以太坊的Pectra升級打開了一個危險的後門——以下是你錯過的內容

關鍵見解

• 以太坊的Pectra升級旨在改善以太坊網路的用戶體驗。
• 然而，開發人員可能忽視了代碼中的一個危險漏洞。
• EIP-7702 允許用戶通過簡單地在鏈下籤署消息，將對他們錢包的控制權委托給另一個合約。
• 攻擊者可以利用這一點，使用網絡釣魚策略來在受害者的錢包中安裝後門訪問。
• 這些不法分子可以提取資金，目前多籤名錢包是最安全的選擇。

以太坊最近的Pectra升級因爲爲網路帶來了多個新功能而受到稱贊。

這些功能特別設計用於支持可擴展性並改善智能合約能力。

然而，在這些改進的背後存在一個安全漏洞，這可能允許黑客從錢包中提取資金：

僅使用鏈下籤名。

以下是此風險的詳細信息以及它可能對以太坊網路安全的影響。

Pectra升級究竟是什麼？

爲了提供一些背景，Pectra升級於5月7日，在紀元364032激活。

此次升級引入了多個以太坊改進提案(EIPs)，這些提案旨在提升網路的性能。

其中一些最有趣的包括 EIP-7702，它允許通過鏈外籤名進行錢包委托，以及 EIP-7251，它將驗證者的質押上限從 32 ETH 增加到 2,048 ETH。

雖然後者的升級在很大程度上被視爲有益，但EIP-7702因一個沒人預料到的漏洞而成爲加密領域批評的焦點。

EIP-7702 和 SetCode 交易

EIP-7702是Pectra升級中非常有用的一部分，它使以太坊錢包本身能夠像智能合約一樣運作。

這意味着用戶可以通過簡單地在鏈下籤署一條消息，將他們的錢包的控制權委托給另一個合約。

理論上，這是一個強大的功能，使智能帳戶更易於使用。然而，實際上，情況卻大相徑庭。

黑客現在 reportedly 可以通過釣魚、假 DApps 或 Discord 詐騙(來欺騙用戶籤署一條看似無害的信息。

實際上，該消息可能包含攻擊者請求在用戶的錢包中安裝後門訪問的請求。

一旦控制權被授予，攻擊者可以執行交易、發送代幣，甚至將受害者的所有ETH提取幹淨。

更糟糕的是，在初始權限被授予後，攻擊者無需再從受害者那裏獲得任何進一步的鏈上籤名。

這爲什麼如此危險？

如果這個問題的影響並不立刻顯而易見，那麼值得一提的是，在Pectra之前，以太坊用戶必須手動籤署鏈上交易以允許錢包修改或資金轉移。

簡單來說，用戶必須在每筆交易獲得批準之前進行籤名。

就目前而言，僅僅籤署一個被篡改的鏈下消息就可以讓攻擊者完全控制一個帳戶。

這當然改變了加密錢包安全的所有內容，因爲之前安全的操作)籤署鏈下消息(現在可能變得非常危險。

目前大多數錢包界面並未設計爲能夠檢測這種新型的委托請求，因此用戶在籤署他們的代幣之前不會收到任何適當的警告。

如果沒有這些檢查，網絡釣魚和社交工程詐騙在一年內可能會急劇增加。

多簽錢包能幫助嗎？

由於所討論的漏洞至少需要一次籤名，因此硬體錢包並不比基於軟件的錢包本質上更安全。

然而，多重籤名錢包是。

這類錢包需要多個私鑰來批準交易，安全性更強。

另一方面，單密鑰錢包，無論是硬件還是軟件，都必須快速適應以解析籤名並檢測警示信號，否則安全隱患可能會造成毀滅性的後果。

免責聲明：Crypto之聲旨在提供準確和最新的信息，但不對任何遺漏的事實或不準確信息負責。加密貨幣是高度波動的金融資產，因此請進行研究並做出自己的財務決策。