La actualización Pectra de Ethereum se centró en mejorar la experiencia del usuario en la red Ethereum.
Sin embargo, los desarrolladores podrían haber pasado por alto una vulnerabilidad peligrosa en el código.
El EIP-7702 permite a los usuarios delegar el control de su billetera a otro contrato simplemente firmando un mensaje fuera de la cadena.
Los atacantes pueden aprovechar esto y utilizar tácticas de phishing para instalar acceso de puerta trasera en la billetera de una víctima.
Estos actores maliciosos pueden entonces drenar fondos, siendo las billeteras multi-sig actualmente la opción más segura.
La reciente actualización Pectra de Ethereum ha sido aclamada por traer varias nuevas características a la red.
Estas características fueron diseñadas especialmente para soportar la escalabilidad y mejorar las capacidades de los contratos inteligentes.
Sin embargo, debajo de estas mejoras había una falla de seguridad que podría permitir a los hackers drenar fondos de las billeteras:
Usando solo una firma fuera de la cadena.
Aquí están los detalles de este riesgo y lo que podría significar para la seguridad en la red de Ethereum.
¿Qué es exactamente la actualización Pectra?
Para dar un poco de contexto, la actualización de Pectra se activó el 7 de mayo, en la época 364032.
Esta actualización introdujo múltiples Propuestas de Mejora de Ethereum (EIPs), todas diseñadas para mejorar el rendimiento de la red.
Algunos de los más interesantes de estos incluyeron el EIP-7702, que permite la delegación de billeteras a través de firmas fuera de la cadena, y el EIP-7251, que aumenta el límite de staking de validadores de 32 ETH a 2,048 ETH.
Mientras que la última actualización es vista en gran medida como beneficiosa, EIP-7702 se ha convertido en un foco de críticas en el espacio cripto debido a una laguna que nadie vio venir.
EIP-7702 y Transacciones SetCode
El EIP-7702 es una parte muy útil de la actualización Pectra, que permite a las billeteras de Ethereum comportarse como contratos inteligentes por sí mismas.
Esto significa que los usuarios pueden delegar el control de su billetera a otro contrato simplemente firmando un mensaje fuera de la cadena.
En teoría, esta es una característica poderosa que hace que las cuentas inteligentes sean más utilizables. Sin embargo, en la práctica, la historia es muy diferente.
Los hackers ahora pueden supuestamente engañar a los usuarios ( a través de phishing, DApps falsas o estafas en Discord) para que firmen un mensaje aparentemente inofensivo.
Ese mensaje, en realidad, podría incluir una solicitud de permiso para que el atacante instale acceso de puerta trasera en la billetera de un usuario.
Una vez que se ha concedido el control, el atacante en cuestión puede hacer cualquier cosa, desde ejecutar transacciones enviando tokens hasta incluso drenar todo el ETH de su víctima.
Peor aún es cómo, después de que se ha concedido el permiso inicial, el atacante no necesita ninguna otra firma en cadena de la víctima.
¿Por qué es esto tan peligroso?
Si las implicaciones de este problema no eran inmediatamente evidentes, vale la pena mencionar que antes de Pectra, los usuarios de Ethereum tenían que firmar manualmente las transacciones en cadena para permitir modificaciones en la billetera o transferencias de fondos.
En pocas palabras, un usuario tenía que firmar cada transacción antes de la aprobación.
Tal como están las cosas, simplemente firmar un mensaje fuera de la cadena manipulado puede dar a los atacantes el control total sobre una cuenta.
Esto, por supuesto, cambia todo acerca de la seguridad de las criptobolsas porque una acción que anteriormente era segura (firmar un mensaje fuera de la cadena) ahora puede ser muy arriesgada.
La mayoría de las interfaces de billetera actuales no están diseñadas para detectar este nuevo tipo de solicitud de delegación, y los usuarios no recibirán ninguna advertencia adecuada antes de firmar la entrega de sus tokens.
Sin estas comprobaciones, es probable que los fraudes de phishing y de ingeniería social se disparen a lo largo del año.
¿Pueden ayudar las carteras Multisig?
Dado que la vulnerabilidad en cuestión requiere firmas al menos una vez, las carteras de hardware no son inherentemente más seguras que las basadas en software.
Sin embargo, las billeteras multi-sig son.
Este tipo de billeteras requieren múltiples claves privadas para aprobar transacciones y son más fuertes en términos de seguridad.
Por otro lado, las billeteras de clave única, ya sean hardware o software, deben adaptarse rápidamente para analizar firmas y detectar señales de alerta, o las implicaciones de seguridad podrían ser devastadoras.
Descargo de responsabilidad: Voice of Crypto tiene como objetivo ofrecer información precisa y actualizada, pero no se hará responsable de ninguna falta de hechos o información inexacta. Las criptomonedas son activos financieros altamente volátiles, por lo que se recomienda investigar y tomar sus propias decisiones financieras.
