惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

Application and Cybersecurity Blog
Application and Cybersecurity Blog
A
About on SuperTechFans
S
SegmentFault 最新的问题
奇客Solidot–传递最新科技情报
奇客Solidot–传递最新科技情报
Help Net Security
Help Net Security
有赞技术团队
有赞技术团队
博客园 - 【当耐特】
O
OpenAI News
美团技术团队
月光博客
月光博客
Apple Machine Learning Research
Apple Machine Learning Research
Schneier on Security
Schneier on Security
Webroot Blog
Webroot Blog
Cyberwarzone
Cyberwarzone
Hacker News - Newest:
Hacker News - Newest: "LLM"
Google Online Security Blog
Google Online Security Blog
T
Tenable Blog
S
Security Affairs
博客园_首页
S
Schneier on Security
Security Latest
Security Latest
T
Threat Research - Cisco Blogs
T
Tailwind CSS Blog
大猫的无限游戏
大猫的无限游戏
Spread Privacy
Spread Privacy
量子位
让小产品的独立变现更简单 - ezindie.com
让小产品的独立变现更简单 - ezindie.com
K
Kaspersky official blog
Hugging Face - Blog
Hugging Face - Blog
TaoSecurity Blog
TaoSecurity Blog
博客园 - 聂微东
Vercel News
Vercel News
M
MIT News - Artificial intelligence
T
Troy Hunt's Blog
B
Blog
MongoDB | Blog
MongoDB | Blog
Martin Fowler
Martin Fowler
Attack and Defense Labs
Attack and Defense Labs
L
LINUX DO - 最新话题
D
DataBreaches.Net
cs.CV updates on arXiv.org
cs.CV updates on arXiv.org
Stack Overflow Blog
Stack Overflow Blog
cs.AI updates on arXiv.org
cs.AI updates on arXiv.org
博客园 - Franky
W
WeLiveSecurity
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
F
Fortinet All Blogs
www.infosecurity-magazine.com
www.infosecurity-magazine.com
C
Check Point Blog
H
Hacker News: Front Page

