什么是透明签名?
| 要点总结: |
| — 许多加密货币钱包无法将复杂交易的详情转换成人类可读的语言,这就造成了所谓的盲签名问题。 — 一直以来,盲签名都是数字资产生态系统中的巨大障碍,诈骗者利用这一点,从毫无戒备的客户手中骗取了数十亿美元。 — Ledger 对此的解决方案是透明签名,它能够将原本难以解读的智能合约数据转化为人类可读的内容,确保“所见即所签”。 |
保护加密货币的安全,要遵循这个简单原则:不要轻信,要核实。 十年来,Ledger 悦签宝一直是最受欢迎的硬件解决方案,其配备由安全元件直接驱动的安全屏幕,可离线存储私钥,并允许用户亲自核实交易。
尽管如此,自 Ledger 成立以来,数字资产的格局发生了重大变化。 随着去中心化金融和 NFT 等新用例的出现,交易的范围和复杂性也在不断发展。
但很可惜,大多数钱包界面无法为用户提供人类可读的交易信息, 进而导致大多数用户在不了解全部交易详情的情况下签署交易,这就是所谓的盲签名。 诈骗者利用这个严重漏洞,借助交易复杂性的掩护隐藏恶意合约,从毫无戒备的用户手中骗取了数十亿美元。
应对这种威胁的唯一方法是在整个行业执行透明签名标准,其实际操作比听起来更具挑战性。 但在深入探讨 Ledger 计划如何解决这个问题之前,我们先来了解一些基础知识。 我们先来解释一下什么是透明签名。
什么是透明签名?
透明签名正是为解决交易信息不可读(即盲签名)问题而诞生的。 实现透明签名需要满足两个条件。
- 清晰明确的交易意图。 交易意图应该显示您需要签署哪种类型的批准以及哪个去中心化应用程序在向您寻求批准。
- 人类可读的交易字段。 交易字段应该以您能理解的语言明确显示预期接收方(合约)以及您要发送哪些资产。
满足这两个条件,用户才能够清楚地了解自己在授予哪些批准,从而就交易是否可信做出更明智的决定。
使用透明签名的交易不会只向您显示一串字符(也称为哈希字符串),而是会让您在签署交易之前核对所有交易详情。
透明签名有什么作用?
透明签名至关重要,因为它能帮助您避免签署恶意交易。 让他人“盲签名”交易就如同让他们在空白支票上签名,风险极高。
许多常见的诈骗手段正是利用了这一点。 诈骗者会诱骗您签署看似简单的交易,但实则其中暗藏可掏空您钱包的恶意代码。 软件钱包运行在始终连接互联网的不安全设备上,因此极易受到攻击。
这类设备上的显示内容可能被恶意软件通过“中间人攻击”篡改,这意味着您永远无法 100% 确定在电脑或手机屏幕上看到的内容就是您实际签署的内容。 没有安全屏幕的硬件钱包也是如此。
这就是 Ledger 悦签宝的不同之处。 其安全屏幕处于离线状态,并由安全元件驱动,因此可有效避免篡改风险。 透明签名正是利用这个可信屏幕向您展示真实的交易详情,确保“所见即所签”。
透明签名的实际应用
Ledger Wallet:最安全的交易方式
Ledger Wallet 为您提供最安全、最顺畅的透明签名体验。 透明签名是 Ledger Wallet 所有原生流程的标准配置,包括发送和互换加密货币以及使用“赚取”服务(如质押)等核心操作。
这种安全机制同样适用于 Ledger Wallet 中“探索”版块提供的去中心化应用程序。 这些应用程序为直接集成,使其智能合约交互内容转化成人类可读的交易详情,显示在悦签宝的安全屏幕上。
Ledger Wallet 之外的透明签名:共同责任
当您离开 Ledger Wallet 的集成生态系统,与成千上万的现有去中心化应用程序交互时,透明签名就成为了一项共同责任。 也就是说,在 Ledger Wallet 之外能否实现透明签名取决于去中心化应用程序的开发者。
为了解决这个问题,Ledger 长期专注于推进和优化透明签名,从早期的插件到 2024 年启动透明签名倡议,积极推动透明签名在整个加密货币生态系统的普及。 在推进该倡议的过程中,Ledger 与其他行业领袖共同制定了开放标准 ERC-7730,该标准使用简单的 JSON 格式转换复杂的交易数据。
