## **キーインサイト*** イーサリアムのPectraアップグレードは、イーサリアムネットワークのユーザー体験を改善することに焦点を当てていました。* しかし、開発者はコード内の危険な脆弱性を見落としている可能性があります。* EIP-7702は、ユーザーがオフチェーンでメッセージに署名するだけで、別のコントラクトに自分のウォレットの制御を委任できることを可能にします。* 攻撃者はこれを利用して、フィッシング戦術を用いて被害者のウォレットにバックドアアクセスをインストールすることができます。* これらの悪意のある行為者は、現在最も安全なオプションであるマルチシグウォレットを使用して資金を引き出すことができます。イーサリアムの最近のPectraアップグレードは、ネットワークにいくつかの新機能をもたらしたことで評価されています。これらの機能は、特にスケーラビリティをサポートし、スマートコントラクトの能力を向上させるために設計されました。しかし、これらの改善の裏には、ハッカーがウォレットから資金を排出できるセキュリティの欠陥がありました。オンチェーン署名を使用せずに、オフチェーン署名のみを使用します。ここに、このリスクの詳細と、それがイーサリアムネットワークのセキュリティに何を意味するかがあります。 ## **ペクトラアップグレードとは何ですか?**参考までに、Pectraアップグレードは5月7日にエポック364032でアクティブになりました。このアップグレードでは、ネットワークのパフォーマンスを向上させるために設計された複数のEthereum改善提案(EIPs)が導入されました。これらの中で最も興味深いもののいくつかは、オフチェーン署名を通じてウォレットの委任を可能にするEIP-7702や、バリデータのステーキング制限を32 ETHから2,048 ETHに引き上げるEIP-7251を含んでいます。後者のアップグレードは主に有益であると見なされていますが、EIP-7702は誰も予想しなかった抜け穴のために暗号空間で批判の標的となっています。 ## **EIP-7702 および SetCode トランザクション**EIP-7702は、Ethereumウォレットがそれ自体でスマートコントラクトのように振る舞うことを可能にするPectraアップグレードの非常に便利な部分です。これにより、ユーザーはオフチェーンでメッセージに署名するだけで、別の契約に自分のウォレットの管理を委任できるようになります。理論的には、これはスマートアカウントをより使いやすくする強力な機能です。しかし、実際には話は非常に異なります。ハッカーは現在、フィッシング、偽DApp、またはDiscord詐欺(を通じてユーザーを騙し、見た目には無害なメッセージに署名させることができると報じられています。そのメッセージには、実際には攻撃者がユーザーのウォレットにバックドアアクセスをインストールするための許可を求める要求が含まれている可能性があります。制御が付与されると、攻撃者は取引を実行したり、トークンを送信したり、さらには被害者のETHをすべて排出することさえできます。さらに悪いことに、最初の許可が与えられた後、攻撃者は被害者からの追加のオンチェーン署名を必要としません。 ## **なぜこれは非常に危険なのか?**この問題の影響がすぐに明らかでない場合は、Pectraの前にEthereumユーザーがウォレットの変更や資金の転送を許可するためにオンチェーン取引に手動で署名しなければならなかったことを指摘する価値があります。簡単に言うと、ユーザーは承認前にすべての取引に署名する必要がありました。現状では、改ざんされたオフチェーンメッセージに単に署名するだけで、攻撃者がアカウントを完全に制御できるようになります。これはもちろん、暗号財布のセキュリティに関するすべてを変えます。以前は安全だった行動)オフチェーンメッセージの署名(が、今では非常にリスクが高くなる可能性があります。現在のほとんどのウォレットインターフェースは、この新しい種類の委任リクエストを検出するようには設計されておらず、ユーザーはトークンをサインする前に適切な警告を受けることはありません。これらのチェックがなければ、フィッシングやソーシャルエンジニアリング詐欺は年間を通じて急増する可能性が高い。 ## **マルチシグウォレットは役立つか?**問題の脆弱性は少なくとも一度は署名を必要とするため、ハードウェアウォレットはソフトウェアベースのウォレットよりも本質的に安全ではありません。しかし、マルチシグウォレットは。この種のウォレットは、トランザクションを承認するために複数の秘密鍵を必要とし、セキュリティの面でより強力です。一方、シングルキーウォレット(ハードウェアまたはソフトウェア)は、署名を解析し、警告信号を検出するために迅速に適応しなければならず、そうしなければセキュリティの影響は壊滅的なものになる可能性があります。***免責事項: Voice of Cryptoは正確で最新の情報を提供することを目指していますが、事実の欠落や不正確な情報については責任を負いません。暗号通貨は非常にボラティリティの高い金融資産であるため、調査を行い、自身の財務決定を下してください。***
イーサリアムのペクトラアップグレードが危険なバックドアを開いた—あなたが見逃したことはこちらです
キーインサイト
イーサリアムの最近のPectraアップグレードは、ネットワークにいくつかの新機能をもたらしたことで評価されています。
これらの機能は、特にスケーラビリティをサポートし、スマートコントラクトの能力を向上させるために設計されました。
しかし、これらの改善の裏には、ハッカーがウォレットから資金を排出できるセキュリティの欠陥がありました。
オンチェーン署名を使用せずに、オフチェーン署名のみを使用します。
ここに、このリスクの詳細と、それがイーサリアムネットワークのセキュリティに何を意味するかがあります。
ペクトラアップグレードとは何ですか?
