Обновление Pectra Ethereum было сосредоточено на улучшении пользовательского опыта сети Ethereum.
Однако разработчики могли упустить из виду опасную уязвимость в коде.
EIP-7702 позволяет пользователям делегировать контроль над своим кошельком другому контракту, просто подписав сообщение вне цепочки.
Злоумышленники могут воспользоваться этим и использовать методы фишинга для установки скрытого доступа в кошелек жертвы.
Эти недобросовестные участники могут затем исчерпать средства, при этом многофункциональные кошельки в настоящее время являются самым безопасным вариантом.
Недавнее обновление Pectra в Ethereum было отмечено за внедрение нескольких новых функций в сеть.
Эти функции были специально разработаны для поддержки масштабируемости и улучшения возможностей смарт-контрактов.
Однако под этими улучшениями скрывался недостаток безопасности, который мог позволить хакерам выкачивать средства из кошельков:
Используя только подпись вне цепочки.
Вот детали этого риска и что это может означать для безопасности сети Ethereum.
Что такое обновление Pectra?
Для некоторого контекста, обновление Pectra было активировано 7 мая на эпохе 364032.
Это обновление представило несколько предложений по улучшению Ethereum (EIPs), все из которых были разработаны для повышения производительности сети.
Некоторые из самых интересных из них включали EIP-7702, который позволяет делегировать кошельки через оффчейн-подписи, и EIP-7251, который увеличивает лимит ставки валидатора с 32 ETH до 2048 ETH.
Хотя последнее обновление в основном считается полезным, EIP-7702 стал предметом критики в криптопространстве из-за лазейки, которую никто не предвидел.
EIP-7702 и транзакции SetCode
EIP-7702 является очень полезной частью обновления Pectra, которое позволяет кошелькам Ethereum вести себя как смарт-контракты.
Это означает, что пользователи могут делегировать контроль над своим кошельком другому контракту, просто подписав сообщение вне цепи.
На практике это мощная функция, которая делает умные аккаунты более удобными. Однако на практике ситуация совершенно иная.
Теперь, как сообщается, хакеры могут обманом заставить пользователей ( подписать на первый взгляд безобидное сообщение через фишинг, поддельные DApps или мошенничество в Discord).
Это сообщение на самом деле может содержать запрос на разрешение для злоумышленника установить скрытый доступ к кошельку пользователя.
Как только контроль был предоставлен, указанный злоумышленник может делать все, начиная от выполнения транзакций, отправки токенов и даже исчерпания всего ETH своей жертвы.
Еще хуже то, что после первоначального разрешения злоумышленнику не требуется дальнейшая подпись на блокчейне от жертвы.
Почему это так опасно?
Если последствия этой проблемы не были очевидны сразу, стоит упомянуть, что до Pectra пользователям Ethereum приходилось вручную подписывать ончейн-транзакции, чтобы разрешить изменения в кошельках или переводы средств.
Проще говоря, пользователь должен был подписывать каждую транзакцию перед одобрением.
На данный момент простая подпись измененного оффчейн сообщения может дать злоумышленникам полный контроль над аккаунтом.
Это, конечно, меняет всё в отношении безопасности криптовалютных кошельков, поскольку действие, которое ранее было безопасным (подписание оффчейн-сообщения), теперь может быть крайне рискованным.
Большинство современных интерфейсов кошельков не предназначены для обнаружения этого нового типа запроса на делегирование, и пользователи не получат никаких адекватных предупреждений перед тем, как подписать свои токены.
Без этих проверок мошенничество через фишинг и социальную инженерию, вероятно, возрастет в течение года.
Могут ли мультиподписные кошельки помочь?
Поскольку уязвимость, о которой идет речь, требует подписей как минимум один раз, аппаратные кошельки не являются по своей природе более безопасными, чем программные.
Однако мультиподписные кошельки существуют.
Такие кошельки требуют несколько приватных ключей для одобрения транзакций и являются более надежными с точки зрения безопасности.
С другой стороны, одно-ключевые кошельки, аппаратные или программные, должны быстро адаптироваться для анализа подписей и обнаружения подозрительных сигналов, иначе последствия для безопасности могут быть разрушительными.
Отказ от ответственности: Voice of Crypto стремится предоставлять точную и актуальную информацию, но не несет ответственности за любые недостающие факты или неточную информацию. Криптовалюты являются высоковолатильными финансовыми активами, поэтому проводите свои исследования и принимайте собственные финансовые решения.
