Az Ethereum Pectra frissítése előhozott egy nagyon komoly, új sebezhetőséget
Az Ethereum blokklánc forkja május hetedikén megtörtént a Pectra kódfrissítése miatt, ami egy sor új funkciót, frissítést és egyben sebezhetőséget vezetett be. Maga a Pectra-frissítés a skálázhatóság javítását célozta meg. De például jelentősen megnövelte a validátorok által leköthető ETH-mennyiséget is. A maximális 32 ETH helyett mostantól 2048 ETH-t lehet stakelni a hálózat decentralizációjának a javítása érdekében. A most megtörtént átállást követő egy órán belül azonban aggódó felhasználók jelentek meg, akik egy új veszélyforrásra figyelmeztettek: az üzenetek aláírására. Egy felhasználó a Telegramon azt írta, hogy ha nem figyelünk, mit írunk alá, minden tokenünket elveszíthetjük. Ezt több felhasználó aztán meg is erősítette.
A Pectra frissítés új sebezhetőségét a tárcák segíthetnek kivédeni
Ahogy a bevezetőben írtuk, a Pectra frissítés tartalmazta a 3074-es Ethereum Fejlesztési Javaslatot (EIP) is, amely új AUTH és AUTHCALL Ethereum műveleti kódokat vezetett be. Ezek a műveleti kódok lehetővé teszik, hogy egy Ethereum privát kulcs tulajdonosa felhatalmazást delegáljon egy okosszerződésre. A fejlesztők ezt fontos lépésnek nevezték a számlaabsztrakció megvalósításában. A kritikusok szerint azonban új adathalász-támadásokat vezetett be, amelyek lehetővé teszik a felhasználó tárcájában lévő összes eszköz ellopását, amint delegálja a kulcsok feletti ellenőrzést.
Az EIP-3074 megalkotói egy, a Binance-en közzétett bejegyzéssel próbálták megnyugtatni a felhasználókat. Azt írták, hogy nem tudnak olyan tárcáról, amely lehetővé teszi a helytelen előtaggal ellátott üzenetek aláírását a felhasználó figyelmeztetése nélkül. A tranzakciók a 0x04-es előtagot használják, és az EIP szerzői remélik, hogy az összes nagyobb Ethereum tárca feltűnő figyelmeztetéssel jelöli meg a 0x04-es üzeneteket, hogy tájékoztassa a felhasználót a többszörös kifizetések engedélyezésének erejéről, beleértve az esetleges lopást is. A Pectra fork az EIP-7702-t is hozzáadta a kódcsomaghoz, ami emelte a stakelhető ETH mennyiségét.
Ezt az EIP-7702 erejével kombinálva egyetlen rossz aláírás ideiglenesen delegálhatja valaki teljes számláját egy harmadik fél okosszerződésére. Aztán ha az az okosszerződés rosszindulatú, akkor potenciálisan az összes eszközét (ETH, NFT-k stb.) elveszítheti a felhasználó. A Pectra Ethereum előtti tranzakciókkal szemben az EIP-7702-vel még több támadási felület van egy felhasználón. Hiszen a külső tulajdonú számlák (EOA) most már ki vannak téve a harmadik feles okosszerződések sebezhetőségének. Hír még nem érkezett, hogy emiatt egyébként valaki veszteségeket szenvedett volna. Plusz a legtöbb tárcaszolgáltató, mint a MetaMask, már kifejezetten erős figyelmeztetéseket küldenek EIP-3074-es üzenet aláírásakor.