随后在 2025 年,Ledger 发布了通用解析器,这款插件可以读取并解析去中心化应用程序提交的 ERC-7730 元数据。 这种新方法消除了普及过程中的一大障碍:对去中心化应用程序专用自定义插件的需求。 如今,所有提供 ERC-7730 元数据的去中心化应用程序都可以实现交易自动透明签名,这是提升整个生态系统安全性的重要一步。
通过去中心化应用程序直连工具,将透明签名和交易检查引入生态系统
为了进一步提升安全性,Ledger 还推出了去中心化应用程序直连工具。 这项新功能消除了对软件钱包扩展程序和其他中介的需求,从而降低了网络钓鱼式诈骗和盲签名等重大安全风险。 只需点击一下,Ledger 悦签宝便可直接连接到合作去中心化应用程序,将透明签名和交易检查的全方位安全防护扩展到去中心化应用程序交互过程中。
当您看到交易哈希时:盲签名与高级验证
您在设备上看到交易哈希通常会有两种不同场景。 一种是高风险场景(盲签名),另一种是面向高级用户的可选验证步骤。
盲签名
有时,您可能需要与应用程序无法完全解析的全新或复杂智能合约进行交互。 在这类情况下,设备无法以清晰可读的格式显示交易详情。 此时,它会显示盲签名警告,仅展示原始的交易哈希。
出于安全考虑,盲签名默认处于禁用状态。 如果您确实必须继续盲签名,则需要手动启用该设置。 您可以在悦签宝上打开对应币种的应用程序(例如:以太坊 Ethereum),前往“Settings”(设置),然后手动启用“Blind Signing”(盲签名)。 系统会显示一条警告。 启用该功能即表示您已了解并接受完成该交易的风险。
盲签名安全检查表
请记住,签署一笔您读不懂的交易就像在一张空白支票上签字。 如果您确实必须进行盲签名,可以遵循以下几条安全建议,确保您的资金安全:
- 检查网址:务必 100% 确定您访问的是您要交互的应用程序的官方网站。 诈骗者通常会创建看似完全相同的虚假网站来实施盲签名诈骗。
- 仅使用信誉良好的去中心化应用程序:这是信誉良好的知名平台,还是来历不明的全新平台? 缺乏用户使用历史的去中心化应用程序,其风险远高于有安全保障的常用平台。
- 避免点击社交媒体私信中的链接:时刻保持警惕,不要轻信 Discord 或 X 等社交平台私信中的链接,尤其是陌生人发来的链接。 这是人们成为网络钓鱼式诈骗受害者的常见方式。
隔离您的资产:这是尽可能降低风险的最有效方法之一。 切勿使用存放重要长期资产的钱包来与智能合约进行交互。 而应专门使用另一个临时钱包(不同账户或悦签宝)进行去中心化应用程序交互。 只将某笔交易所需的资金转入该钱包,其余资金则安全存放在单独的钱包账户中。 这样一来,即使您在临时钱包上操作失误,您的重要资产仍然安全无虞。
高级验证
虽然透明签名对大多数用户来说已经足够,但部分高级用户可能仍需要增加一层额外验证。 例如,与复杂协议交互的用户可能希望借助第三方工具在 Ledger 悦签宝上验证交易哈希,作为更严格的额外验证步骤。
为了保持简洁的使用体验,以太坊 Ethereum 应用程序默认不会显示透明签名交易的交易哈希。 不过,通过应用程序的“交易哈希”设置,您可以选择始终显示交易哈希,为所有交易提供高级验证。
透明签名的未来发展
十年来,Ledger 一直走在数字资产安全的前沿。 我们运用综合全面的方法,集成硬件、软件、专有安全操作系统和安全屏幕,打造出一套用户友好的解决方案。 这使得 Ledger 用户能够离线生成并保护私钥,在数字化程度日益增加的世界中时刻安心无忧。虽然盲签名带来了严重威胁,但我们社区会采取有力措施加以防范。 借助 Ledger Wallet 内置的透明签名功能,以及去中心化应用程序直连将透明签名和交易检查扩展至第三方应用程序,加密货币生态系统正朝着更加安全可靠的方向迈进。
请在此处查阅我们关于 Ledger 安全触摸屏的文章。如果您已准备好掌控安全数字所有权,欢迎浏览全系列产品,找到最适合您的那一款。
