Viết bởi: Mundus Security Biên soạn bởi: Deep Tide TechFlow
EIP-6963 được đề xuất gần đây nhằm mục đích giải quyết các vấn đề xung đột phát sinh khi người dùng cố gắng sử dụng nhiều nhà cung cấp ví trong một trình duyệt web. Trong trường hợp này, các sự cố xung đột này có thể dẫn đến trải nghiệm người dùng bị suy giảm, cản trở người dùng kiểm soát giao diện Ethereum của họ và làm phức tạp quá trình tương tác với dApps.
Giới thiệu vấn đề
Hiện tại, các nhà cung cấp ví cung cấp tiện ích mở rộng trình duyệt phải đưa nhà cung cấp ethereum của họ (theo tiêu chuẩn EIP-1193) vào đối tượng ethereum của trình duyệt. Cơ chế này tạo ra sự cố cho người dùng đã cài đặt nhiều tiện ích mở rộng trình duyệt. Tiện ích mở rộng trình duyệt được tải vào các trang web theo thứ tự không thể đoán trước và thất thường, khiến người dùng không thể chọn ví Ethereum của riêng họ trong đối tượng ethereum. Thông thường, ví cuối cùng để tải là ví bật lên trên trang kiểm soát.
EIP-6963: Giải pháp đề xuất
Để giải quyết vấn đề này, EIP-6963 đề xuất một cơ chế hiện có để thay thế nhà cung cấp EIP-1193 của ethereum. Đề xuất giới thiệu một tập hợp các sự kiện cửa sổ để kích hoạt giao thức giao tiếp hai chiều giữa các thư viện Ethereum và các tập lệnh được đưa vào do tiện ích mở rộng trình duyệt cung cấp. Giải pháp này tối ưu hóa khả năng tương tác giữa nhiều nhà cung cấp ví, giảm rào cản gia nhập cho các nhà cung cấp ví mới và cải thiện trải nghiệm người dùng trên mạng Ethereum.
Đề xuất phác thảo một giao diện thông tin nhà cung cấp được tiêu chuẩn hóa (EIP6963ProviderInfo), điều cần thiết để đưa vào cửa sổ bật lên lựa chọn ví. Nó cũng nhấn mạnh tầm quan trọng của việc khai báo giao diện nhà cung cấp (EIP6963ProviderDetail), giao diện nhà cung cấp EIP-1193 không thay đổi để tương thích ngược.
Các thuộc tính chính trong giao diện thông tin nhà cung cấp bao gồm:
walletId: Số nhận dạng duy nhất trên toàn cầu của nhà cung cấp ví (ví dụ: io.dopewallet.extension hoặc awesomewallet).
**uuid: **Số nhận dạng duy nhất cục bộ tương thích với UUID v4.0 dành cho nhà cung cấp ví.
name: Tên mà con người có thể đọc được của nhà cung cấp ví (ví dụ: DopeWalletExtension hoặc Awesome).
icon: Một URI trỏ tới một hình ảnh phải là hình vuông có độ phân giải tối thiểu là 96x96px. PNG và WebP hoặc các định dạng hình ảnh vector như SVG được khuyến nghị. Nhóm đề xuất hoàn toàn không khuyến khích việc sử dụng các định dạng mất dữ liệu như JPG/JPEG.
Về các sự kiện kích hoạt, cả thư viện Ethereum và nhà cung cấp ví đều sử dụng hàm ClarkEvent để phát ra các sự kiện và addEventListener để quan sát các sự kiện. Khi thư viện Ethereum khởi chạy, nó sẽ phát ra sự kiện "eip6963:requestProvider" và nhà cung cấp ví phát ra sự kiện "eip6963:announceProvider", cùng với thông tin chi tiết về giao diện và thông tin của nhà cung cấp.
Tác động của EIP-6963
Theo ước tính khả quan, việc chấp nhận và triển khai EIP-6963 có thể mất khoảng ba đến sáu tháng. Sự phát triển này có thể dẫn đến một câu chuyện ví mới vào cuối năm nay, có khả năng phá vỡ quyền bá chủ của các nhà cung cấp ví hàng đầu như Metamask và tạo ra một môi trường cạnh tranh hơn giữa các nhà cung cấp.
Các ví như Coin98, Coinbase Wallet, Trust Wallet, Phantom, Taho, Rabby, Frame, XDEFI, Rainbow, Zerion, Spot, Frontier, MEW, Dawn Wallet, Blockwallet, Bitski, SafePal, BitKeep và MathWallet sẵn sàng hưởng lợi từ điều này phát triển .
