La mise à niveau Pectra d'Ethereum était axée sur l'amélioration de l'expérience utilisateur du réseau Ethereum.
Cependant, les développeurs pourraient avoir négligé une vulnérabilité dangereuse dans le code.
L'EIP-7702 permet aux utilisateurs de déléguer le contrôle de leur portefeuille à un autre contrat en signant simplement un message hors chaîne.
Les attaquants peuvent tirer parti de cela et utiliser des tactiques de phishing pour installer un accès backdoor dans le portefeuille d'une victime.
Ces mauvais acteurs peuvent alors vider les fonds, les portefeuilles multi-signatures étant actuellement l'option la plus sécurisée.
La récente mise à niveau Pectra d'Ethereum a été saluée pour l'introduction de plusieurs nouvelles fonctionnalités sur le réseau.
Ces fonctionnalités ont été spécialement conçues pour soutenir la scalabilité et améliorer les capacités des contrats intelligents.
Cependant, sous ces améliorations se cachait une faille de sécurité qui pourrait permettre aux hackers de vider les fonds des portefeuilles :
Utiliser uniquement une signature hors chaîne.
Voici les détails de ce risque et ce que cela pourrait signifier pour la sécurité du réseau Ethereum.
Qu'est-ce que la mise à niveau Pectra ?
Pour donner un peu de contexte, la mise à niveau Pectra a été activée le 7 mai, à l'époque 364032.
Cette mise à niveau a introduit plusieurs propositions d'amélioration d'Ethereum (EIPs), toutes conçues pour améliorer les performances du réseau.
Parmi les plus intéressants d'entre eux figuraient l'EIP-7702, qui permet la délégation de portefeuille via des signatures hors chaîne, et l'EIP-7251, qui augmente la limite de staking des validateurs de 32 ETH à 2 048 ETH.
Bien que cette dernière mise à niveau soit largement considérée comme bénéfique, l'EIP-7702 est devenue un point d'achoppement pour les critiques dans l'espace crypto en raison d'une faille que personne n'a vue venir.
EIP-7702 et Transactions SetCode
L'EIP-7702 est une partie très utile de la mise à niveau Pectra, qui permet aux portefeuilles Ethereum de se comporter comme des contrats intelligents en eux-mêmes.
Cela signifie que les utilisateurs peuvent déléguer le contrôle de leur portefeuille à un autre contrat en signant simplement un message hors chaîne.
En théorie, c'est une fonctionnalité puissante qui rend les comptes intelligents plus utilisables. Cependant, dans la pratique, l'histoire est très différente.
Les hackers peuvent maintenant apparemment tromper les utilisateurs ( via le phishing, de faux DApps ou des escroqueries sur Discord) pour les amener à signer un message apparemment inoffensif.
Ce message pourrait en réalité inclure une demande de permission pour que l'attaquant installe un accès backdoor dans le portefeuille d'un utilisateur.
Une fois le contrôle accordé, l'attaquant en question peut faire tout, depuis exécuter des transactions, envoyer des jetons jusqu'à vider l'intégralité de l'ETH de sa victime.
Pire encore, c'est que, après que la permission initiale a été accordée, l'attaquant n'a besoin d'aucune autre signature on-chain de la part de la victime.
Pourquoi est-ce si dangereux ?
Si les implications de ce problème n'étaient pas immédiatement évidentes, il convient de mentionner qu'avant Pectra, les utilisateurs d'Ethereum devaient signer manuellement les transactions sur la chaîne pour permettre les modifications de portefeuille ou les transferts de fonds.
En termes simples, un utilisateur devait signer chaque transaction avant approbation.
Dans l'état actuel des choses, il suffit de signer un message hors chaîne altéré pour donner aux attaquants le contrôle total d'un compte.
Cela, bien sûr, change tout concernant la sécurité des portefeuilles crypto, car une action qui était auparavant sûre (signer un message hors chaîne) peut désormais être très risquée.
La plupart des interfaces de portefeuille actuelles ne sont pas conçues pour détecter ce nouveau type de demande de délégation, et les utilisateurs ne recevront aucun avertissement adéquat avant de signer la cession de leurs tokens.
Sans ces vérifications, les escroqueries par hameçonnage et les arnaques d'ingénierie sociale sont susceptibles d'exploser au cours de l'année.
Les portefeuilles Multisig peuvent-ils aider ?
Puisque la vulnérabilité en question nécessite des signatures au moins une fois, les portefeuilles matériels ne sont pas intrinsèquement plus sûrs que ceux basés sur des logiciels.
Cependant, les portefeuilles multi-signatures sont.
Ces types de portefeuilles nécessitent plusieurs clés privées pour approuver les transactions et sont plus sûrs en termes de sécurité.
D'autre part, les portefeuilles à clé unique, qu'ils soient matériels ou logiciels, doivent s'adapter rapidement pour analyser les signatures et détecter les signaux d'alarme, sinon les implications en matière de sécurité pourraient être dévastatrices.
Avertissement : Voice of Crypto vise à fournir des informations précises et à jour, mais ne sera pas responsable de tout fait manquant ou de toute information inexacte. Les cryptomonnaies sont des actifs financiers très volatils, il est donc conseillé de faire des recherches et de prendre vos propres décisions financières.
