Bản nâng cấp Pectra của Ethereum tập trung vào việc cải thiện trải nghiệm người dùng của mạng Ethereum.
Tuy nhiên, các nhà phát triển có thể đã bỏ qua một lỗ hổng nguy hiểm trong mã.
EIP-7702 cho phép người dùng ủy quyền kiểm soát ví của họ cho một hợp đồng khác chỉ bằng cách ký một thông điệp ngoài chuỗi.
Kẻ tấn công có thể tận dụng điều này và sử dụng các chiến thuật lừa đảo để cài đặt quyền truy cập lén vào ví của nạn nhân.
Những kẻ xấu này có thể rút tiền, với ví multi-sig hiện đang là lựa chọn an toàn nhất.
Bản nâng cấp Pectra gần đây của Ethereum đã được ca ngợi vì mang lại nhiều tính năng mới cho mạng lưới.
Các tính năng này được thiết kế đặc biệt để hỗ trợ khả năng mở rộng và cải thiện khả năng của hợp đồng thông minh.
Tuy nhiên, dưới những cải tiến này là một lỗ hổng bảo mật có thể cho phép hacker rút tiền từ ví:
Chỉ sử dụng một chữ ký ngoài chuỗi.
Dưới đây là chi tiết về rủi ro này và điều đó có thể có nghĩa gì đối với sự an toàn trên mạng Ethereum.
Pectra Upgrade Thực Sự Là Gì?
Để có thêm bối cảnh, bản nâng cấp Pectra đã được kích hoạt vào ngày 7 tháng 5, tại kỷ nguyên 364032.
Bản nâng cấp này đã giới thiệu nhiều Đề xuất Cải tiến Ethereum (EIPs), tất cả đều được thiết kế để tăng cường hiệu suất của mạng.
Một số trong những điểm thú vị nhất trong số này bao gồm EIP-7702, cho phép ủy quyền ví thông qua chữ ký off-chain, và EIP-7251, tăng giới hạn staking của validator từ 32 ETH lên 2.048 ETH.
Trong khi bản nâng cấp sau được coi là có lợi, EIP-7702 đã trở thành tâm điểm của sự chỉ trích trong không gian crypto vì một lỗ hổng mà không ai thấy trước.
EIP-7702 và Giao dịch SetCode
EIP-7702 là một phần rất hữu ích của bản nâng cấp Pectra, cho phép ví Ethereum hoạt động như các hợp đồng thông minh.
Điều này có nghĩa là người dùng có thể ủy quyền cho Gate.io kiểm soát ví của họ cho một hợp đồng khác chỉ bằng cách ký một tin nhắn ngoài chuỗi.
Về lý thuyết, đây là một tính năng mạnh mẽ giúp các tài khoản thông minh trở nên dễ sử dụng hơn. Tuy nhiên, trên thực tế, câu chuyện rất khác.
Các hacker hiện nay có thể lừa đảo người dùng ( thông qua phishing, DApps giả mạo, hoặc lừa đảo trên Discord) để ký một thông điệp có vẻ vô hại.
Trên thực tế, tin nhắn đó có thể bao gồm một yêu cầu xin phép cho kẻ tấn công cài đặt quyền truy cập backdoor vào ví của người dùng.
Một khi quyền kiểm soát đã được cấp, kẻ tấn công có thể làm bất cứ điều gì từ việc thực hiện các giao dịch gửi token đến việc rút sạch tất cả ETH của nạn nhân.
Càng tồi tệ hơn là sau khi quyền truy cập ban đầu đã được cấp, kẻ tấn công không cần chữ ký trên chuỗi nào khác từ nạn nhân.
Tại Sao Điều Này Lại Nguy Hiểm Như Vậy?
Nếu những hệ quả của vấn đề này không rõ ràng ngay lập tức, thì đáng lưu ý rằng trước Pectra, người dùng Ethereum phải ký thủ công các giao dịch trên chuỗi để cho phép thay đổi ví hoặc chuyển tiền.