ưu và nhược điểm:
EIP-6963 đặt ra một số vấn đề bảo mật cần xem xét.
lợi thế:
KHÔNG CÓ MỘT ĐIỂM LỖI NÀO: Bằng cách cho phép nhiều nhà cung cấp ví, chúng tôi đã loại bỏ vấn đề về một điểm thất bại duy nhất. Điều này có lợi về mặt bảo mật, vì điều đó có nghĩa là nếu một nhà cung cấp ví bị tấn công hoặc lỗi kỹ thuật, người dùng sẽ có sẵn các lựa chọn thay thế.
Giảm sự phụ thuộc vào một nhà cung cấp duy nhất: Hiện tại, cộng đồng Ethereum phụ thuộc rất nhiều vào một nhà cung cấp, MetaMask. Điều này tiềm ẩn rủi ro vì nếu MetaMask bị xâm phạm, hầu hết người dùng Ethereum sẽ bị ảnh hưởng. Bằng cách hỗ trợ nhiều ví, EIP-6963 phân tán rủi ro.
Kiểm soát người dùng nâng cao: Khả năng chọn nhiều nhà cung cấp ví cho phép người dùng kiểm soát bảo mật tốt hơn. Người dùng có thể chọn nhà cung cấp ví phù hợp với tùy chọn bảo mật cá nhân và mức độ tin cậy của họ.
sự thiếu sót:
** Tăng bề mặt tấn công: ** Triển khai EIP-6963 tăng bề mặt tấn công. Điều này là do số lượng nhà cung cấp ví có thể bị tấn công bởi các tác nhân độc hại ngày càng tăng. Mọi nhà cung cấp ví phải tuân thủ các tiêu chuẩn bảo mật cao để giảm thiểu rủi ro này.
**Rủi ro tiềm ẩn khi sử dụng hình ảnh SVG: **EIP-6963 đề xuất sử dụng hình ảnh SVG làm biểu tượng cho các nhà cung cấp ví. Tuy nhiên, hình ảnh SVG có thể chứa mã Java, điều này có thể gây ra rủi ro về tập lệnh chéo trang (XSS). Mặc dù EIP chỉ định rằng hình ảnh SVG phải được hiển thị bằng cách sử dụng thẻ để ngăn chặn việc thực thi Java, đề xuất này chỉ có thể được xác minh bởi các bên thứ ba hoặc kiểm tra viên của từng triển khai.
Tác động của việc thay thế ethereum: Mặc dù EIP không trực tiếp phá vỡ các ứng dụng hiện có bằng cách thay thế ethereum, nhưng EIP khuyên bạn nên làm như vậy sau khi người dùng chọn ví. Đề xuất này chỉ có thể được xác minh trong mỗi lần triển khai bởi bên thứ ba hoặc kiểm toán viên.
Tóm lại là
EIP-6963 nhằm mục đích nâng cao khả năng tương tác giữa nhiều nhà cung cấp ví, hạ thấp rào cản gia nhập đối với các nhà cung cấp mới và cải thiện trải nghiệm người dùng trên mạng Ethereum. Đồng thời, tác động đến an ninh là phức tạp.
Người dùng, nhà cung cấp ví và nhà phát triển thư viện Ethereum phải tuân thủ các phương pháp hay nhất để đảm bảo hệ sinh thái Ethereum luôn an toàn.
Bằng cách thực hiện đề xuất này, hệ sinh thái Ethereum có thể phát triển hướng tới một môi trường cạnh tranh và thân thiện với người dùng hơn, mang lại lợi ích cho cả nhà cung cấp ví và người dùng của họ.
Xem bản gốc
Nội dung chỉ mang tính chất tham khảo, không phải là lời chào mời hay đề nghị. Không cung cấp tư vấn về đầu tư, thuế hoặc pháp lý. Xem Tuyên bố miễn trừ trách nhiệm để biết thêm thông tin về rủi ro.
Phân tích giải quyết xung đột đa ví EIP-6963
Viết bởi: Mundus Security Biên soạn bởi: Deep Tide TechFlow
EIP-6963 được đề xuất gần đây nhằm mục đích giải quyết các vấn đề xung đột phát sinh khi người dùng cố gắng sử dụng nhiều nhà cung cấp ví trong một trình duyệt web. Trong trường hợp này, các sự cố xung đột này có thể dẫn đến trải nghiệm người dùng bị suy giảm, cản trở người dùng kiểm soát giao diện Ethereum của họ và làm phức tạp quá trình tương tác với dApps.