博客园_首页

Plist 二进制格式 Milvus 和 PGVector,哪个更好? OpenClaw 已过时?在 VS Code 中运行 Hermes Agent! 第30篇文章:一个大三计科生的自白 Manim如何在数学公式中完美显示中文? Docker 部署 RocketMQ 5 并发编程核心概念辨析 C#事务处理最佳实践:别再让“主表存了、明细丢了”的破事发生 CLI 是什么?为什么大厂突然集体卷命令行? 【从0到1构建一个ClaudeAgent】协作-自主Agent UIImageView 设置图片不生效的原因排查 最小二乘问题详解20:无先验约束下的增量式SFM自由网平差 痞子衡嵌入式:大话双核i.MXRT1180之XIP应用里借助MU实现可靠Flash IAP的方法 AI Chat 封装, SemanticKerne.AiProvider.Unified 已发布 Windows下右键编辑js文件无法打开记事本——在注册表中使用环境变量 在后台服务中使用 Scoped 服务,为什么总是报错? H200 安装驱动并使用sglang启动模型 wireshark 抓包Trap上报告警内容 我用 AI 辅助开发了一系列小工具(2):图片压缩工具 [A Primer On MC and CC] 2.1 Memory Consistency 1 - 指令重排序和 SC 模型 Oracle数据库SCN推进技术详解与实践指南 玩转控件:封装个带图片的Label控件 Claude Code 4.7 真正该升级的不是模型,而是你的工作流 前端小白一句话,AI 帮我做了个颜值拉满的桌面媒体播放器。当代码不再是门槛,一句话编程就是现实。 5. WorkBuddy: 小龙虾的灵魂三件套,让你的小龙虾不只是工具 SQLite 分片方案实战:三种分片策略的深度对比 告别简陋 UI!一款基于 Fluent Design 和基于 WinUI 的开源免费、现代化的 Avalonia UI 控件库 关于二进制排列组合枚举的总结 AI开发-python-LangGraph框架(3-27-LangGraph从零实现大模型智能决策工作流) ElasticSearch主分片和副本分片概念详解 【002】HTTPS 粗解:证书、TLS 握手与对后端配置的影响 Hermes Agent 一周暴涨五万 Star,但我劝你别急着追 明明连接的是Redis的DB0,为什么能查到DB3的数据? 【从0到1构建一个ClaudeAgent】协作-Agent团队 熟悉电子元器件之后,电子小白下一步该怎么走? MAF快速入门(23)通过C#类定义Skills .NET 高级开发 | 手写一个对象映射框架 FastAPI数据库ORM怎么选?我肝了三个Demo后,终于不再纠结了 mysqldump 参数拾遗:在遗忘与铭记之间 C# .NET 周刊|2026年3月5期 Claude code入门 - 陈彦斌 一文学习入门 ThingsBoard 开源物联网平台 GitHub 热门项目 | 2026年04月16日 如何为GIT设置全局勾子,为每次提交追加信息 Number.isFinite和isFinite与isNaN()和Number.isNaN的区别 PortSwigger SQL注入LAB2 推荐一个测试人必备的Skills,从功能到性能全搞定(附详细实操和安装下载方式) 筑基期:掌握Odoo基础核心知识点02(Odoo XML 开发方式详解) GLM模型这么火,咱们用vllm也咧一个呗! 深入理解 AbortController:从底层原理到跨语言设计哲学 字符串学习笔记 多租户系统框架的基础模块设计和分析设计 Apache SeaTunnel Zeta 为什么能做到“又快又稳”? AI开发-python-LangGraph框架(3-26-LangGraph基本概念及第一个简单样例) Vue 3 组件通信,别只会用 Props 和 Emits 了,这几个狠活儿你得看看 ElasticSearch7.X版本配置密码 用Manim实现动态交点计算--从一个动点问题说起 团结引擎+Addressable+Instant Game打包抖音小游戏 function call 实战:让 LLM 自动判断 pod 异常、调用日志工具并完成故障分析 bubseek —— 让 Agent 的足迹,变成团队的洞察 通过 C# 读取并导出 PDF 书签 如何用 GitHub Actions 实现 Steam 自动化发布 【从0到1构建一个ClaudeAgent】并发-后台任务 .NET 高级开发 | 定制 ASP.NET Core 框架 电子小白:什么是运算放大器(运放) zero2Agent:面向大厂面试的 Agent 工程教程,从概念到生产的完整学习路线 堆上的ORW HC32F460 USB CDC通信异常:非对齐访问异常排查 20260413-Hyperbridge 攻击事件:发生在默克尔山上的验证绕过 那些喊着AI 要淘汰你的人,正在靠你的焦虑赚大钱! 深度学习进阶(八)Swin Transformer 最小二乘问题详解19:带先验约束的增量式SFM优化与实现 SnapTranslate 3.0 正式发布:全局划词翻译 + 完整英语学习闭环,一站式搞定查词、记词、复习 工作的意义、工作的困难认知再思考 .NET + AI 进阶实战:基于类的技能开发 - 打造可治理的 Agent 能力模块 【从0到1构建一个ClaudeAgent】规划与协调-技能 上周热点回顾(4.6-4.12) 电子小白的工具三件套:面包板、杜邦线、万能板 单表五亿数据的查询优化 | Mysql、StarRocks 2. WorkBuddy:从“我是谁”到“帮我干活” C# 如何减少代码运行时间:7 个实战技巧 基于HelixToolkit.SharpDX 渲染3D模型 - 笺上知微 从零开始的双臂具身VLA起源及现阶段发展综述 - SkyXZ 记对 xonsh shell 的使用, 脚本编写, 迁移及调优 - pluvium27 受够了Vibe Coding的失控?换个起点,让AI事半功倍 从开始配置漏洞环境到漏洞复现流程 - 難しい 关于10年工作经验的程序员对OpenClaw的实战经验分享以及看法 - 虚无境 Any metadata 的内存布局 C# .NET 周刊|2026年3月2期 - InCerry 我帮你测过了,测试圈排名第二的 Skill 依然很牛逼 Skill Discovery | 无监督技能发现的经典工作总结 - MoonOut 上下文工程是什么?过时了么?一文讲明白! - 一枫说码 开了 TUN 模式还是直连?90% 的人都踩过这个坑 AScript扩展多种脚本语言 - rockey627 AI 学习笔记:Agent 的记忆机制 你能被装进一个文件里吗?——7 万人把同事"蒸馏"成了 AI - 我没有三颗心脏 Claude Code 通关手册(七):给 AI 装上技能包——Skills 完全指南 - 暮色之狐 在浏览器中快速编辑代码:VSCode Web 集成实践 - Newbe36524 蒸馏自己 skill?基于 Deepseek 的蒸馏器,丐版蒸馏方式,简单便捷 - To_Carpe_Diem Spring AI Aliababa和AgentScope,哪个更好? - 苏三说技术
ERC-7730:解析签名意图,消除盲签风险
ACai_sec · 2026-05-17 · via 博客园_首页

