Foundation lancia il nuovo standard Clear Signing per fermare l’approvazione di transazioni fraudolente in criptovalute

Ethereum Foundation e un gruppo di sviluppatori di wallet stanno introducendo un nuovo standard di sicurezza concepito per impedire che gli utenti firmino inconsapevolmente transazioni che trasferiscono i loro fondi, una vulnerabilità alla base di alcuni tra i più gravi furti e truffe nel settore crypto.

L’iniziativa, denominata Clear Signing, intende sostituire gli attuali blocchi di codice incomprensibili che gli utenti vedono quando approvano transazioni su Ethereum con descrizioni semplici e leggibili che spiegano esattamente a cosa si sta acconsentendo.

Il problema del “blind signing”

Negli ultimi anni numerosi attacchi di phishing e svuotamenti di portafogli si sono basati su una falla ricorrente: il cosiddetto blind signing. In pratica, gli utenti approvano transazioni riempite di dati tecnici illeggibili, spesso presentati come stringhe di codice, senza comprendere le conseguenze.

Di fronte a pagine che ricordano i termini di servizio scritti in una lingua tecnica, molti utenti si limitano a cliccare “approva”. Questo li espone a app false, link malevoli e siti compromessi che mascherano richieste per autorizzazioni pericolose.

Come funziona il nuovo standard

Il framework proposto si basa sullo standard tecnico ERC-7730 e su un registro pubblico dove le descrizioni delle transazioni possono essere verificate e consultate. I wallet potranno mostrare all’utente messaggi chiari su quali asset vengono spostati, chi li riceve e quali permessi vengono concessi prima che l’utente dia l’approvazione.

Il registro pubblico fungerà da fonte consultabile di descrizioni e sarà oggetto di revisione da parte di ricercatori di sicurezza indipendenti: in questo modo le informazioni mostrate agli utenti potranno essere controllate e ritenute attendibili dai fornitori di wallet.

Ruoli e governance

La Trillion Dollar Security Initiative ha dichiarato che supervisionerà l’infrastruttura del registro, promuovendo al contempo l’adozione dello standard tra sviluppatori e provider di wallet. L’obiettivo è creare un punto di riferimento neutrale che faciliti l’implementazione e la verifica delle descrizioni di transazione.

La proposta prevede che i wallet possano scegliere quali fonti fidate consultare tra quelle registrate, consentendo così un equilibrio tra decentralizzazione e affidabilità informativa per l’utente finale.

Implicazioni pratiche

Se adottato su larga scala, Clear Signing potrebbe ridurre drasticamente gli attacchi basati su approvazioni inconscie, rendendo più difficile per gli aggressori sfruttare utenti meno tecnici. La misura mira a spostare parte della sicurezza dall’assenza di bug del codice alla comprensibilità delle interazioni dell’utente con le applicazioni.

Restano questioni operative: la qualità e la responsabilità delle descrizioni nel registro, i criteri per stabilire quali fonti siano “fidate” e le modalità con cui i wallet presenteranno tali informazioni agli utenti. Anche l’interoperabilità tra diversi ecosistemi e client dovrà essere definita.

Reazioni del settore

Tomáš Sušánka, chief technology officer di Trezor, ha dichiarato:

“Accogliamo con favore lo standard Clear Signing della Ethereum Foundation come un avanzamento cruciale per la sicurezza dell’intero settore. Si affronta una vulnerabilità fondamentale che ha afflitto gli utenti per anni, il blind signing. Quando gli utenti non capiscono cosa stanno firmando, la sicurezza diventa molto più difficile. Questo standard cambia le regole del gioco e ogni fornitore di wallet dovrebbe adottarlo.”

Anche sviluppatori e operatori di servizi stanno valutando come integrare il registro nelle proprie interfacce, bilanciando la chiarezza per l’utente con la necessità di non introdurre nuove superfici di attacco attraverso descrizioni manipolabili.

Contesto e casi esemplari

Eventi recenti, come l’attacco al Bybit, sono citati come esempi di come il blind signing sia stato sfruttato per trasferire fondi senza che gli utenti comprendessero le autorizzazioni concesse. Questi episodi hanno spinto la comunità a ripensare le modalità di approvazione delle transazioni.

Parallelamente agli aspetti tecnici, il successo dipenderà anche da campagne di educazione degli utenti e da pratiche di interfaccia utente che riducano la frizione senza indebolire la sicurezza.

Prospettive e passi successivi

L’adozione formale dello standard richiederà test, revisioni di sicurezza indipendenti e l’integrazione nei client più usati. Se la community e i principali provider di wallet convergeranno, lo standard potrebbe diventare un punto di riferimento per le buone pratiche di firma delle transazioni su Ethereum e oltre.

Inoltre, iniziative di questo tipo possono influenzare anche i regolatori e gli investitori, mostrando che il settore è impegnato a ridurre i rischi per gli utenti al dettaglio e a migliorare la fiducia nei servizi decentralizzati.

In sintesi

• L’adozione di Clear Signing potrebbe ridurre la frequenza di furti dovuti a firme inconsapevoli, abbassando il rischio operativo per gli exchange e i portafogli e potenzialmente stabilizzando la fiducia degli utenti nel mercato crypto.
• Per gli investitori, una maggiore trasparenza nelle approvazioni può tradursi in minori perdite legate a frodi e in una valutazione del rischio più favorevole per progetti con solide pratiche di sicurezza.
• I fornitori di wallet che integreranno rapidamente lo standard potrebbero ottenere un vantaggio competitivo sul piano della reputazione, mentre la standardizzazione favorirà interoperabilità e indipendenza da soluzioni proprietarie.
• Il successo dipenderà tanto dalla governance del registro pubblico quanto dall’educazione degli utenti: senza controlli affidabili e interfacce chiare, persisteranno punti deboli sfruttabili dai malintenzionati.