Содержание носит исключительно справочный характер и не является предложением или офертой. Консультации по инвестициям, налогообложению или юридическим вопросам не предоставляются. Более подробную информацию о рисках см. в разделе «Дисклеймер».
Апгрейд Pectra Ethereum открыл опасную лазейку — вот что вы пропустили
Ключевые идеи
Недавнее обновление Pectra в Ethereum было отмечено за внедрение нескольких новых функций в сеть.
Эти функции были специально разработаны для поддержки масштабируемости и улучшения возможностей смарт-контрактов.
Однако под этими улучшениями скрывался недостаток безопасности, который мог позволить хакерам выкачивать средства из кошельков:
Используя только подпись вне цепочки.
Вот детали этого риска и что это может означать для безопасности сети Ethereum.
Что такое обновление Pectra?
Для некоторого контекста, обновление Pectra было активировано 7 мая на эпохе 364032.
Это обновление представило несколько предложений по улучшению Ethereum (EIPs), все из которых были разработаны для повышения производительности сети.
Некоторые из самых интересных из них включали EIP-7702, который позволяет делегировать кошельки через оффчейн-подписи, и EIP-7251, который увеличивает лимит ставки валидатора с 32 ETH до 2048 ETH.
Хотя последнее обновление в основном считается полезным, EIP-7702 стал предметом критики в криптопространстве из-за лазейки, которую никто не предвидел.
EIP-7702 и транзакции SetCode
EIP-7702 является очень полезной частью обновления Pectra, которое позволяет кошелькам Ethereum вести себя как смарт-контракты.
Это означает, что пользователи могут делегировать контроль над своим кошельком другому контракту, просто подписав сообщение вне цепи.
На практике это мощная функция, которая делает умные аккаунты более удобными. Однако на практике ситуация совершенно иная.
Теперь, как сообщается, хакеры могут обманом заставить пользователей ( подписать на первый взгляд безобидное сообщение через фишинг, поддельные DApps или мошенничество в Discord).
Это сообщение на самом деле может содержать запрос на разрешение для злоумышленника установить скрытый доступ к кошельку пользователя.
Как только контроль был предоставлен, указанный злоумышленник может делать все, начиная от выполнения транзакций, отправки токенов и даже исчерпания всего ETH своей жертвы.
Еще хуже то, что после первоначального разрешения злоумышленнику не требуется дальнейшая подпись на блокчейне от жертвы.
Почему это так опасно?
Если последствия этой проблемы не были очевидны сразу, стоит упомянуть, что до Pectra пользователям Ethereum приходилось вручную подписывать ончейн-транзакции, чтобы разрешить изменения в кошельках или переводы средств.
Проще говоря, пользователь должен был подписывать каждую транзакцию перед одобрением.
На данный момент простая подпись измененного оффчейн сообщения может дать злоумышленникам полный контроль над аккаунтом.
Это, конечно, меняет всё в отношении безопасности криптовалютных кошельков, поскольку действие, которое ранее было безопасным (подписание оффчейн-сообщения), теперь может быть крайне рискованным.
Большинство современных интерфейсов кошельков не предназначены для обнаружения этого нового типа запроса на делегирование, и пользователи не получат никаких адекватных предупреждений перед тем, как подписать свои токены.
Без этих проверок мошенничество через фишинг и социальную инженерию, вероятно, возрастет в течение года.
Могут ли мультиподписные кошельки помочь?
Поскольку уязвимость, о которой идет речь, требует подписей как минимум один раз, аппаратные кошельки не являются по своей природе более безопасными, чем программные.
Однако мультиподписные кошельки существуют.
Такие кошельки требуют несколько приватных ключей для одобрения транзакций и являются более надежными с точки зрения безопасности.
С другой стороны, одно-ключевые кошельки, аппаратные или программные, должны быстро адаптироваться для анализа подписей и обнаружения подозрительных сигналов, иначе последствия для безопасности могут быть разрушительными.
Отказ от ответственности: Voice of Crypto стремится предоставлять точную и актуальную информацию, но не несет ответственности за любые недостающие факты или неточную информацию. Криптовалюты являются высоковолатильными финансовыми активами, поэтому проводите свои исследования и принимайте собственные финансовые решения.