2026年5月12日,以太坊正式激活Clear Signing标准,将原本晦涩难懂的十六进制交易字符串替换为自然语言可读文本。Ledger、Trezor和MetaMask均于第一天完成集成。这意味着用户可以在签名前真正看清自己在授权什么。
这绝非小修小补。根据Scam Sniffer的数据,2026年第一季度(1月至3月),针对数字签名的钓鱼攻击共造成627万美元损失,受害者达4741人,较2025年第四季度激增207%。核心漏洞始终如一:用户签署了自己看不懂的内容。Clear Signing正是针对这一痛点而来。
签名前后:发生了什么变化
关键数据汇总:
- 2026年Q1数字签名钓鱼损失:627万美元(来源:Scam Sniffer)
- 受害用户数量:4741人
- 较2025年Q4增幅:+207%
- 已集成Clear Signing的钱包:Ledger、Trezor、MetaMask
在Clear Signing推出之前,Ledger等硬件钱包在签名请求界面显示的是类似 “0x095ea7b3000000000000000000000000....” 的十六进制字符串,普通用户根本无从解读。钓鱼攻击者正是利用了这一盲点:在网页界面伪装出无害外观,而钱包仅显示无意义的十六进制码,用户在毫不知情的情况下完成签名授权。很多情况下,这些授权是针对恶意合约的无限额批准,攻击者随后可将钱包清空。
启用Clear Signing后,同一钱包现在会显示:“Approve USDC spending: unlimited, to contract 0x1a2b...”,同时附上经过验证的协议名称和明确金额。长期关注加密钱包安全的从业者都清楚,这一改动显著降低了盲目授权的风险。当然,攻击手法也会持续演变。但这确实大幅提高了欺骗警惕用户的攻击成本。
以太坊基金会相关账户此前已在X平台预告了该标准:查看@ethereum关于Clear Signing的最新帖子。
Ethereal news weekly #24
,Ethereal news (@EtherealnewsHQ) May 22, 2026
🎟 @EFDevcon Devcon 8 early bird tickets
🧑💻 @ApeFramework ApeWorX collective: nonprofit for Python dev tooling
🧪 @ethPandaOps glamsterdam-devnet-4 launchedhttps://t.co/O0HUJ8dGKu
2026年加密诈骗攻击向量分布
以下图表展示了2026年Q1各类诈骗手法的占比分布(来源:Scam Sniffer、Chainalysis,SpazioCrypto整理,2026年5月):
加密诈骗攻击向量分布:2026年Q1(估算占比)
来源:Scam Sniffer · Chainalysis · SpazioCrypto整理 · 2026年5月
图表清晰说明了Clear Signing为何是优先解法:根据Scam Sniffer与Chainalysis的联合数据,“盲签和签名钓鱼”约占2026年Q1已记录诈骗案例的38%。这种攻击手法并不新颖,但效率极高,可轻易规模化复制:一个带有恶意合约的仿冒网站,可以在无数用户毫不知情的情况下完成批量收割。排名第二的是钱包污染攻击(在交易历史中植入相似地址)。
Clear Signing能彻底解决盲签问题吗
不能完全解决。任何声称能彻底解决的说法都过于简化。即便Clear Signing已激活,至少三个具体局限依然存在。第一:该标准仅在所使用的dApp正确实现了必要元数据时才能生效;开发仓促或维护不善的dApp,仍可能显示不完整的交易信息。第二:它无法防御高级社会工程学攻击,在这类攻击中,用户即便看到了正确的交易展示,也可能因被诱导而产生错误判断。第三:虽然以太坊基金会已发布该标准的技术规范,但DeFi协议的全面采用仍需时间和代码更新。
即便如此,参照SpazioCrypto钱包指南的基本原则依然不变:无论界面看起来多么可信,永远不要签署自己看不懂的交易。Clear Signing让用户更容易读懂签名内容,但它无法取代人的判断力。
近期最受关注的案例来自ZachXBT的链上追踪记录:G. Love于2026年4月11日因从Mac App Store下载了一个Ledger Live的仿冒版本,损失了5.92枚比特币(约42万美元),被盗资金已被追踪至KuCoin。Clear Signing对此无能为力,因为攻击入口是应用程序本身,而非一笔看不懂的签名请求。对于硬件钱包用户,规则没有变:只从厂商官方渠道下载软件,绝对不要通过App Store或第三方链接获取。
Ledger在2025至2026年间遭遇了两次数据泄露(2025年4月及2026年1月,后者源于支付处理商Global-e),约100万名客户的姓名和联系方式外泄。这些数据成为精准钓鱼攻击的燃料,而这类攻击恰恰是Clear Signing无法拦截的:当你收到一封写有你姓名、地址且伪装成Ledger官方的邮件时,真正的防线是你的警惕性,而不是钱包本身。SpazioCrypto持续追踪PeckShield和CertiK发布的主要安全警报,为加密安全领域提供最新动态。Clear Signing是多年来有据可查的具体进步。下一个待解难题,是在大多数DeFi界面中仍然缺席的有限额授权标准化功能。在2026年仍然点击“unlimited approve”的用户,即便Clear Signing已激活,风险依然由自己承担。
