Оновлення Pectra Ethereum було спрямоване на покращення досвіду користувачів мережі Ethereum.
Однак, розробники могли не помітити небезпечну вразливість у коді.
EIP-7702 дозволяє користувачам делегувати контроль над своїм гаманцем іншому контракту, просто підписавши повідомлення поза ланцюгом.
Зловмисники можуть скористатися цим і використовувати фішингові тактики для встановлення бекдор-доступу до гаманця жертви.
Ці зловмисники можуть потім виводити кошти, при цьому багатопідписні гаманці наразі є найбезпечнішим варіантом.
Недавнє оновлення Pectra Ethereum було визнано за впровадження кількох нових функцій в мережу.
Ці функції були спеціально розроблені для підтримки масштабованості та покращення можливостей смарт-контрактів.
Однак під цими покращеннями була вразливість безпеки, яка могла дозволити хакерам вивести кошти з гаманців:
Використовуючи лише підпис поза ланцюгом.
Ось деталі цього ризику та що він може означати для безпеки в мережі Ethereum.
Що таке оновлення Pectra?
Для деякого контексту, оновлення Pectra було активовано 7 травня, на епосі 364032.
Це оновлення представило кілька пропозицій щодо поліпшення Ethereum (EIPs), всі з яких були розроблені для покращення продуктивності мережі.
Деякі з найцікавіших з них включали EIP-7702, який дозволяє делегувати гаманці через офлайн-підписи, та EIP-7251, який збільшує ліміт ставлення валідаторів з 32 ETH до 2,048 ETH.
Хоча останнє оновлення вважається в основному корисним, EIP-7702 став об'єктом критики в криптопросторі через лазівку, яку ніхто не передбачав.
EIP-7702 та транзакції SetCode
EIP-7702 є дуже корисною частиною оновлення Pectra, яке дозволяє гаманцям Ethereum функціонувати як смарт-контракти.
Це означає, що користувачі можуть делегувати контроль над своїм гаманцем іншому контракту, просто підписавши повідомлення поза ланцюгом.
В теорії це потужна функція, яка робить смарт-рахунки більш зручними для використання. Однак на практиці ситуація зовсім інша.
Хакери тепер, за повідомленнями, можуть обманювати користувачів ( через фішинг, підроблені DApp або шахрайства в Discord), змушуючи їх підписувати, здавалося б, безпечне повідомлення.
Це повідомлення, насправді, може містити запит на дозвіл для нападника встановити зворотний доступ до гаманця користувача.
Після надання контролю, зловмисник може робити все, починаючи від виконання транзакцій, відправки токенів і навіть виснаження всього ETH своєї жертви.
Ще гірше те, що після надання початкового дозволу зловмиснику більше не потрібен підпис у ланцюжку від жертви.
Чому це так небезпечно?
Якщо наслідки цього питання не були одразу очевидні, варто згадати, що до Pectra користувачі Ethereum повинні були вручну підписувати транзакції в мережі, щоб дозволити зміни в гаманцях або перекази коштів.
Простими словами, користувач повинен був підписати кожну транзакцію перед затвердженням.
На даний момент просто підписування зміненого повідомлення поза блокчейном може надати зловмисникам повний контроль над обліковим записом.
Це, звичайно, змінює все щодо безпеки криптовалютних гаманців, оскільки дія, яка раніше була безпечною (підписання офлайн-повідомлення), тепер може бути дуже ризикованою.
Більшість сучасних інтерфейсів гаманців не призначені для виявлення цього нового типу запиту на делегацію, і користувачі не отримають жодних адекватних попереджень перед тим, як підписати свої токени.
Без цих перевірок фішинг і шахрайство з соціальної інженерії, ймовірно, злетять до небес протягом року.
Чи можуть мультипідписні гаманці допомогти?
Оскільки вразливість, про яку йдеться, вимагає підписів принаймні один раз, апаратні гаманці не є за визначенням безпечнішими за програмні.
Однак, мультипідписні гаманці є.
Ці види гаманців вимагають кілька приватних ключів для підтвердження транзакцій і є більш надійними з точки зору безпеки.
З іншого боку, гаманці з одним ключем, апаратні або програмні, повинні швидко адаптуватися до розбору підписів і виявлення тривожних знаків, інакше наслідки для безпеки можуть бути руйнівними.
Відмова від відповідальності: Voice of Crypto прагне надавати точну та актуальну інформацію, але не несе відповідальності за будь-які відсутні факти або неточну інформацію. Криптовалюти є високоволатильними фінансовими активами, тому досліджуйте та приймайте власні фінансові рішення.
