12 мая 2026 года Ethereum активировал стандарт Clear Signing, который заменяет нечитаемые шестнадцатеричные строки в транзакциях обычным текстом. Ledger, Trezor и MetaMask внедрили поддержку с первого дня. Теперь пользователь впервые может понять, что именно он подписывает, прежде чем нажать кнопку подтверждения.
Это не мелкая техническая деталь. По данным Scam Sniffer, за первый квартал 2026 года через фишинг цифровых подписей было похищено 6,27 миллиона долларов у 4 741 жертвы: рост на 207% по сравнению с предыдущим кварталом. Главный вектор атаки прост: пользователь подписывает то, чего не понимает. Clear Signing бьёт именно по этой уязвимости.
Как было раньше и что изменилось сейчас
Иными словами, ключевые цифры (источник: Scam Sniffer, первый квартал 2026 года):
- Потери от фишинга подписей в Q1 2026: 6,27 миллиона долларов
- Число пострадавших: 4 741 пользователь
- Прирост к Q4 2025: плюс 207%
- Кошельки с поддержкой Clear Signing: Ledger, Trezor, MetaMask
До Clear Signing аппаратный кошелёк, например Ledger, показывал запрос подписи в виде строки: 0x095ea7b3000000000000000000000000.... Прочитать этот код не мог практически ни один обычный пользователь. Фишинговые схемы этим умело пользовались: в браузере транзакция выглядела безобидно, тогда как кошелёк отображал лишь нечитаемый шестнадцатеричный код. Пользователь подписывал, не понимая, что именно разрешает. Чаще всего это было неограниченное одобрение вредоносного контракта, дающее злоумышленнику возможность опустошить кошелёк позже.
Теперь тот же кошелёк отображает: «Approve USDC spending: unlimited, to contract 0x1a2b...» с верифицированным именем протокола и суммой открытым текстом. Специалисты по безопасности криптокошельков годами ждали этого изменения: оно существенно повышает стоимость атаки для мошенников. Полностью проблему не решает, но делает успешный обман внимательного пользователя значительно сложнее.
Официальный аккаунт, связанный с Ethereum Foundation, ещё раньше анонсировал стандарт в публикации на X: посты @ethereum о Clear Signing.
Ethereal news weekly #24
, Ethereal news (@EtherealnewsHQ) May 22, 2026
🎟 @EFDevcon Devcon 8 early bird tickets
🧑💻 @ApeFramework ApeWorX collective: nonprofit for Python dev tooling
🧪 @ethPandaOps glamsterdam-devnet-4 launchedhttps://t.co/O0HUJ8dGKu
Распределение крипто-мошенничества по векторам атак в 2026 году
Распределение крипто-мошенничества по вектору атаки, Q1 2026 (оценочные %)
Источник: Scam Sniffer, Chainalysis, обработка SpazioCrypto, май 2026
Распределение крипто-мошенничества по вектору атаки, Q1 2026 (оценочные %)
Источник: Scam Sniffer · Chainalysis · обработка SpazioCrypto · май 2026
График наглядно показывает, почему Clear Signing стал приоритетным ответом на угрозу: вектор «слепая подпись и фишинг подписи» составляет около 38% задокументированных случаев мошенничества в Q1 2026, по данным Scam Sniffer и Chainalysis. Этот вектор не самый изощрённый, но самый масштабируемый: один фишинговый сайт с вредоносным контрактом способен атаковать тысячи человек без того, чтобы хоть кто-то понял, что именно одобрил. Wallet poisoning (подмена адреса в истории транзакций) занимает второе место.
Clear Signing действительно решает проблему слепой подписи?
Фактически, не полностью. Три конкретных ограничения остаются даже после активации Clear Signing. Первое: стандарт работает только если dApp корректно реализовал необходимые метаданные для интерпретации транзакции в читаемом виде. Небрежно написанные или наспех созданные dApp по-прежнему могут отображать неполные данные. Второе: стандарт не защищает от продвинутой социальной инженерии, когда пользователь убеждён, что работает с легитимным приложением, даже если кошелёк отображает транзакцию корректно. Третье: Ethereum Foundation опубликовал технические спецификации стандарта, однако внедрение в DeFi-протоколы требует времени и обновления кода.
При этом принцип из руководства SpazioCrypto по криптокошелькам остаётся неизменным: никогда не подписывайте транзакцию, которую не понимаете, сколь бы надёжным ни выглядел интерфейс. Clear Signing упрощает понимание того, что именно подписывается. Суждение он не заменяет.
Самый обсуждаемый в последние недели случай задокументировал ZachXBT: 11 апреля 2026 года пользователь под ником G. Love потерял 5,92 BTC (около 420 000 долларов), скачав поддельную копию Ledger Live из Mac App Store. Средства были отслежены на KuCoin. Clear Signing здесь не помог бы: вектором атаки было само приложение, а не подпись непонятной транзакции. Для пользователей аппаратных кошельков правило остаётся неизменным: загружайте программное обеспечение только с официального сайта производителя, никогда из App Store или по сторонним ссылкам.
Ledger перенёс две утечки данных в 2025, 2026 годах (апрель 2025 и январь 2026, последняя через платёжный процессор Global-e): в открытый доступ попали имена и контактные данные около миллиона клиентов. Эти данные питают кампании персонализированного фишинга, которые Clear Signing не перехватывает. Если вы получаете письмо со своим именем, адресом и сообщением, якобы от Ledger, единственная защита, ваша бдительность, а не кошелёк. За обновлениями об активных угрозах в сфере криптобезопасности SpazioCrypto отслеживает основные алерты PeckShield и CertiK. Clear Signing, реальный шаг вперёд, которого ждали годами. Следующий этап, стандартизация одобрений с лимитом суммы, функция, которой по-прежнему нет в большинстве DeFi-интерфейсов. Тот, кто в 2026 году подписывает «unlimited approve», всё ещё делает это на собственный риск, даже при активном Clear Signing.
