt.cn/13227.html

CHAINTT的头像CHAINTT
上一篇 2025年8月25日 上午8:50
下一篇 2025年8月25日 上午9:27

相关推荐

  • SEC流动性质押指引为现货加密货币ETF质押扫清”最后障碍”

    美国SEC最新流动性质押指引释放积极信号,或将允许现货加密ETF开展质押业务。监管机构认为流动性质押代币(LST)不涉及证券发行,可作为底层资产收据用于基金流动性管理。行业人士指出LST能保持质押资产流动性,并预测其将在ETF等金融产品中扩大应用。Jito Labs等机构2月与SEC会晤,强调ETP框架下的LST可规避直接质押风险。此次指引延续了SEC5月观点,即协议质押本身不构成证券发行,但适用范围限于特定场景。

    2025年8月6日
    12200
  • 以太坊(ETH)巨鲸疯狂增持 持仓量已超2022年95%涨幅前水平

    摘要:以太坊超级巨鲸持仓量创2020年以来新高,9.31%的增幅远超2022年牛市前水平。ETH现处于牛旗形态盘整,突破后或于8月冲击3400美元。巨鲸增持与ETF资金流入形成共振,2500-2536美元成为关键支撑区间,历史模式预示当前静默积累可能是大涨前兆。

    2025年7月9日
    16000
  • Arbitrum质押赋能提案获初步通过 ARB代币能否迎来新转机

    以太坊Layer 2代币表现低迷,ARB近一年跌幅显著,STRK半年跌90%。主因是Layer 2生态活跃度不足且代币仅具治理功能,需求弱。Arbitrum社区近期通过「ARB质押赋能」提案,拟将网络收益分配给代币持有者,并引入流动性质押代币stARB以提升治理参与度。然而,Arbitrum日收入仅约3万美元,年收入约1000万美元,相比流通市值和解锁量杯水车薪。提案虽利好ARB,但实际利好程度有限,具体方案需关注10月Tally投票。

    2025年9月3日
    11400
  • 优化FileCoin冷存储系统的高效数据可用性解决方案

    数据可用性(DA)是以太坊扩展的关键技术,允许节点验证数据可用性而无需托管全部数据。当前主流DA方案(如Celestia、EigenDA)通过专用链提供低成本存储,但FileCoin作为分布式存储网络展现出更大潜力:其32GB数据存储成本仅0.0002美元/月,相比以太坊calldata节省99.99%费用。FileCoin通过复制证明和时空证明确保数据完整性,存储提供商的抵押机制提供经济安全性。尽管存在3小时数据封存延迟和检索性能挑战,但通过数据聚合、PoDSI证明和IPC子网等技术优化,FileCoin有望成为高性能DA层基础,为Rollups等扩展方案节省数百万美元成本,同时其可编程存储交易和多重副本机制为DA需求提供灵活解决方案。

    2025年11月3日
    15500
  • 社交恢复钱包是什么及其工作原理详解

    关于社交恢复钱包 社交恢复钱包是一种创新的数字钱包解决方案,由以太坊联合创始人Vitalik Buterin于2019年提出。它通过设置3个以上可信监护人,在用户丢失私钥时通过集体投票机制恢复账户访问权限。这种非托管钱包既保留了传统钱包功能,又通过智能合约实现密钥管理,提供1-3天的操作延迟以防止欺诈。典型代表包括Argent和Loopring钱包,它们通过分散责任机制显著降低资金永久丢失风险,但存在依赖监护人可信度的潜在问题。相比硬件钱包易受物理损坏和供应链攻击的缺陷,社交恢复钱包利用社交网络力量为加密货币存储提供了更安全、灵活的新选择。

    2025年8月20日
    15200

联系我们

400-800-8888

在线咨询: QQ交谈

邮件:admin@example.com

工作时间:周一至周五,9:30-18:30,节假日休息

风险提示:防范以"数字货币""区块链"名义进行非法集资的风险