Написав: Mundus Security. Уклав: Deep Tide TechFlow
Нещодавно запропонований EIP-6963 спрямований на вирішення суперечливих проблем, які виникають, коли користувачі намагаються використовувати кілька постачальників гаманців в одному веб-браузері. У цьому випадку ці конфліктні проблеми можуть призвести до погіршення взаємодії з користувачем, перешкодити користувачам контролювати свій інтерфейс Ethereum і ускладнити процес взаємодії з dApps.
Вступ до проблеми
Наразі постачальники гаманців, які пропонують розширення для браузера, повинні вставити свого постачальника ethereum (відповідно до стандарту EIP-1193) в об’єкт ethereum браузера. Цей механізм створює проблему для користувачів, які встановили кілька розширень браузера. Розширення веб-переглядача завантажуються на веб-сторінки в непередбачуваному та нестабільному порядку, що робить неможливим для користувачів вибрати власний гаманець Ethereum в об’єкті Ethereum. Зазвичай останнім завантажується той гаманець, який відкриває сторінку керування.
EIP-6963: Пропоноване рішення
Щоб вирішити цю проблему, EIP-6963 пропонує існуючий механізм для заміни постачальника EIP-1193 Ethereum. Пропозиція вводить набір віконних подій, щоб увімкнути протокол двостороннього зв’язку між бібліотеками Ethereum і ін’єкційними скриптами, які надаються розширеннями браузера. Це рішення оптимізує взаємодію між кількома постачальниками гаманців, знижує бар’єр для входу для нових постачальників гаманців і покращує взаємодію з користувачами в мережі Ethereum.
Пропозиція описує стандартизований інтерфейс інформації про постачальника (EIP6963ProviderInfo), який є важливим для заповнення спливаючого вікна вибору гаманця. Це також підкреслює важливість оголошення інтерфейсу провайдера (EIP6963ProviderDetail), який залишає інтерфейс провайдера EIP-1193 незмінним для зворотної сумісності.
Основні властивості інформаційного інтерфейсу постачальника включають:
walletId: Глобальний унікальний ідентифікатор постачальника гаманця (наприклад, io.dopewallet.extension або awesomewallet).
**uuid: **UUID v4.0 сумісний локальний унікальний ідентифікатор для постачальника гаманця.
name: Зрозуміла назва постачальника гаманця (наприклад, DopeWalletExtension або Awesome).
значок: URI, що вказує на зображення, має бути квадратом із мінімальною роздільною здатністю 96x96 пікселів. Рекомендовано PNG і WebP або векторні формати зображень, наприклад SVG. Команда пропозицій настійно не рекомендує використовувати формати з втратою даних, такі як JPG/JPEG.
Що стосується ініціювання подій, бібліотека Ethereum і постачальник гаманця використовують функцію dispatchEvent для випромінювання подій і addEventListener для спостереження за подіями. Коли бібліотека Ethereum ініціалізується, вона видає подію "eip6963:requestProvider", а постачальник гаманця видає подію "eip6963:announceProvider", а також деталі інтерфейсу свого постачальника та інформацію.
Вплив EIP-6963
За оптимістичними оцінками, прийняття та впровадження EIP-6963 може зайняти близько трьох-шести місяців. Цей розвиток подій може призвести до нової історії гаманців до кінця року, потенційно порушивши гегемонію провідних постачальників гаманців, таких як Metamask, і створивши більш конкурентне середовище серед постачальників.
Такі гаманці, як Coin98, Coinbase Wallet, Trust Wallet, Phantom, Taho, Rabby, Frame, XDEFI, Rainbow, Zerion, Spot, Frontier, MEW, Dawn Wallet, Blockwallet, Bitski, SafePal, BitKeep і MathWallet, готові отримати вигоду від цього розвиток .
плюси і мінуси:
EIP-6963 піднімає деякі питання безпеки, які слід розглянути.
перевага:
БЕЗ ОДНОЇ ТОЧКИ ЗБОРУ: Дозволивши кілька постачальників гаманців, ми усунули проблему єдиної точки збою. Це вигідно з точки зору безпеки, оскільки це означає, що якщо один постачальник гаманця зазнає атаки або технічного збою, користувачі матимуть доступні альтернативи.
Зменште залежність від одного постачальника: Наразі спільнота Ethereum значною мірою покладається на одного постачальника, MetaMask. Це створює потенційний ризик, оскільки якщо MetaMask буде зламано, це вплине на більшість користувачів Ethereum. Завдяки підтримці кількох гаманців EIP-6963 поширює ризик.
Покращений контроль користувача: Можливість вибору кількох постачальників гаманців дає користувачам більший контроль над своєю безпекою. Користувачі можуть вибрати постачальника гаманця, який відповідає їхнім особистим уподобанням безпеки та рівню довіри.
недолік:
** Збільшена поверхня атаки: ** Впровадження EIP-6963 збільшує поверхню атаки. Це пов’язано зі збільшенням кількості постачальників гаманців, які можуть бути атаковані зловмисниками. Кожен постачальник гаманців повинен дотримуватися високих стандартів безпеки, щоб мінімізувати цей ризик.
