イーサリアム財団は5月12日、ウォレット開発者、セキュリティ企業、イーサリアム財団のトリリオン・ダラー・セキュリティ・イニシアティブで構成するワーキンググループが、「ブラインド署名」を廃止するための公開標準を立ち上げたと発表した。
ブラインド署名は仮想通貨分野での大規模被害の一因とされており、2025年のバイビット(Bybit)ハッキング事件もこの構造的欠陥が関与したとされている。
現状では、取引を承認する際にユーザーが目にする情報は低水準の機械可読形式で表示されることが多く、技術的な専門知識なしには内容を正確に把握できない。
ワーキンググループは「What You See Is What You Sign(WYSIWYS)」を目標として掲げ、クリアサイニングをデフォルトにすることを目指している。技術的な基盤となるのはERC-7730で、取引内容の人間可読な構造化記述を統一フォーマットで提供する仕組みだ。記述の正確性は独立したレビューと証明によって検証され、各ウォレットがどのソースを信頼するかを決定する。
イーサリアム財団のトリリオン・ダラー・セキュリティ・イニシアティブは、このインフラのホスティングと開発支援において中立的な管理者の役割を担う。誰でもシステムに記述子(取引内容の定義情報)を提供でき、ウォレット開発者向けのRustおよびTypeScriptライブラリは同イニシアティブの資金提供のもとで構築・保守されている。
採用促進はclearsigning.orgを通じて行われる。ERC-7730の発端となったレジャー(Ledger)のほか、ZKnox、Sourcify、Cyfrin、Zama、WalletConnect、Fireblocks、Trezor、Keycard、MetaMask、Argotなど複数チームも開発に参加している。
仮想通貨分野での大規模被害では、コードのバグではなくユーザーによる取引承認が最終的な侵害経路となるケースが多い。フィッシングやインフラへの不正侵入が発端となっても、最終段階はユーザーが内容を十分に理解できないまま承認を行うことで被害が確定するパターンが繰り返されてきた。
クリアサイニングが普及することで、高リスク環境において別端末での二重確認に依存せざるを得なかった状況の改善が期待される。
イーサリアム財団は既存アプリケーションと新規アプリケーションの双方に対応できる設計である点を強調した。記述子は取引に直接埋め込むのではなく、取引と並行して提供される形式をとることで、現行の全アプリケーションへの遡及的な対応が可能となっている。
ウォレット開発者には標準の採用と人間可読な取引確認の実装を、アプリケーション開発者には取引内容の正確な記述の提供を、セキュリティ専門家には記述の正確性のレビューと証明を、それぞれ呼びかけている。
