以太坊万亿美元安全计划 - 第二阶段

自从宣布 以来，我们已经对生态系统进行了调查，以了解以太坊堆栈和社区每一层中哪些改进是最重要的。

现在是开始这项计划的下一阶段的时候了：采取行动解决我们面临的最重要问题。

对于第一波行动，我们将主要关注 UX 问题。我们的研究表明，这些是以太坊和基于以太坊的应用程序的个人和机构用户面临的最紧迫的问题。

在第一波行动中，我们将启动一系列针对 UX 安全关键领域的工作。我们今天开始的工作是高杠杆短期行动和长期项目的结合，我们预计这些项目将持续多年。我们计划定期启动新的项目，随着时间的推移解决不同的优先安全领域。随着这些项目在未来几周和几个月内获得动力，我们将把注意力转移到针对其他领域的下一波优先级。

与往常一样，我们渴望支持和协作其他致力于进一步提高以太坊安全性，并为数十亿用户和万亿美元链上资本提供更安全以太坊的人。请通过 联系我们。

1. 协调以太坊钱包和 的“最低安全标准”

对于以太坊的所有用户来说，Wallet UX 是安全的起点。如果用户无法安全地管理密钥、签署交易以及与链上应用程序交互，那么他们就无法安全地使用以太坊。

我们认为，以太坊生态系统应该开发并采用钱包的最低安全标准，该标准可以作为可信赖且合法的参考点，用于判断哪些钱包对于以太坊的普通用户来说是安全的。我们认为该标准应要求以下功能：

• 透明交易
• 抗攻击界面
• 支持隐私的架构
• 钱包行为标准，例如批准管理、密钥处理、前端验证
• + 更多

我们受到 L2BEAT 在教育用户和使 L2 的安全性和去中心化特性对生态系统透明化方面取得的成功的启发。

我们认为，钱包的最低安全标准可以帮助解决这个问题的两个不同方面。首先，让普通用户能够可靠地选择仅符合此标准的钱包，这意味着更多的以太坊用户将能够访问安全链上体验所需的功能。为了有效地做到这一点，该标准必须是一个非常高的标准，并且必须随着生态系统开发新的安全功能或发现新的威胁而定期提高。其次，该标准将鼓励钱包团队优先考虑重要功能以保持合规性。

为了帮助开发和推广这样的标准，我们很高兴能够向 提供 ，他们一直在朝着类似的目标努力。Walletbeat 既是此社区标准的贡献者，也是一个可以帮助衡量钱包是否符合标准并使信息易于用户访问的组织。

请继续关注有关此标准工作的更多信息以及如何做出贡献。

2. 解锁“技术树”以解决盲签问题

UX 安全面临的最重要问题之一是盲签。通常，用户需要签署交易，但无法理解这些交易将做什么。

通过与生态系统顾问和我们的管理者的讨论，我们发现了一些可以帮助解锁“技术树”的方法，这将使更多钱包能够部署功能来解决此问题。

解锁交易解码

解决盲签问题的一种方法是让钱包解码原始交易数据，并将其转换为人类可读的交易描述。用户看到的不是一长串代码，而是诸如“将 1,000 个 ABC 代币转账到接收者 0x123”之类的信息。

钱包团队面临的一个挑战是，这种功能需要一个全面的函数签名数据集，这需要访问经过验证的合约数据库，其中许多合约是闭源的，并且需要昂贵的许可才能使用。

在过去的几年里， 一直在默默地致力于解决这个问题，今天已经建立了一个包含超过八百万个合约的数据库。通过我们的研究，我们清楚地看到许多团队没有意识到 VERA 提供的资源，在接下来的几周和几个月里，我们将推广他们的工作，以确保钱包团队了解这些开源资源，并探索其他方法来最大化其工作的影响。

其次，我们正在开始一些研发项目，我们认为这些项目可能会解锁钱包中实现交易透明性的新方法。

• 鼓励应用程序向其合约添加代码的标准，这将使钱包更容易解释交易。
• 重新审视过去提出的解决此问题的提案，但当时生态系统并未优先考虑这些提案，例如 ERC 4430、EIP 7730、EIP 719，并探索如何继续 的工作。

钱包甚至可以更进一步，在 EVM 环境中针对以太坊的当前状态实际模拟交易结果。然后，此模拟将返回一条消息，例如“此 X 将导致你将 1 ETH 从 X 发送到 Y，并从集合 Y 接收 1 个 NFT。”

如果钱包可以可靠地对用户正在交互的合约的信任级别进行分类，这将进一步解决此问题。

一些钱包目前提供这些功能，但我们希望使更多钱包更容易做到这一点，并使所有交易模拟功能都可靠且高质量。

我们还启动了多个研发项目，以探索协议内改进（例如选择加入交易断言和其他安全功能）是否会进一步提高用户的安全性。

3. 让开发人员更容易避免部署易受攻击的代码

我们认为，拥有一个智能合约漏洞的开源数据库，可以作为 IDE 和其他开发人员工具的参考，可以帮助减少受损合约。这些工具可以在将代码部署到链上之前，根据开源数据库扫描预部署的合约，从而使开发人员在部署应用程序之前更容易检测到其中的漏洞。

虽然不是严格意义上的 UX 项目，但我们认为这是一项高杠杆的行动，EF 在协调广泛使用的数据库方面处于独特的地位，我们邀请任何想要提供帮助的人，例如审计竞赛平台、审计员、白帽或其他人士，来帮助贡献他们的发现。

一旦我们有了一个大规模的开源数据库，下一步就是提倡工具开发人员构建利用此数据库的功能。

以下是生态系统可以提供帮助的地方：

超级简单的非技术钱包

在我们的调查阶段，一个非常常见的反馈是，现有的钱包是针对技术人群的。对于全球范围内的非技术用户来说，似乎对钱包的需求量很大，这些钱包通过构建保护措施来实际确保安全环境，这些保护措施仍然允许用户拥有链上体验。调查受访者提到了诸如向朋友和企业轻松交易（无需键入公钥）、轻松支付商品和服务、内置基本交换以及恢复钱包的能力等功能。如果你有关于如何解决这些问题的想法，请联系我们。

面向企业的钱包

企业提到了隐私、抗审查性（包括钱包用于与网络交互的外部服务）以及密钥管理的合规性要求的重要性。如果你有关于如何解决此问题的想法，请联系我们。

• 原文链接： blog.ethereum.org/2025/0...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～