Nói một cách đơn giản, người dùng phải ký mọi giao dịch trước khi được phê duyệt.
Hiện tại, chỉ cần ký một thông điệp ngoài chuỗi đã bị chỉnh sửa có thể cho phép kẻ tấn công kiểm soát hoàn toàn một tài khoản.
Điều này, tất nhiên, thay đổi mọi thứ về bảo mật ví crypto vì một hành động mà trước đây là an toàn (ký một tin nhắn ngoài chuỗi) giờ đây có thể trở nên cực kỳ rủi ro.
Hầu hết các giao diện ví hiện tại không được thiết kế để phát hiện loại yêu cầu ủy quyền mới này, và người dùng sẽ không nhận được bất kỳ cảnh báo thích hợp nào trước khi ký xác nhận token của họ.
Nếu không có những kiểm tra này, các cuộc lừa đảo lừa đảo qua email và lừa đảo xã hội có khả năng tăng vọt trong suốt năm.
Ví Multisig có thể giúp gì không?
Vì lỗ hổng đang được đề cập yêu cầu chữ ký ít nhất một lần, ví phần cứng không an toàn hơn ví phần mềm một cách tự nhiên.
Tuy nhiên, ví multi-sig là.
Các loại ví này yêu cầu nhiều khóa riêng để phê duyệt giao dịch, và có độ bảo mật cao hơn.
Mặt khác, ví đơn khóa, phần cứng hoặc phần mềm phải nhanh chóng thích nghi để phân tích chữ ký và phát hiện các dấu hiệu đáng ngờ, nếu không, các hệ quả về an ninh có thể rất nghiêm trọng.
Giới thiệu: Voice of Crypto đặt mục tiêu cung cấp thông tin chính xác và cập nhật, nhưng sẽ không chịu trách nhiệm cho bất kỳ thông tin thiếu sót hoặc không chính xác nào. Tiền điện tử là tài sản tài chính có tính biến động cao, vì vậy hãy nghiên cứu và đưa ra quyết định tài chính của riêng bạn.
Nội dung chỉ mang tính chất tham khảo, không phải là lời chào mời hay đề nghị. Không cung cấp tư vấn về đầu tư, thuế hoặc pháp lý. Xem Tuyên bố miễn trừ trách nhiệm để biết thêm thông tin về rủi ro.
Bản nâng cấp Pectra của Ethereum đã mở ra một lỗ hổng nguy hiểm—Đây là những gì bạn đã bỏ lỡ
Thông tin chính
Bản nâng cấp Pectra gần đây của Ethereum đã được ca ngợi vì mang lại nhiều tính năng mới cho mạng lưới.
Các tính năng này được thiết kế đặc biệt để hỗ trợ khả năng mở rộng và cải thiện khả năng của hợp đồng thông minh.
Tuy nhiên, dưới những cải tiến này là một lỗ hổng bảo mật có thể cho phép hacker rút tiền từ ví:
Chỉ sử dụng một chữ ký ngoài chuỗi.
Dưới đây là chi tiết về rủi ro này và điều đó có thể có nghĩa gì đối với sự an toàn trên mạng Ethereum.
Pectra Upgrade Thực Sự Là Gì?
Để có thêm bối cảnh, bản nâng cấp Pectra đã được kích hoạt vào ngày 7 tháng 5, tại kỷ nguyên 364032.
Bản nâng cấp này đã giới thiệu nhiều Đề xuất Cải tiến Ethereum (EIPs), tất cả đều được thiết kế để tăng cường hiệu suất của mạng.
Một số trong những điểm thú vị nhất trong số này bao gồm EIP-7702, cho phép ủy quyền ví thông qua chữ ký off-chain, và EIP-7251, tăng giới hạn staking của validator từ 32 ETH lên 2.048 ETH.
