随着Pectra升级的实施,新的安全挑战出现,用户需警惕新型攻击方式。
以太坊最新的网络升级Pectra引入了旨在提升可扩展性和智能账户功能的新特性——但它也开启了一个危险的新攻击途径,允许黑客仅凭一个链下签名就能掏空用户钱包中的资金。
Pectra升级下的新型攻击方式
在5月7日于纪元364032上线的Pectra升级下,攻击者可以利用一种新的交易类型来控制外部拥有账户(EOAs),而无需用户签署链上交易。Solidity智能合约审计员Arda Usman向Cointelegraph确认,“攻击者仅凭一个链下签名消息(无需用户直接签署链上交易)就能掏空一个EOA的资金成为可能。”
EIP-7702的核心风险
风险的核心在于EIP-7702,这是Pectra升级的一个核心组成部分。这项以太坊改进提案引入了SetCode交易(类型0x04),使用户仅通过签署一条消息就能将钱包控制权委托给另一个合约。如果攻击者获得了这个签名——比如通过钓鱼网站——他们可以用一个将调用转发到其恶意合约的小型代理覆盖钱包的代码。“一旦代码被设置,”Usman解释说,“攻击者就可以调用该代码转移账户的ETH或代币——而用户从未签署过正常的转账交易。”
如何防范Pectra升级带来的安全风险
提高安全意识
“用户不应签署他们不理解的消息,”Hacken的链上研究员Yehor Rudytsia建议。他还敦促钱包开发者在用户被要求签署委托消息时提供清晰的警告。
使用多重签名钱包
虽然多重签名钱包在这次升级下仍然更安全,得益于它们需要多个签署者,但单密钥钱包——硬件或其他——必须采用新的签名解析和红旗标记工具以防止潜在的利用。
更新钱包软件
确保你的钱包软件是最新版本,能够识别和分析新的交易类型,特别是交易类型0x04。
结论:保持警惕是关键
随着Pectra升级的实施,以太坊的可扩展性和功能性得到了提升,但同时也带来了新的安全挑战。用户和开发者必须采取积极措施来防范这些新出现的威胁,确保资产的安全。
阅读原文
Cointelegraph: Pectra lets hackers drain wallets with just an offchain signature
Ethereum’s Pectra upgrade introduces offchain wallet delegation via EIP-7702, allowing attackers to drain funds using just a signed message.
相关词条
- Pectra升级: 以太坊最新的网络升级,引入了新的交易类型和智能账户功能,旨在提升可扩展性。
- EIP-7702: 以太坊改进提案,是Pectra升级的核心组成部分,引入了SetCode交易类型,允许通过链下签名将钱包控制权委托给另一个合约。
- SetCode交易: 一种新的交易类型(类型0x04),使用户仅通过签署一条消息就能将钱包控制权委托给另一个合约。
- EIP-7251: 以太坊改进提案,作为Pectra升级的一部分,将以太坊的验证者质押上限从32提高到2,048 ETH。
- EIP-7691: 以太坊改进提案,作为Pectra升级的一部分,增加了每个块的数据blob数量,以实现更好的第2层可扩展性。
可能问题
- EIP-7702如何通过链下签名改变以太坊钱包的安全性?
- 为什么Pectra升级后硬件钱包不再被认为是绝对安全的?
- 在Pectra升级下,哪些类型的智能合约最容易受到新型攻击的影响?
- 用户如何保护自己免受Pectra升级引入的新型攻击途径的威胁?
- EIP-7251和EIP-7691对以太坊网络的主要改进是什么?
