Aktualności Brave
Wydanie 1.60 przeglądarki Brave przynosi dwie potężne funkcje dla Brave Wallet, znacząco poprawiające bezpieczeństwo i doświadczenie użytkownika. Sign-In With Ethereum (SIWE) przechodzi istotną modernizację, oferując wsparcie dla analizy wiadomości ERC-4361 i nowego interfejsu użytkownika. Dodatkowo, ulepszamy proces podpisywania dla Brave Swap, dodając obsługę CoW Swap, co zwiększa bezpieczeństwo i wygodę podpisywania wiadomości w Brave Wallet.
Spis treści
Sign-In With Ethereum (SIWE) zastępuje tradycyjne dane logowania funkcjonalnością opartą na portfelu. To, co wcześniej było zwykłym zalogowaniem, teraz staje się podpisem Ethereum wallet. Protokół SIWE pozwala kontom Ethereum na logowanie się do zewnętrznych usług poprzez podpisywanie standardowego formatu wiadomości zdefiniowanego w ERC-4361. To oznacza przeniesienie autentykacji z dużych scentralizowanych dostawców tożsamości w ręce indywidualnych użytkowników.
Najnowsza aktualizacja wprowadza znaczną poprawę obsługi SIWE poprzez implementację parsera ABNF dla wiadomości zgodnych z ERC-4361. Dzięki temu możemy lepiej interpretować i prezentować wiadomości SIWE, poprawiając zarówno ich wygląd, jak i bezpieczeństwo podpisywania się do aplikacji i usług. Bezpieczeństwo jest naszym priorytetem, dlatego w przypadku niestandardowych wiadomości SIWE, korzystamy z tradycyjnego podpisywania ERC-191 dla maksymalnej interoperacyjności.
Po poprawnym parsowaniu wiadomości SIWE sprawdzamy wiadomość pod kątem zgodności z domeną, kontem i identyfikatorem łańcucha, wyświetlając odpowiedni komunikat o błędzie w przypadku niezgodności. To zabezpieczenie ma na celu zapobieganie atakom phishingowym, gdzie złośliwy podmiot może uzyskać ważną autoryzację do legitymacji usługi trzeciej strony. Jest to szczególnie istotne dla SIWE, gdzie akcja logowania polega na generowaniu podpisu dla wiadomości, co może być podatne na podszywanie się przez zaawansowanego atakującego.
Coincidence of Wants (CoW) to koncepcja z dziedziny ekonomii, szczególnie związana z systemem barterowym. Opisuje sytuację, w której dwie strony mają pożądany przedmiot drugiej strony, i decydują się na bezpośrednią wymianę.
CoW Swap wykorzystuje tę koncepcję do handlu aktywami on-chain. To interfejs zbudowany na bazie protokołu CoW – pełnoprawnego, zdecentralizowanego protokołu handlowego, który wykorzystuje aukcje zbiorcze do ustalania cen. Dzięki CoW Protocol, użytkownicy wyrażają swoje intencje jako podpisane wiadomości EIP-712 poprzez interfejs CoW Swap. Protokół CoW zbiera te intencje do aukcji zbiorczej, rozstrzyganej przez rozwiązujących, którzy konkurują o znalezienie optymalnego CoW. Wygrywający rozwiązujący wykonuje wszystkie intencje w jednej transakcji na-chain, maksymalizując nadwyżkę handlową i oszczędzając na opłatach sieciowych.
Podpisywanie wiadomości off-chain, takich jak zamówienia CoW, nie zawsze jest przyjazne dla użytkownika. Chociaż poprawia to użyteczność, umożliwiając wymianę danych bez użycia gazu, takie wiadomości są często nieczytelne dla użytkowników. W grudniu 2022 roku oszust skradł 14 NFT wartych ponad 852 ETH ($1,07 miliona USD) poprzez wyrafinowany atak socjotechniczny. Ofiara została oszukana do podpisania wiadomości Seaport bez użycia gazu, która faktycznie stworzyła prywatny pakiet, przekazując wszystkie jej NFT oszustowi za 0.00000001 ETH. Takie ataki stają się coraz bardziej powszechne z powodu masowego przyjmowania wiadomości off-chain na rynkach NFT, DEX itp.
Standard EIP-712 proponuje podpisywanie strukturyzowanych danych zamiast ciągów bajtów. Chociaż wiadomości strukturyzowane są łatwiejsze do odczytania przez maszyny, dla większości ludzi nie są wystarczająco przyjazne. Aby użytkownicy mogli z pewnością zatwierdzać prośby o podpisanie zamówień CoW, muszą wyraźnie widzieć wszystkie szczegóły zamówienia, takie jak sformatowane kwoty, symbole tokenów, logo itp.
W wersji 1.60 przeglądarki Brave całkowicie zmieniliśmy doświadczenie korzystania z Sign-In With Ethereum przy użyciu Brave Wallet. Dodaliśmy funkcje bezpieczeństwa i ulepszenia UX