Контент має виключно довідковий характер і не є запрошенням до участі або пропозицією. Інвестиційні, податкові чи юридичні консультації не надаються. Перегляньте Відмову від відповідальності , щоб дізнатися більше про ризики.
Оновлення Pectra Ethereum відкрило небезпечну лазівку—ось що ви пропустили
Ключові висновки
Недавнє оновлення Pectra Ethereum було визнано за впровадження кількох нових функцій в мережу.
Ці функції були спеціально розроблені для підтримки масштабованості та покращення можливостей смарт-контрактів.
Однак під цими покращеннями була вразливість безпеки, яка могла дозволити хакерам вивести кошти з гаманців:
Використовуючи лише підпис поза ланцюгом.
Ось деталі цього ризику та що він може означати для безпеки в мережі Ethereum.
Що таке оновлення Pectra?
Для деякого контексту, оновлення Pectra було активовано 7 травня, на епосі 364032.
Це оновлення представило кілька пропозицій щодо поліпшення Ethereum (EIPs), всі з яких були розроблені для покращення продуктивності мережі.
Деякі з найцікавіших з них включали EIP-7702, який дозволяє делегувати гаманці через офлайн-підписи, та EIP-7251, який збільшує ліміт ставлення валідаторів з 32 ETH до 2,048 ETH.
Хоча останнє оновлення вважається в основному корисним, EIP-7702 став об'єктом критики в криптопросторі через лазівку, яку ніхто не передбачав.
EIP-7702 та транзакції SetCode
EIP-7702 є дуже корисною частиною оновлення Pectra, яке дозволяє гаманцям Ethereum функціонувати як смарт-контракти.
Це означає, що користувачі можуть делегувати контроль над своїм гаманцем іншому контракту, просто підписавши повідомлення поза ланцюгом.
В теорії це потужна функція, яка робить смарт-рахунки більш зручними для використання. Однак на практиці ситуація зовсім інша.
Хакери тепер, за повідомленнями, можуть обманювати користувачів ( через фішинг, підроблені DApp або шахрайства в Discord), змушуючи їх підписувати, здавалося б, безпечне повідомлення.
Це повідомлення, насправді, може містити запит на дозвіл для нападника встановити зворотний доступ до гаманця користувача.
Після надання контролю, зловмисник може робити все, починаючи від виконання транзакцій, відправки токенів і навіть виснаження всього ETH своєї жертви.
Ще гірше те, що після надання початкового дозволу зловмиснику більше не потрібен підпис у ланцюжку від жертви.
Чому це так небезпечно?
Якщо наслідки цього питання не були одразу очевидні, варто згадати, що до Pectra користувачі Ethereum повинні були вручну підписувати транзакції в мережі, щоб дозволити зміни в гаманцях або перекази коштів.
Простими словами, користувач повинен був підписати кожну транзакцію перед затвердженням.
На даний момент просто підписування зміненого повідомлення поза блокчейном може надати зловмисникам повний контроль над обліковим записом.
Це, звичайно, змінює все щодо безпеки криптовалютних гаманців, оскільки дія, яка раніше була безпечною (підписання офлайн-повідомлення), тепер може бути дуже ризикованою.
Більшість сучасних інтерфейсів гаманців не призначені для виявлення цього нового типу запиту на делегацію, і користувачі не отримають жодних адекватних попереджень перед тим, як підписати свої токени.
Без цих перевірок фішинг і шахрайство з соціальної інженерії, ймовірно, злетять до небес протягом року.
Чи можуть мультипідписні гаманці допомогти?
Оскільки вразливість, про яку йдеться, вимагає підписів принаймні один раз, апаратні гаманці не є за визначенням безпечнішими за програмні.
Однак, мультипідписні гаманці є.
Ці види гаманців вимагають кілька приватних ключів для підтвердження транзакцій і є більш надійними з точки зору безпеки.
З іншого боку, гаманці з одним ключем, апаратні або програмні, повинні швидко адаптуватися до розбору підписів і виявлення тривожних знаків, інакше наслідки для безпеки можуть бути руйнівними.
Відмова від відповідальності: Voice of Crypto прагне надавати точну та актуальну інформацію, але не несе відповідальності за будь-які відсутні факти або неточну інформацію. Криптовалюти є високоволатильними фінансовими активами, тому досліджуйте та приймайте власні фінансові рішення.