以太坊的Pectra升级打开了一个危险的后门——以下是你错过的内容

关键见解

• 以太坊的Pectra升级旨在改善以太坊网络的用户体验。
• 然而，开发人员可能忽视了代码中的一个危险漏洞。
• EIP-7702 允许用户通过简单地在链下签署消息，将对他们钱包的控制权委托给另一个合约。
• 攻击者可以利用这一点，使用网络钓鱼策略来在受害者的钱包中安装后门访问。
• 这些不法分子可以提取资金，目前多签名钱包是最安全的选择。

以太坊最近的Pectra升级因为为网络带来了多个新功能而受到称赞。

这些功能特别设计用于支持可扩展性并改善智能合约能力。

然而，在这些改进的背后存在一个安全漏洞，这可能允许黑客从钱包中提取资金：

仅使用链下签名。

以下是此风险的详细信息以及它可能对以太坊网络安全的影响。

Pectra升级究竟是什么？

为了提供一些背景，Pectra升级于5月7日，在纪元364032激活。

此次升级引入了多个以太坊改进提案(EIPs)，这些提案旨在提升网络的性能。

其中一些最有趣的包括 EIP-7702，它允许通过链外签名进行钱包委托，以及 EIP-7251，它将验证者的质押上限从 32 ETH 增加到 2,048 ETH。

虽然后者的升级在很大程度上被视为有益，但EIP-7702因一个没人预料到的漏洞而成为加密领域批评的焦点。

EIP-7702 和 SetCode 交易

EIP-7702是Pectra升级中非常有用的一部分，它使以太坊钱包本身能够像智能合约一样运作。

这意味着用户可以通过简单地在链下签署一条消息，将他们的钱包的控制权委托给另一个合约。

理论上，这是一个强大的功能，使智能账户更易于使用。然而，实际上，情况却大相径庭。

黑客现在 reportedly 可以通过钓鱼、假 DApps 或 Discord 诈骗(来欺骗用户签署一条看似无害的信息。

实际上，该消息可能包含攻击者请求在用户的钱包中安装后门访问的请求。

一旦控制权被授予，攻击者可以执行交易、发送代币，甚至将受害者的所有ETH提取干净。

更糟糕的是，在初始权限被授予后，攻击者无需再从受害者那里获得任何进一步的链上签名。

这为什么如此危险？

如果这个问题的影响并不立刻显而易见，那么值得一提的是，在Pectra之前，以太坊用户必须手动签署链上交易以允许钱包修改或资金转移。

简单来说，用户必须在每笔交易获得批准之前进行签名。

就目前而言，仅仅签署一个被篡改的链下消息就可以让攻击者完全控制一个账户。

这当然改变了加密钱包安全的所有内容，因为之前安全的操作)签署链下消息(现在可能变得非常危险。

目前大多数钱包界面并未设计为能够检测这种新型的委托请求，因此用户在签署他们的代币之前不会收到任何适当的警告。

如果没有这些检查，网络钓鱼和社交工程诈骗在一年内可能会急剧增加。

多签钱包能帮助吗？

由于所讨论的漏洞至少需要一次签名，因此硬件钱包并不比基于软件的钱包本质上更安全。

然而，多重签名钱包是。

这类钱包需要多个私钥来批准交易，安全性更强。

另一方面，单密钥钱包，无论是硬件还是软件，都必须快速适应以解析签名并检测警示信号，否则安全隐患可能会造成毁灭性的后果。

免责声明：Crypto之声旨在提供准确和最新的信息，但不对任何遗漏的事实或不准确信息负责。加密货币是高度波动的金融资产，因此请进行研究并做出自己的财务决策。