Giới thiệu vấn đề
Hiện tại, các nhà cung cấp ví cung cấp tiện ích mở rộng trình duyệt phải đưa nhà cung cấp ethereum của họ (theo tiêu chuẩn EIP-1193) vào đối tượng ethereum của trình duyệt. Cơ chế này tạo ra sự cố cho người dùng đã cài đặt nhiều tiện ích mở rộng trình duyệt. Tiện ích mở rộng trình duyệt được tải vào các trang web theo thứ tự không thể đoán trước và thất thường, khiến người dùng không thể chọn ví Ethereum của riêng họ trong đối tượng ethereum. Thông thường, ví cuối cùng để tải là ví bật lên trên trang kiểm soát.
EIP-6963: Giải pháp đề xuất
Để giải quyết vấn đề này, EIP-6963 đề xuất một cơ chế hiện có để thay thế nhà cung cấp EIP-1193 của ethereum. Đề xuất giới thiệu một tập hợp các sự kiện cửa sổ để kích hoạt giao thức giao tiếp hai chiều giữa các thư viện Ethereum và các tập lệnh được đưa vào do tiện ích mở rộng trình duyệt cung cấp. Giải pháp này tối ưu hóa khả năng tương tác giữa nhiều nhà cung cấp ví, giảm rào cản gia nhập cho các nhà cung cấp ví mới và cải thiện trải nghiệm người dùng trên mạng Ethereum.
Đề xuất phác thảo một giao diện thông tin nhà cung cấp được tiêu chuẩn hóa (EIP6963ProviderInfo), điều cần thiết để đưa vào cửa sổ bật lên lựa chọn ví. Nó cũng nhấn mạnh tầm quan trọng của việc khai báo giao diện nhà cung cấp (EIP6963ProviderDetail), giao diện nhà cung cấp EIP-1193 không thay đổi để tương thích ngược.
Các thuộc tính chính trong giao diện thông tin nhà cung cấp bao gồm:
Về các sự kiện kích hoạt, cả thư viện Ethereum và nhà cung cấp ví đều sử dụng hàm ClarkEvent để phát ra các sự kiện và addEventListener để quan sát các sự kiện. Khi thư viện Ethereum khởi chạy, nó sẽ phát ra sự kiện "eip6963:requestProvider" và nhà cung cấp ví phát ra sự kiện "eip6963:announceProvider", cùng với thông tin chi tiết về giao diện và thông tin của nhà cung cấp.
Tác động của EIP-6963
Theo ước tính khả quan, việc chấp nhận và triển khai EIP-6963 có thể mất khoảng ba đến sáu tháng. Sự phát triển này có thể dẫn đến một câu chuyện ví mới vào cuối năm nay, có khả năng phá vỡ quyền bá chủ của các nhà cung cấp ví hàng đầu như Metamask và tạo ra một môi trường cạnh tranh hơn giữa các nhà cung cấp.
Các ví như Coin98, Coinbase Wallet, Trust Wallet, Phantom, Taho, Rabby, Frame, XDEFI, Rainbow, Zerion, Spot, Frontier, MEW, Dawn Wallet, Blockwallet, Bitski, SafePal, BitKeep và MathWallet sẵn sàng hưởng lợi từ điều này phát triển .
ưu và nhược điểm:
EIP-6963 đặt ra một số vấn đề bảo mật cần xem xét.
lợi thế:
sự thiếu sót:
Tóm lại là
EIP-6963 nhằm mục đích nâng cao khả năng tương tác giữa nhiều nhà cung cấp ví, hạ thấp rào cản gia nhập đối với các nhà cung cấp mới và cải thiện trải nghiệm người dùng trên mạng Ethereum. Đồng thời, tác động đến an ninh là phức tạp.
Người dùng, nhà cung cấp ví và nhà phát triển thư viện Ethereum phải tuân thủ các phương pháp hay nhất để đảm bảo hệ sinh thái Ethereum luôn an toàn.
Bằng cách thực hiện đề xuất này, hệ sinh thái Ethereum có thể phát triển hướng tới một môi trường cạnh tranh và thân thiện với người dùng hơn, mang lại lợi ích cho cả nhà cung cấp ví và người dùng của họ.