背景

交易签名一直以来都是安全的兵家必争之地,从直接签名转账,到签名授权,再到签名 permit2 内容,以及 ERC-3009 的 authorization 内容,钓鱼黑客总能够在不同的签名场景中寻找到薄弱之处让用户签下那笔“不明不白”的交易。而这个“防御”的任务,通常是依赖于钱包的签名解析功能,将用户签名的十六进制内容根据合约的函数参数进行复原,告诉用户你签的内容到底是什么。

但是这也会存在一个问题的呀:合约的实现层出不穷,灵活多变,验签的内容和方法也在不断更新,依赖钱包解析被动地去覆盖各种签名场景,这本身就存在一定的滞后性(这还是在钱包团队积极跟进的前提下)。

所以,为了解决这个签名难的问题,让用户签得明白、签得安全,ERC-7730 应运而生。

概括性介绍

ERC-7730 的目标是通过引入一套标准化的 JSON 描述符格式,解决以太坊生态中长期存在的"盲签"问题:用户在签署智能合约交易或结构化消息时,面对钱包中显示的十六进制数据或晦涩的函数调用无法理解真实交易意图,从而极易遭受钓鱼攻击和资产损失。

image

而 ERC-7730 的实现依赖于合约项目方或社区贡献者提供能够真实反映签名意图的 JSON 描述文件,这样钱包就将函数签名和参数映射为人类可读的字段标签、格式化数值以及意图描述,实现签名内容与用户预期一致的目标。

image

详细介绍

下面以最熟知的 ERC20 transfer 函数作为例子,下面是它对应的 JSON 解析规则内容。

{
    "$schema": "https://eips.ethereum.org/assets/eip-7730/erc7730-v2.schema.json",

    "context": {
        "$id": "Example ERC-20",
        "contract" : {
            "deployments": [ 
                {
                    "chainId": 1,
                    "address": "0xdAC17F958D2ee523a2206206994597C13D831ec7"
                },
                {
                    "chainId": 137,
                    "address": "0xc2132D05D31c914a87C6611C10748AEb04B58e8F"
                },
                {
                    "chainId": 42161,
                    "address": "0xFd086bC7CD5C481DCC9C85ebE478A1C0b69FCbb9"
                }
            ]
        }
    }, 

    "metadata": {
        "owner": "Example",
        "contractName": "Example Token",
        "info": {
            "url": "https://example.io/",
            "deploymentDate": "2017-11-28T12:41:21Z"  
        }
    },

    "display": {
        "formats": {
            "transfer(address to,uint256 value)": {
                "intent": "Send",
                "interpolatedIntent": "Send {value} to {to}",
                "fields": [
                    {
                        "path": "value",
                        "label": "Amount",
                        "format": "tokenAmount",
                        "params": {
                            "tokenPath": "@.to"
                        }
                    },
                    {
                        "path": "to",
                        "label": "To",
                        "format": "addressName"
                    }
                ]
            }
        }
    }
}