Trong khi bản nâng cấp sau được coi là có lợi, EIP-7702 đã trở thành tâm điểm của sự chỉ trích trong không gian crypto vì một lỗ hổng mà không ai thấy trước.
EIP-7702 và Giao dịch SetCode
EIP-7702 là một phần rất hữu ích của bản nâng cấp Pectra, cho phép ví Ethereum hoạt động như các hợp đồng thông minh.
Điều này có nghĩa là người dùng có thể ủy quyền cho Gate.io kiểm soát ví của họ cho một hợp đồng khác chỉ bằng cách ký một tin nhắn ngoài chuỗi.
Về lý thuyết, đây là một tính năng mạnh mẽ giúp các tài khoản thông minh trở nên dễ sử dụng hơn. Tuy nhiên, trên thực tế, câu chuyện rất khác.
Các hacker hiện nay có thể lừa đảo người dùng ( thông qua phishing, DApps giả mạo, hoặc lừa đảo trên Discord) để ký một thông điệp có vẻ vô hại.
Trên thực tế, tin nhắn đó có thể bao gồm một yêu cầu xin phép cho kẻ tấn công cài đặt quyền truy cập backdoor vào ví của người dùng.
Một khi quyền kiểm soát đã được cấp, kẻ tấn công có thể làm bất cứ điều gì từ việc thực hiện các giao dịch gửi token đến việc rút sạch tất cả ETH của nạn nhân.
Càng tồi tệ hơn là sau khi quyền truy cập ban đầu đã được cấp, kẻ tấn công không cần chữ ký trên chuỗi nào khác từ nạn nhân.
Tại Sao Điều Này Lại Nguy Hiểm Như Vậy?
Nếu những hệ quả của vấn đề này không rõ ràng ngay lập tức, thì đáng lưu ý rằng trước Pectra, người dùng Ethereum phải ký thủ công các giao dịch trên chuỗi để cho phép thay đổi ví hoặc chuyển tiền.
Nói một cách đơn giản, người dùng phải ký mọi giao dịch trước khi được phê duyệt.
Hiện tại, chỉ cần ký một thông điệp ngoài chuỗi đã bị chỉnh sửa có thể cho phép kẻ tấn công kiểm soát hoàn toàn một tài khoản.
Điều này, tất nhiên, thay đổi mọi thứ về bảo mật ví crypto vì một hành động mà trước đây là an toàn (ký một tin nhắn ngoài chuỗi) giờ đây có thể trở nên cực kỳ rủi ro.
Hầu hết các giao diện ví hiện tại không được thiết kế để phát hiện loại yêu cầu ủy quyền mới này, và người dùng sẽ không nhận được bất kỳ cảnh báo thích hợp nào trước khi ký xác nhận token của họ.
Nếu không có những kiểm tra này, các cuộc lừa đảo lừa đảo qua email và lừa đảo xã hội có khả năng tăng vọt trong suốt năm.
Ví Multisig có thể giúp gì không?
Vì lỗ hổng đang được đề cập yêu cầu chữ ký ít nhất một lần, ví phần cứng không an toàn hơn ví phần mềm một cách tự nhiên.
Tuy nhiên, ví multi-sig là.
Các loại ví này yêu cầu nhiều khóa riêng để phê duyệt giao dịch, và có độ bảo mật cao hơn.
Mặt khác, ví đơn khóa, phần cứng hoặc phần mềm phải nhanh chóng thích nghi để phân tích chữ ký và phát hiện các dấu hiệu đáng ngờ, nếu không, các hệ quả về an ninh có thể rất nghiêm trọng.
Giới thiệu: Voice of Crypto đặt mục tiêu cung cấp thông tin chính xác và cập nhật, nhưng sẽ không chịu trách nhiệm cho bất kỳ thông tin thiếu sót hoặc không chính xác nào. Tiền điện tử là tài sản tài chính có tính biến động cao, vì vậy hãy nghiên cứu và đưa ra quyết định tài chính của riêng bạn.