Свежее обновление Ethereum под названием Pectra, которое вышло 7 мая, несёт не только крутые улучшения для масштабируемости и смарт-кошельков, но и открывает новую, весьма опасную дыру в безопасности. Теперь злоумышленники могут опустошать кошельки, имея на руках всего лишь одну подпись вне блокчейна.
Как сообщают эксперты, с обновлением Pectra (эпоха 364032, если кому интересно), появился новый тип транзакций, который позволяет хакерам получать контроль над обычными кошельками (EOA), и для этого пользователю даже не нужно подписывать транзакцию в самой сети.
В сердцевине этой вероятной опасности располагается EIP-7702 – одна из основных особенностей апгрейда Pectra. Данное предложение внедряет операцию SetCode (вид 0x04), которая даёт возможность юзерам делегировать контроль над их хранилищем другому соглашению, всего лишь заверив извещение. И вот где скрывается риск: ежели киберпреступник завладеет подобной авторизацией – скажем, посредством мошеннического веб-ресурса – он сможет изменить программный код хранилища, внедрив небольшой посредник, который станет перенаправлять все запросы к его пагубному умному контракту.
Ехор Рудиця, исследователь из Hacken, отмечает, что этот свежий вид операций, возникший в Pectra, даёт возможность инсталлировать произвольный программный код на учётную запись пользователя, по сути превращая его хранилище в программируемый умный контракт.
Прежде, чтобы видоизменить хранилище, требовалась операция, заверенная непосредственно пользователем. Ныне же обычная электронная подпись вне цепочки блоков может установить программный код, который передаёт полный контроль над хранилищем вредоносному соглашению.
Опасность, по словам специалистов, совершенно ощутима и насущна уже сейчас, ведь Pectra была запущена 7 мая 2025 года. "С этого времени любая легитимная авторизация делегирования может быть применена", – предостерегает Усман, добавляя, что умные контракты, которые опираются на устаревшие гипотезы (к примеру, применение tx.origin или элементарные проверки исключительно EOA), находятся в области особого риска.
Наибольшей уязвимости подвержены хранилища и интерфейсы, которые не способны выявлять или корректно визуализировать эти новые виды операций. Рудиця предупреждает, что хранилища небезопасны, если они не разбирают виды операций Ethereum, в особенности операцию вида 0x04. Он акцентирует, что хранилища обязаны отчётливо отображать запросы на передачу полномочий и обозначать любые сомнительные адреса.
Новая атака легко осуществима через фишинг, поддельные DApps и Discord. Эксперты считают это основным вектором атак после Pectra. Пользователям следует крайне внимательно относиться к подписываемым сообщениям. Аппаратные кошельки теперь так же уязвимы для вредоносных подписей, как и "горячие". Разработчикам кошельков необходимо предоставлять чёткие предупреждения о делегировании полномочий, особенно в связи с новыми форматами подписей EIP-7702, которые могут выглядеть как обычные хэши.
Кроме того, EIP-7702 позволяет подписывать сообщения с chain_id = 0, что означает, что подписанное сообщение может быть использовано на любом блокчейне, совместимом с Ethereum. "Поймите, это может быть использовано где угодно", – говорит Усман.
В то время как мультисиг-кошельки остаются более безопасными благодаря необходимости нескольких подписей, владельцам обычных кошельков (как аппаратных, так и программных) следует использовать новые инструменты для анализа подписей и обращать внимание на красные флаги, чтобы избежать потенциальных атак.
Наряду с EIP-7702, обновление Pectra также включает EIP-7251 (увеличение лимита стейкинга ETH до 2048) и EIP-7691 (увеличение количества данных в блоке для улучшения масштабируемости второго уровня).
0 комментариев Комментарии
Мы выбираем 🔥
| Bybit - Удобная биржа. Простая верификация. Отличный выбор начинающих. Скидки на комиссии по ссылке + бонусы до 5000$ | перейти |
| Mexc - Проводят много акций. Часто прилетают бонусы. Кешбэк! Низкие торговые комиссии. | перейти |
| Okx - Шикарный выбор трейдинговых ботов для автоматизации. Присоединяйся, получи Mystery Box и выиграй до 10 000$ | перейти |
Биток.Блог