Ethereum Foundation เปิดตัวมาตรฐาน Clear Signing ปิดช่องโหว่ blind signing

เมื่อวันที่ 12 พ.ค. 2569 ตามรายงานจาก CoinDesk กลุ่มทำงาน Ethereum ซึ่งประกอบด้วยนักพัฒนา Wallet บริษัทด้านความปลอดภัย และ Ethereum Foundation ผ่านโครงการ Trillion Dollar Security Initiative ได้เปิดตัวมาตรฐานเปิด (open standard) ชื่อว่า “Clear Signing” อย่างเป็นทางการ มาตรฐานนี้ถูกออกแบบมาเพื่อแก้ปัญหา “blind signing” หรือการที่ผู้ใช้กดอนุมัติธุรกรรมโดยไม่รู้ว่ากำลังยินยอมให้ทำอะไร ซึ่งเป็นช่องโหว่หลักที่ทำให้เกิดการสูญเสียเงินเป็นมูลค่ามหาศาลจากการโจมตีด้วยฟิชชิงและการดูด Wallet ตลอดหลายปีที่ผ่านมา หัวใจของมาตรฐานนี้คือแนวคิด “สิ่งที่คุณเห็น คือสิ่งที่คุณลงชื่อ” (WYSIWYS) ที่ทำให้ผู้ใช้เข้าใจได้ชัดเจนว่าธุรกรรมที่กำลังจะอนุมัตินั้นทำอะไรบ้าง

Clear Signing คืออะไร และทำงานอย่างไร

มาตรฐาน Clear Signing ประกอบด้วย 3 ส่วนหลัก ส่วนแรกคือ ERC-7730 ซึ่งเป็นรูปแบบ JSON descriptor สำหรับอธิบายฟังก์ชันของสัญญาอัจฉริยะ (smart contract) ในภาษาที่มนุษย์อ่านออก แทนที่จะแสดงแค่รหัสเลขฐานสิบหกที่ดูไม่รู้เรื่อง ส่วนที่สองคือ registry กลางที่เป็นกลาง ซึ่ง Ethereum Foundation ทำหน้าที่ดูแลในฐานะผู้ดูแลที่น่าเชื่อถือ และส่วนที่สามคือ ERC-8176 ซึ่งเป็นกรอบการรับรอง (attestation framework) ที่เปิดให้ผู้ตรวจสอบอิสระสามารถลงนามเข้ารหัสเพื่อยืนยันความถูกต้องของข้อมูลใน registry ได้ ทั้งสามส่วนนี้ทำงานร่วมกันเพื่อให้ Wallet แต่ละตัวสามารถแสดงข้อมูลที่ครบถ้วนและเชื่อถือได้ก่อนที่ผู้ใช้จะกดยืนยันธุรกรรมใด ๆ

ก่อนหน้านี้ ERC-7730 เคยถูกเสนอครั้งแรกในเดือน ก.พ. 2567 และมีการอัปเดตเป็น V2 ในเดือน เม.ย. 2569 โดยขยายการรองรับให้ครอบคลุม Wallet ประเภทซอฟต์แวร์ การใช้งานข้ามเชน และ confidential token primitives ซึ่งทำให้มาตรฐานนี้ครอบคลุมกรณีการใช้งานได้กว้างขึ้นมาก

ทำไมถึงสำคัญ บทเรียนจากเหตุการณ์จริง

ปัญหา blind signing ไม่ใช่เรื่องในทฤษฎี เหตุการณ์ใหญ่ที่เกิดขึ้นจากช่องโหว่นี้ได้แก่ การเจาะระบบ Bybit ในเดือน ก.พ. 2568 ที่สูญเสียเงินกว่า 1.5 พันล้านดอลลาร์ และเหตุการณ์ WazirX ที่สูญเสียไปประมาณ 235 ล้านดอลลาร์ ทั้งสองเหตุการณ์นี้มีส่วนเกี่ยวข้องกับการที่ผู้ใช้หรือผู้ดูแลระบบอนุมัติธุรกรรมอันตรายโดยไม่รู้ตัว อย่างไรก็ตาม ต้องยอมรับว่าสถานการณ์มีการปรับตัวดีขึ้นในระดับหนึ่ง รายงานจากแพลตฟอร์มความปลอดภัย Web3 อย่าง Scam Sniffer เมื่อ ม.ค. 2569 ระบุว่าการสูญเสียจากฟิชชิงที่เกี่ยวกับ Wallet drainer ลดลงเหลือ 83.85 ล้านดอลลาร์ในปี 2568 ซึ่งลดลงถึง 83% จากเกือบ 494 ล้านดอลลาร์ในปี 2567 แต่ความสูญเสียที่ยังมีอยู่นั้นสะท้อนให้เห็นว่ายังจำเป็นต้องพัฒนาระบบป้องกันต่อไป

ก่อนหน้านี้ Siam Blockchain ได้รายงานว่า Ethereum Foundation ถอน Staking เหรียญ ETH มูลค่ากว่า $49.6 ล้าน เพื่อปรับสมดุลคลัง ซึ่งแสดงให้เห็นว่า Ethereum Foundation กำลังขยับเคลื่อนไหวหลายด้านพร้อมกัน ทั้งในเรื่องการเงินและความปลอดภัยของระบบนิเวศ

ความท้าทายที่ยังรออยู่ข้างหน้า

การเปิดตัวมาตรฐานเป็นแค่จุดเริ่มต้น ความสำเร็จที่แท้จริงขึ้นอยู่กับว่านักพัฒนา Wallet และแอปพลิเคชัน DeFi จะนำ ERC-7730 และ ERC-8176 ไปใช้งานจริงมากแค่ไหนและเร็วแค่ไหน ยังไม่มีข้อมูลที่ชัดเจนเกี่ยวกับตารางเวลาการนำไปใช้งาน หรือว่าผู้ใช้จะเห็นการเปลี่ยนแปลงในหน้าต่างอนุมัติธุรกรรมเมื่อใด นอกจากนี้ยังต้องจับตาว่า registry กลางจะมีการกำกับดูแลอย่างไร และกระบวนการตรวจสอบภายใต้ ERC-8176 จะมีประสิทธิภาพเพียงพอที่จะป้องกันข้อมูลที่ไม่ถูกต้องหรือถูกปลอมแปลงได้หรือไม่

ส่วนตัวผู้เขียนมองว่านี่เป็นก้าวที่ถูกทิศทางอย่างมาก ปัญหา blind signing เป็นเรื่องที่คนในวงการรู้กันมานานแต่ไม่เคยมีมาตรฐานกลางที่ทุก Wallet จะใช้ร่วมกันได้ การที่ Ethereum Foundation เข้ามาเป็นผู้ดูแล registry อย่างเป็นกลางถือว่าสำคัญมาก เพราะถ้าเป็นบริษัทเอกชนรายใดรายหนึ่งคงมีคำถามเรื่องผลประโยชน์ทับซ้อน สิ่งที่อยากเห็นต่อไปคือ Wallet ยอดนิยมอย่าง MetaMask หรือ Ledger ประกาศว่าจะรองรับมาตรฐานนี้เมื่อใด เพราะถ้าไม่มีคนใช้งานจริง มาตรฐานที่ดีแค่ไหนก็ไม่มีความหมาย

ที่มา: CoinDesk

ภาพจาก AI