**Потенційні ризики використання зображень SVG: **EIP-6963 пропонує використовувати зображення SVG як піктограми для постачальників гаманців. Однак зображення SVG можуть містити код Java, що може становити ризик міжсайтового сценарію (XSS). Хоча в EIP зазначено, що зображення SVG мають відтворюватися за допомогою тегів, щоб запобігти виконанню Java, ця рекомендація може бути перевірена лише третіми сторонами або аудиторами кожної реалізації.
Вплив заміни ethereum: Хоча EIP безпосередньо не порушує існуючі програми, замінюючи ethereum, пропонується робити це після того, як користувачі виберуть гаманець. Ця рекомендація може бути перевірена лише третьою стороною або аудитором у кожній реалізації.
на закінчення
EIP-6963 має на меті покращити взаємодію між кількома постачальниками гаманців, знизити бар’єри для входу нових постачальників і покращити взаємодію з користувачами в мережі Ethereum. У той же час вплив на безпеку є комплексним.
Користувачі, постачальники гаманців і розробники бібліотек Ethereum повинні дотримуватися найкращих практик, щоб забезпечити безпеку екосистеми Ethereum.
Реалізуючи цю пропозицію, екосистема Ethereum може розвиватися до більш зручного та конкурентного середовища, що принесе користь як постачальникам гаманців, так і їхнім користувачам.
Переглянути оригінал
Контент має виключно довідковий характер і не є запрошенням до участі або пропозицією. Інвестиційні, податкові чи юридичні консультації не надаються. Перегляньте Відмову від відповідальності , щоб дізнатися більше про ризики.
Аналіз розв’язання конфлікту кількох гаманців EIP-6963
Написав: Mundus Security. Уклав: Deep Tide TechFlow
Нещодавно запропонований EIP-6963 спрямований на вирішення суперечливих проблем, які виникають, коли користувачі намагаються використовувати кілька постачальників гаманців в одному веб-браузері. У цьому випадку ці конфліктні проблеми можуть призвести до погіршення взаємодії з користувачем, перешкодити користувачам контролювати свій інтерфейс Ethereum і ускладнити процес взаємодії з dApps.
Вступ до проблеми
Наразі постачальники гаманців, які пропонують розширення для браузера, повинні вставити свого постачальника ethereum (відповідно до стандарту EIP-1193) в об’єкт ethereum браузера. Цей механізм створює проблему для користувачів, які встановили кілька розширень браузера. Розширення веб-переглядача завантажуються на веб-сторінки в непередбачуваному та нестабільному порядку, що робить неможливим для користувачів вибрати власний гаманець Ethereum в об’єкті Ethereum. Зазвичай останнім завантажується той гаманець, який відкриває сторінку керування.
EIP-6963: Пропоноване рішення
Щоб вирішити цю проблему, EIP-6963 пропонує існуючий механізм для заміни постачальника EIP-1193 Ethereum. Пропозиція вводить набір віконних подій, щоб увімкнути протокол двостороннього зв’язку між бібліотеками Ethereum і ін’єкційними скриптами, які надаються розширеннями браузера. Це рішення оптимізує взаємодію між кількома постачальниками гаманців, знижує бар’єр для входу для нових постачальників гаманців і покращує взаємодію з користувачами в мережі Ethereum.
Пропозиція описує стандартизований інтерфейс інформації про постачальника (EIP6963ProviderInfo), який є важливим для заповнення спливаючого вікна вибору гаманця. Це також підкреслює важливість оголошення інтерфейсу провайдера (EIP6963ProviderDetail), який залишає інтерфейс провайдера EIP-1193 незмінним для зворотної сумісності.
Основні властивості інформаційного інтерфейсу постачальника включають:
Що стосується ініціювання подій, бібліотека Ethereum і постачальник гаманця використовують функцію dispatchEvent для випромінювання подій і addEventListener для спостереження за подіями. Коли бібліотека Ethereum ініціалізується, вона видає подію "eip6963:requestProvider", а постачальник гаманця видає подію "eip6963:announceProvider", а також деталі інтерфейсу свого постачальника та інформацію.
Вплив EIP-6963
За оптимістичними оцінками, прийняття та впровадження EIP-6963 може зайняти близько трьох-шести місяців. Цей розвиток подій може призвести до нової історії гаманців до кінця року, потенційно порушивши гегемонію провідних постачальників гаманців, таких як Metamask, і створивши більш конкурентне середовище серед постачальників.
Такі гаманці, як Coin98, Coinbase Wallet, Trust Wallet, Phantom, Taho, Rabby, Frame, XDEFI, Rainbow, Zerion, Spot, Frontier, MEW, Dawn Wallet, Blockwallet, Bitski, SafePal, BitKeep і MathWallet, готові отримати вигоду від цього розвиток .
плюси і мінуси:
EIP-6963 піднімає деякі питання безпеки, які слід розглянути.
перевага:
недолік:
на закінчення
EIP-6963 має на меті покращити взаємодію між кількома постачальниками гаманців, знизити бар’єри для входу нових постачальників і покращити взаємодію з користувачами в мережі Ethereum. У той же час вплив на безпеку є комплексним.
Користувачі, постачальники гаманців і розробники бібліотек Ethereum повинні дотримуватися найкращих практик, щоб забезпечити безпеку екосистеми Ethereum.
Реалізуючи цю пропозицію, екосистема Ethereum може розвиватися до більш зручного та конкурентного середовища, що принесе користь як постачальникам гаманців, так і їхнім користувачам.