Le contenu est fourni à titre de référence uniquement, il ne s'agit pas d'une sollicitation ou d'une offre. Aucun conseil en investissement, fiscalité ou juridique n'est fourni. Consultez l'Avertissement pour plus de détails sur les risques.
La mise à niveau Pectra d'Ethereum a ouvert une porte dérobée dangereuse—voici ce que vous avez manqué.
Principaux enseignements
La récente mise à niveau Pectra d'Ethereum a été saluée pour l'introduction de plusieurs nouvelles fonctionnalités sur le réseau.
Ces fonctionnalités ont été spécialement conçues pour soutenir la scalabilité et améliorer les capacités des contrats intelligents.
Cependant, sous ces améliorations se cachait une faille de sécurité qui pourrait permettre aux hackers de vider les fonds des portefeuilles :
Utiliser uniquement une signature hors chaîne.
Voici les détails de ce risque et ce que cela pourrait signifier pour la sécurité du réseau Ethereum.
Qu'est-ce que la mise à niveau Pectra ?
Pour donner un peu de contexte, la mise à niveau Pectra a été activée le 7 mai, à l'époque 364032.
Cette mise à niveau a introduit plusieurs propositions d'amélioration d'Ethereum (EIPs), toutes conçues pour améliorer les performances du réseau.
Parmi les plus intéressants d'entre eux figuraient l'EIP-7702, qui permet la délégation de portefeuille via des signatures hors chaîne, et l'EIP-7251, qui augmente la limite de staking des validateurs de 32 ETH à 2 048 ETH.
Bien que cette dernière mise à niveau soit largement considérée comme bénéfique, l'EIP-7702 est devenue un point d'achoppement pour les critiques dans l'espace crypto en raison d'une faille que personne n'a vue venir.
EIP-7702 et Transactions SetCode
L'EIP-7702 est une partie très utile de la mise à niveau Pectra, qui permet aux portefeuilles Ethereum de se comporter comme des contrats intelligents en eux-mêmes.
Cela signifie que les utilisateurs peuvent déléguer le contrôle de leur portefeuille à un autre contrat en signant simplement un message hors chaîne.
En théorie, c'est une fonctionnalité puissante qui rend les comptes intelligents plus utilisables. Cependant, dans la pratique, l'histoire est très différente.
Les hackers peuvent maintenant apparemment tromper les utilisateurs ( via le phishing, de faux DApps ou des escroqueries sur Discord) pour les amener à signer un message apparemment inoffensif.
Ce message pourrait en réalité inclure une demande de permission pour que l'attaquant installe un accès backdoor dans le portefeuille d'un utilisateur.
Une fois le contrôle accordé, l'attaquant en question peut faire tout, depuis exécuter des transactions, envoyer des jetons jusqu'à vider l'intégralité de l'ETH de sa victime.
Pire encore, c'est que, après que la permission initiale a été accordée, l'attaquant n'a besoin d'aucune autre signature on-chain de la part de la victime.
Pourquoi est-ce si dangereux ?
Si les implications de ce problème n'étaient pas immédiatement évidentes, il convient de mentionner qu'avant Pectra, les utilisateurs d'Ethereum devaient signer manuellement les transactions sur la chaîne pour permettre les modifications de portefeuille ou les transferts de fonds.
En termes simples, un utilisateur devait signer chaque transaction avant approbation.
Dans l'état actuel des choses, il suffit de signer un message hors chaîne altéré pour donner aux attaquants le contrôle total d'un compte.
Cela, bien sûr, change tout concernant la sécurité des portefeuilles crypto, car une action qui était auparavant sûre (signer un message hors chaîne) peut désormais être très risquée.
La plupart des interfaces de portefeuille actuelles ne sont pas conçues pour détecter ce nouveau type de demande de délégation, et les utilisateurs ne recevront aucun avertissement adéquat avant de signer la cession de leurs tokens.
Sans ces vérifications, les escroqueries par hameçonnage et les arnaques d'ingénierie sociale sont susceptibles d'exploser au cours de l'année.
Les portefeuilles Multisig peuvent-ils aider ?
Puisque la vulnérabilité en question nécessite des signatures au moins une fois, les portefeuilles matériels ne sont pas intrinsèquement plus sûrs que ceux basés sur des logiciels.
Cependant, les portefeuilles multi-signatures sont.
Ces types de portefeuilles nécessitent plusieurs clés privées pour approuver les transactions et sont plus sûrs en termes de sécurité.
D'autre part, les portefeuilles à clé unique, qu'ils soient matériels ou logiciels, doivent s'adapter rapidement pour analyser les signatures et détecter les signaux d'alarme, sinon les implications en matière de sécurité pourraient être dévastatrices.
Avertissement : Voice of Crypto vise à fournir des informations précises et à jour, mais ne sera pas responsable de tout fait manquant ou de toute information inexacte. Les cryptomonnaies sont des actifs financiers très volatils, il est donc conseillé de faire des recherches et de prendre vos propres décisions financières.