El contenido es solo de referencia, no una solicitud u oferta. No se proporciona asesoramiento fiscal, legal ni de inversión. Consulte el Descargo de responsabilidad para obtener más información sobre los riesgos.
La actualización Pectra de Ethereum abrió una puerta trasera peligrosa—Aquí está lo que te perdiste
Perspectivas Clave
La reciente actualización Pectra de Ethereum ha sido aclamada por traer varias nuevas características a la red.
Estas características fueron diseñadas especialmente para soportar la escalabilidad y mejorar las capacidades de los contratos inteligentes.
Sin embargo, debajo de estas mejoras había una falla de seguridad que podría permitir a los hackers drenar fondos de las billeteras:
Usando solo una firma fuera de la cadena.
Aquí están los detalles de este riesgo y lo que podría significar para la seguridad en la red de Ethereum.
¿Qué es exactamente la actualización Pectra?
Para dar un poco de contexto, la actualización de Pectra se activó el 7 de mayo, en la época 364032.
Esta actualización introdujo múltiples Propuestas de Mejora de Ethereum (EIPs), todas diseñadas para mejorar el rendimiento de la red.
Algunos de los más interesantes de estos incluyeron el EIP-7702, que permite la delegación de billeteras a través de firmas fuera de la cadena, y el EIP-7251, que aumenta el límite de staking de validadores de 32 ETH a 2,048 ETH.
Mientras que la última actualización es vista en gran medida como beneficiosa, EIP-7702 se ha convertido en un foco de críticas en el espacio cripto debido a una laguna que nadie vio venir.
EIP-7702 y Transacciones SetCode
El EIP-7702 es una parte muy útil de la actualización Pectra, que permite a las billeteras de Ethereum comportarse como contratos inteligentes por sí mismas.
Esto significa que los usuarios pueden delegar el control de su billetera a otro contrato simplemente firmando un mensaje fuera de la cadena.
En teoría, esta es una característica poderosa que hace que las cuentas inteligentes sean más utilizables. Sin embargo, en la práctica, la historia es muy diferente.
Los hackers ahora pueden supuestamente engañar a los usuarios ( a través de phishing, DApps falsas o estafas en Discord) para que firmen un mensaje aparentemente inofensivo.
Ese mensaje, en realidad, podría incluir una solicitud de permiso para que el atacante instale acceso de puerta trasera en la billetera de un usuario.
Una vez que se ha concedido el control, el atacante en cuestión puede hacer cualquier cosa, desde ejecutar transacciones enviando tokens hasta incluso drenar todo el ETH de su víctima.
Peor aún es cómo, después de que se ha concedido el permiso inicial, el atacante no necesita ninguna otra firma en cadena de la víctima.
¿Por qué es esto tan peligroso?
Si las implicaciones de este problema no eran inmediatamente evidentes, vale la pena mencionar que antes de Pectra, los usuarios de Ethereum tenían que firmar manualmente las transacciones en cadena para permitir modificaciones en la billetera o transferencias de fondos.
En pocas palabras, un usuario tenía que firmar cada transacción antes de la aprobación.
Tal como están las cosas, simplemente firmar un mensaje fuera de la cadena manipulado puede dar a los atacantes el control total sobre una cuenta.
Esto, por supuesto, cambia todo acerca de la seguridad de las criptobolsas porque una acción que anteriormente era segura (firmar un mensaje fuera de la cadena) ahora puede ser muy arriesgada.
La mayoría de las interfaces de billetera actuales no están diseñadas para detectar este nuevo tipo de solicitud de delegación, y los usuarios no recibirán ninguna advertencia adecuada antes de firmar la entrega de sus tokens.
Sin estas comprobaciones, es probable que los fraudes de phishing y de ingeniería social se disparen a lo largo del año.
¿Pueden ayudar las carteras Multisig?
Dado que la vulnerabilidad en cuestión requiere firmas al menos una vez, las carteras de hardware no son inherentemente más seguras que las basadas en software.
Sin embargo, las billeteras multi-sig son.
Este tipo de billeteras requieren múltiples claves privadas para aprobar transacciones y son más fuertes en términos de seguridad.
Por otro lado, las billeteras de clave única, ya sean hardware o software, deben adaptarse rápidamente para analizar firmas y detectar señales de alerta, o las implicaciones de seguridad podrían ser devastadoras.
Descargo de responsabilidad: Voice of Crypto tiene como objetivo ofrecer información precisa y actualizada, pero no se hará responsable de ninguna falta de hechos o información inexacta. Las criptomonedas son activos financieros altamente volátiles, por lo que se recomienda investigar y tomar sus propias decisiones financieras.