Negli ultimi anni, la maggiore vulnerabilità dei wallet di criptovalute è rappresentata dalla firma cieca. Si tratta della pratica di approvare stringhe esadecimali grezze senza conoscerne il significato effettivo. Tuttavia, martedì la Ethereum Foundation ha annunciato ufficialmente che questo standard verrà gradualmente eliminato e sostituito con la firma trasparente, adottata da alcuni dei principali wallet e infrastrutture hardware che utilizzano Ethereum per la maggior parte degli utenti. Tra questi figurano nomi come Ledger, Trezor, MetaMask, WalletConnect, Fireblocks e Cyfrin. In pratica, ciò significa che gli utenti potranno visualizzare un riepilogo chiaro e comprensibile di ciò che una firma autorizza.
Il motivo di tutto ciò è semplice e si riduce ai recenti attacchi hacker di alto profilo avvenuti negli ultimi due anni. L'attacco hacker a Bybit, che ha causato la perdita di 1,5 miliardi di dollari e rimane il più grande attacco hacker nel settore delle criptovalute fino ad oggi, è avvenuto in parte perché i firmatari hanno approvato una transazione che non potevano effettivamente leggere. Allo stesso modo, nel luglio 2024, l'attacco hacker a WazirX, che ha visto il furto di circa 235 milioni di dollari dal portafoglio multi-firma dell'exchange di criptovalute indiano, si è svolto praticamente nello stesso modo. Secondo la Ethereum Foundation, la firma cieca è una falla strutturale nell'ecosistema da anni e ha contribuito a miliardi di dollari di perdite cumulative tra attacchi hacker, truffe di phishing e exploit di approvazione.
Cosa fa realmente Clear Signing
Le autorizzazioni e le firme presentano attualmente una specifica falla. Gli utenti che interagiscono con gli smart contract possono visualizzare dati accurati, ma si tratta solitamente di una sequenza di dati di basso livello, praticamente illeggibile per chiunque non abbia competenze di sviluppo o tecniche.
La firma trasparente ribalta completamente questo schema. I wallet che supportano il nuovo standard visualizzeranno un file descrittore che converte la funzione di un contratto in un testo leggibile, fornendone al contempo un riepilogo all'utente prima di firmare qualsiasi documento.
Le basi tecniche derivano da due proposte di miglioramento già esistenti. L'ERC-7730, proposto per la prima volta da Ledger nel 2024, definisce un formato aperto per la descrizione delle transazioni in JSON leggibile dall'uomo. L'ERC-8176 aggiunge poi un livello di attestazione, consentendo a revisori indipendenti di garantire crittograficamente che un descrittore corrisponda effettivamente a ciò che il contratto intende fare. I descrittori stessi risiedono off-chain in un registro neutrale su clearsigning.org, il che significa che i contratti esistenti possono adottare lo standard senza bisogno di alcuna ridistribuzione.
Una coalizione che arriva direttamente dove vivono gli utenti
Non si tratta di un lancio di un singolo wallet. L'elenco dei contributori comprende ogni componente dell'infrastruttura che oggi entra in contatto con gli utenti di Ethereum, con Ledger e Trezor per l'hardware, MetaMask e WalletConnect per il software, Fireblocks per la custodia istituzionale, Cyfrin per le verifiche e Sourcify e Argot per gli strumenti di supporto. Ledger ha originariamente sviluppato la firma in chiaro come funzionalità di sicurezza interna nel 2021, l'ha formalizzata come ERC-7730 nel 2024 e all'inizio di quest'anno ha ceduto la governance alla Fondazione specificamente per rendere lo standard credibilmente neutrale e non legato ad alcuna azienda.
Perché la tempistica coincide con i finanziamenti istituzionali
Anche la tempistica non è casuale. La Trillion Dollar Security Initiative della Fondazione, che ora gestisce il registro Clear Signing, è stata creata appositamente per preparare Ethereum al tipo di valore istituzionale che ora risiede direttamente sulla blockchain. Il coinvolgimento di Fireblocks nel progetto è particolarmente importante, poiché si tratta del fornitore di servizi di custodia che la maggior parte delle società finanziarie tradizionali utilizza quando inizia a operare nel settore delle criptovalute.
La firma cieca è sempre stata un livello di rischio tollerabile per gli utenti al dettaglio che movimentavano piccole somme. Per un gestore patrimoniale che movimenta importi considerevoli, tuttavia, è praticamente impraticabile, poiché non è possibile apporre una firma di conformità a una transazione che il team operativo non è in grado di esaminare.
Se stai leggendo questo, sei già un passo avanti. Rimani al passo con i tempi iscrivendoti alla nostra newsletter .