参考までに、Pectraアップグレードは5月7日にエポック364032でアクティブになりました。
このアップグレードでは、ネットワークのパフォーマンスを向上させるために設計された複数のEthereum改善提案(EIPs)が導入されました。
これらの中で最も興味深いもののいくつかは、オフチェーン署名を通じてウォレットの委任を可能にするEIP-7702や、バリデータのステーキング制限を32 ETHから2,048 ETHに引き上げるEIP-7251を含んでいます。
後者のアップグレードは主に有益であると見なされていますが、EIP-7702は誰も予想しなかった抜け穴のために暗号空間で批判の標的となっています。
EIP-7702 および SetCode トランザクション
EIP-7702は、Ethereumウォレットがそれ自体でスマートコントラクトのように振る舞うことを可能にするPectraアップグレードの非常に便利な部分です。
これにより、ユーザーはオフチェーンでメッセージに署名するだけで、別の契約に自分のウォレットの管理を委任できるようになります。
理論的には、これはスマートアカウントをより使いやすくする強力な機能です。しかし、実際には話は非常に異なります。
ハッカーは現在、フィッシング、偽DApp、またはDiscord詐欺(を通じてユーザーを騙し、見た目には無害なメッセージに署名させることができると報じられています。
そのメッセージには、実際には攻撃者がユーザーのウォレットにバックドアアクセスをインストールするための許可を求める要求が含まれている可能性があります。
制御が付与されると、攻撃者は取引を実行したり、トークンを送信したり、さらには被害者のETHをすべて排出することさえできます。
さらに悪いことに、最初の許可が与えられた後、攻撃者は被害者からの追加のオンチェーン署名を必要としません。
なぜこれは非常に危険なのか?
この問題の影響がすぐに明らかでない場合は、Pectraの前にEthereumユーザーがウォレットの変更や資金の転送を許可するためにオンチェーン取引に手動で署名しなければならなかったことを指摘する価値があります。
簡単に言うと、ユーザーは承認前にすべての取引に署名する必要がありました。
現状では、改ざんされたオフチェーンメッセージに単に署名するだけで、攻撃者がアカウントを完全に制御できるようになります。
これはもちろん、暗号財布のセキュリティに関するすべてを変えます。以前は安全だった行動)オフチェーンメッセージの署名(が、今では非常にリスクが高くなる可能性があります。
現在のほとんどのウォレットインターフェースは、この新しい種類の委任リクエストを検出するようには設計されておらず、ユーザーはトークンをサインする前に適切な警告を受けることはありません。
これらのチェックがなければ、フィッシングやソーシャルエンジニアリング詐欺は年間を通じて急増する可能性が高い。
マルチシグウォレットは役立つか?
問題の脆弱性は少なくとも一度は署名を必要とするため、ハードウェアウォレットはソフトウェアベースのウォレットよりも本質的に安全ではありません。
しかし、マルチシグウォレットは。
この種のウォレットは、トランザクションを承認するために複数の秘密鍵を必要とし、セキュリティの面でより強力です。
一方、シングルキーウォレット(ハードウェアまたはソフトウェア)は、署名を解析し、警告信号を検出するために迅速に適応しなければならず、そうしなければセキュリティの影響は壊滅的なものになる可能性があります。
免責事項: Voice of Cryptoは正確で最新の情報を提供することを目指していますが、事実の欠落や不正確な情報については責任を負いません。暗号通貨は非常にボラティリティの高い金融資産であるため、調査を行い、自身の財務決定を下してください。