關鍵要點: 以太坊基金會正在處理「盲目批准」問題,該問題導致 Arbitrum 上發生 27 萬美元的攻擊事件,旨在修復加密貨幣領域最持久的安全漏洞之一。
關鍵要點: 以太坊基金會正在處理「盲目批准」問題,該問題導致 Arbitrum 上發生 27 萬美元的攻擊事件,旨在修復加密貨幣領域最持久的安全漏洞之一。

以太坊基金會於 7 月 14 日宣布一項「清晰簽署」(Clear Signing)計畫,旨在消除盲目批准(blind approvals)漏洞,該漏洞導致 Arbitrum 上的 Lumi Finance 協議遭竊 27 萬美元。
安全公司 Blockaid 在偵測到 Lumi Finance 事件後表示:「盲目簽署是絕大部分 DeFi 攻擊的根本原因。」該公司發現,攻擊者在 Sodium 智能帳戶系統的 UserOp 驗證過程中,利用惡意的 Paymaster 獲取代幣批准。
根據 Blockaid 的攻擊偵測系統,7 月 13 日在 Arbitrum 上偵測到的 Lumi Finance 攻擊事件,攻擊者透過受損的驗證程序從多個帳戶獲得批准,盜走約 27 萬美元。此事件凸顯出,用戶在未完全了解批准內容的情況下簽署交易,仍然是以太坊及其二層網路中一個關鍵的攻擊向量。
清晰簽署計畫旨在重新設計錢包與去中心化應用程式(dApp)向用戶展示交易資料的方式,要求提供人類可讀的批准提示,明確顯示正在授權的資產、數量及合約互動內容。若能廣泛採用,該計畫可望減少每年因釣魚及盲目簽署攻擊而損失的數億美元,同時迫使錢包供應商與 dApp 開發者全面改造其批准介面。
此計畫推出的同時,以太坊基金會正進行多年來最大規模的組織重組之一。數個團隊近期已被拆分為獨立實體,包括為銀行打造隱私基礎設施的營利性新創公司 EthSystems,以及專注於協議研究的非營利組織 EthLabs。清晰簽署計畫代表基金會對生態系統用戶體驗層進行更直接的干預。
盲目批准問題自 DeFi 早期以來便是一個已知的漏洞。用戶將錢包連接到 dApp 時,經常會看到不透明的批准提示,要求授予簽署權限,卻未清楚說明交易將執行何種操作。攻擊者利用此漏洞,在看似合法的批准請求中嵌入惡意合約互動。
Blockaid 對 Lumi Finance 事件的分析顯示,攻擊鏈始於 UserOp 驗證步驟中授予的代幣批准。隨後,惡意的 Paymaster 利用這些批准從多個帳戶轉移資金。Wu Blockchain 也報導了此事件,引用 Blockaid 的初步調查結果,指出 Sodium 智能帳戶為攻擊媒介。
清晰簽署標準將要求錢包介面在用戶簽署前解碼交易資料,並以通俗語言呈現。這與傳統金融領域的安全改進措施類似,即在授權前,付款確認畫面會顯示確切金額與交易對手。
本文僅供資訊參考,不構成投資建議。