Ethereum Foundation ประกาศรองรับมาตรฐาน Clear Signing ปิดช่องโหว่ "Blind Signing" ต้นเหตุแฮก Bybit สูญ 1.4 พันล้านดอลลาร์
Ethereum Foundation (องค์กรไม่แสวงผลกำไรผู้ดูแลระบบนิเวศ Ethereum) ประกาศเปิดตัว Public Registry และรับรองมาตรฐานเปิด ERC-7730 เพื่อรองรับ Clear Signing อย่างเป็นทางการ โดยมีเป้าหมายยุติการ Blind Signing ที่เคยเป็นช่องโหว่สำคัญในการโจมตีทางไซเบอร์ เช่น กรณีแฮก Bybit มูลค่า 1.4 พันล้านดอลลาร์ (ราว 4.8 หมื่นล้านบาท) การเปลี่ยนแปลงครั้งนี้จะทำให้ผู้ใช้ทุกคนเห็นคำอธิบายธุรกรรมแบบ "ภาษามนุษย์" ก่อนกดยืนยันทุกครั้ง
🔐 Blind Signing คืออะไร และทำไมถึงอันตราย?
ปัญหาที่ผู้ใช้คริปโตเผชิญมาตลอดหลายปีคือ เวลาอนุมัติธุรกรรมบน Blockchain ส่วนใหญ่ Wallet จะแสดงข้อมูลดิบในรูปแบบ Hexadecimal (รหัสตัวเลข-ตัวอักษรที่ไม่มีความหมายสำหรับคนทั่วไป) นั่นคือสิ่งที่เรียกว่า Blind Signing — การ "เซ็นชื่อโดยไม่รู้ว่ากำลังทำอะไร"
ช่องโหว่นี้กลายเป็นเครื่องมือสำคัญของแฮกเกอร์ เพราะผู้ใช้ไม่สามารถแยกแยะได้ว่าธุรกรรมที่กำลังอนุมัตินั้นถูกต้องหรือเป็นอันตราย กรณีที่โด่งดังที่สุดคือการที่ Lazarus Group (กลุ่มแฮกเกอร์ที่เชื่อมโยงกับเกาหลีเหนือ) ใช้เทคนิคหลอกให้ Bybit Blind Sign ธุรกรรมอันตราย ส่งผลให้สูญเงินกว่า 1.4 พันล้านดอลลาร์ (ราว 4.8 หมื่นล้านบาท) เมื่อต้นปีที่ผ่านมา
🌐 Clear Signing คืออะไร และ EF ประกาศอะไรบ้าง?
Clear Signing คือแนวทางที่ทำให้ Wallet แสดงคำอธิบายธุรกรรมในภาษาที่มนุษย์อ่านเข้าใจได้ แทนที่จะเป็นรหัสดิบ เช่น แทนที่จะเห็น 0x23b872dd0000... ผู้ใช้จะเห็นข้อความว่า "คุณกำลังแลก 100 USDC เป็น 0.05 ETH บน Uniswap" หลักการนี้มีชื่อเรียกว่า WYSIWYS — What You See Is What You Sign (สิ่งที่คุณเห็นคือสิ่งที่คุณเซ็น)
เมื่อวันอังคารที่ผ่านมา Ethereum Foundation ได้ประกาศมาตรการสำคัญ 3 ประการ ได้แก่:
1. รับรองมาตรฐาน ERC-7730 (Ethereum Request for Comments หมายเลข 7730 — มาตรฐานเปิดสำหรับการอธิบายธุรกรรมในรูปแบบที่มนุษย์อ่านได้) ที่ Ledger (บริษัทผู้ผลิต Hardware Wallet ชั้นนำ) เป็นผู้เสนอครั้งแรกในปี 2024 ให้เป็นรูปแบบมาตรฐานกลางของระบบนิเวศ Ethereum
2. เปิด Public Registry ที่ clearsigning.org เป็นฐานข้อมูลสาธารณะที่นักพัฒนาสามารถส่ง Contract Descriptor (ไฟล์อธิบายว่า Smart Contract แต่ละตัวทำอะไร) เข้ามาให้ผู้เชี่ยวชาญด้านความปลอดภัยอิสระตรวจสอบและรับรอง จากนั้น Wallet ต่างๆ จะดึงข้อมูลเหล่านี้ไปแสดงให้ผู้ใช้
3. โฮสต์ Tooling Libraries เพื่อช่วยให้นักพัฒนาและ Wallet สามารถรองรับ Clear Signing ได้ง่ายขึ้น รวมถึงไลบรารีสำหรับภาษา Rust และ TypeScript ที่ได้รับทุนจากโครงการ Trillion Dollar Security
จุดเด่นของโซลูชันนี้คือ Descriptor อยู่แบบ Off-chain (นอก Blockchain) จึงสามารถนำไปใช้กับ Smart Contract ที่มีอยู่แล้วในปัจจุบันได้ โดยไม่ต้องอัปเกรดสัญญาอัจฉริยะ
🤝 ใครร่วมสนับสนุนโครงการนี้บ้าง?