主体内容

其中 $schema 对应的是引用的解析规则版本号。

剩余部分为内容主体,包括 contextmetadatadisplay 三种类型。

章节 作用
context 绑定约束:定义该解析文件适用的合约范围: 1. 合约交易:通过 chainId + address 定位适用的合约; 2. EIP-712 消息:通过 domaindeployments 绑定。钱包在根据解析文件对签名内容进行解析之前,必须先验证约束是否满足。
metadata 元信息:定义合约/项目方名称、官网、部署日期等展示信息。这部分的内容可以被 display 章节引用。
display 格式化指令:核心解析逻辑: 1. definitions:可复用的字段格式定义 2. formats:针对每个函数或 EIP-712 消息类型的具体解析规则

引用符号

为了准确地定义每个字段的数据属性与来源,ERC-7730 还定义了三种引用符号

  1. $:文件内容引用

    该符号用来引用 ERC-7730 文件中的值,比如案例中的 $schema ,除此以外,还可以用来引用 metadatadefinitions 等内容。

    使用案例:

    $.metadata.enums.interestRateMode
    $.display.definitions.minReceiveAmount
    
  2. @:交易参数引用

    该符号用来引用交易或消息的参数。

    使用案例:

    @.to
    @.value
    @.chainId
    
  3. #:结构化参数引用

    该符号用来引用数据结构中的内容,范围包括函数参数中的结构化数据,以及 EIP-712 字段中的内容。

    使用案例:

    #.params.amountIn
    #.data.path.[0].path.[-1].to
    

案例展示

之前已经通过 ERC20 transfer 函数作为案例介绍了解析文件的设计与构成,接下来提供一些在不同场景的案例作为参考。

  • 代币转账

    {
        "intent": "Send",
        "interpolatedIntent": "Send {value} to {to}",
        "fields": [
            {"path": "to", "format": "addressName"},
            {"path": "value", "format": "tokenAmount", "params": {"tokenPath": "@.to"}}
        ]
    }
    

    输出内容:“Send 100 USDT to cyberdrk.eth”

    to 字段没有 params,是因为 addressName 格式的参数全部是可选的。而 value 字段使用 tokenAmount,它必须知道代币合约地址才能正确格式化(获取小数位 decimals 和代币符号 ticker)。如果不提供 tokenPathtoken,钱包无法知道这是哪种代币,只能回退到显示原始数值并警告 "Unknown token"。

  • 代币兑换

    {
        "intent": "Swap",
        "interpolatedIntent": "Swap {amountIn} for at least {amountOutMinimum}",
        "fields": [
            {"path": "amountIn", "format": "tokenAmount", "params": {"tokenPath": "tokenIn"}},
            {"path": "amountOutMinimum", "format": "tokenAmount", "params": {"tokenPath": "tokenOut"}}
        ]
    }
    

    输出内容:“Swap 1000 USDC for at least 0.25 WETH”

    同样地,amountInamountOutMinimum 的参数格式需要借助代币来进行格式化。

  • Token 加密传输

    {
        "intent": "Send",
        "interpolatedIntent": "Send {value} to {to}",
        "fields": [
            {"path": "to", "format": "addressName"},
            {"path": "value", "format": "tokenAmount", "params": {"tokenPath": "@.to"}, "encryption": {
                "scheme": "fhevm",
                "plaintextType": "uint64",
                "fallbackLabel": "[Encrypted Amount]"
            }}
        ]
    }
    
    • 解密可用时:“Send 100 USDT to cyberdrk.eth”
    • 解密不可用时:“Send [Encrypted Amount] to cyberdrk.eth”

    在隐私代币或保密转账场景中(如基于 FHE 的代币标准),只有持有解密密钥的钱包/用户,才能知道真实的转账金额。scheme 代表加密方案,plaintextType 代表解密后的原始数据类型,而 fallbackLabel 则是当钱包无法解密时显示给用户的占位文本。

后记

除了上述提到的基本概念,ERC-7730 提案中还对解析文件中的概念进行了非常详尽的定义与解读。本篇文章主要对这个提案进行较为初步的介绍,对这方面感兴趣想要深入研究的读者可以直接研究他们的提案:https://eips.ethereum.org/EIPS/eip-7730