EF ระบุว่าโครงการ Clear Signing ได้รับการสนับสนุนจากบริษัทและโครงการชั้นนำในวงการ ได้แก่ MetaMask, WalletConnect, Fireblocks, Trezor, Keycard, ZKnox, Sourcify, Cyfrin, Zama, Argot รวมถึงนักพัฒนาอิสระจากทั่วระบบนิเวศ
นอกจากนี้ Tomáš Sušánka CTO ของ Trezor ให้ความเห็นว่า มาตรฐานนี้แก้ปัญหาช่องโหว่พื้นฐานที่ทรมานผู้ใช้คริปโตมาหลายปี และเรียกร้องให้ Wallet ทุกรายนำมาใช้
📋 ภาพรวมความพยายามด้านความปลอดภัยของ EF
การประกาศครั้งนี้เป็นส่วนหนึ่งของแผน Trillion Dollar Security (1TS) ที่ EF ริเริ่มขึ้นเมื่อปีที่แล้ว มีเป้าหมายทำให้ Ethereum รองรับผู้ใช้หลายพันล้านคนและสินทรัพย์มูลค่าหลายล้านล้านดอลลาร์ได้อย่างปลอดภัย โดยล่าสุด EF ยังได้จัดสรรเงินอุดหนุน 1 ล้านดอลลาร์ (ราว 34 ล้านบาท) เพื่อช่วยครอบคลุมค่าใช้จ่ายในการ Audit Smart Contract และวิจัยโซลูชัน Post-Quantum (การเข้ารหัสที่รับมือกับคอมพิวเตอร์ควอนตัมในอนาคต)
ในวันจันทร์ก่อนหน้า EF ยังประกาศปรับโครงสร้างทีม Protocol โดยมี Barnabé Monnot, Tim Beiko และ Alex Stokes ลาออกจากตำแหน่งผู้นำ และแต่งตั้ง Will Corcoran, Kev Wedderburn และ Fredrik ขึ้นมาเป็น Co-lead แทน
📎 ข่าวที่เกี่ยวข้องจาก Bitcoinaddict.com เหตุการณ์นี้สืบเนื่องจากที่เราเคยรายงานไว้ก่อนหน้านี้ เกี่ยวกับการแฮก Bybit ด้วยการหลอกให้ Blind Sign ธุรกรรมอันตราย
👉 Ethena Labs ยืนยัน! เหรียญ USDe ยังมั่นคง-ทุนสำรองเพียงพอ แม้ Bybit ถูกแฮ็ก
🔗 อ้างอิงต้นฉบับ: The Block / Ethereum Foundation Blog
💬 ความเห็นบรรณาธิการ Bitcoinaddict ถ้า Clear Signing กลายเป็นมาตรฐานจริงทั้งวงการ นี่อาจเป็นก้าวสำคัญที่สุดครั้งหนึ่งด้านความปลอดภัย Crypto ในรอบหลายปี เพราะช่องโหว่ Blind Signing ไม่ใช่ปัญหาเทคนิค — แต่เป็นปัญหา UX ที่ทำให้แม้แต่องค์กรระดับ Exchange อย่าง Bybit ยังตกเป็นเหยื่อได้ การที่ EF เดินหน้าผลักดันมาตรฐานกลางและเปิด Registry สาธารณะแบบนี้ แสดงให้เห็นว่าระบบนิเวศ Ethereum กำลังให้ความสำคัญกับ "ด่านสุดท้าย" ระหว่างผู้ใช้กับ Blockchain อย่างจริงจัง น่าจับตาดูว่า Wallet รายใหญ่อย่าง MetaMask จะ Roll out ฟีเจอร์นี้ให้ผู้ใช้จริงได้เมื่อใด
Tags / คีย์เวิร์ด SEO: Clear Signing, Ethereum Foundation, ERC-7730, Blind Signing, ความปลอดภัยคริปโต, Trillion Dollar Security, Wallet Security, Bybit hack
— รายงานโดยทีมข่าว Bitcoinaddict.com