Výzva pro uživatele Ethereum
Nedávná aktualizace Pectra pro Ethereum (ETH) se zaměřila na rozšíření možností sítě a představení nových typů účtů. Přesto, že tato změna přináší technologické pokroky, odkryla také nové riziko, které by mohlo ohrozit mnoho uživatelských peněženek, aniž by bylo nutné potvrdit jakoukoli onchain transakci.
Uživatelé by si měli dvakrát rozmyslet, co podepisují, aby se vyhnuli ztrátám.
Reminder guys: now with PECTRA ethereum upgrade, you only need to sign a message to get completely drained! Before, you actually had to sign the TX.
Be very careful of what you sign now – even an offchain message!
— Vladimir S. | Officer's Notes (@officer_cia) May 7, 2025
Technická výzva
Základem tohoto problému je EIP-7702, což je vylepšení, které zavádí nový typ transakcí – SetCode (typ 0x04), jak informoval Cointelegraph. Tato funkce umožňuje uživateli přidat ke svému účtu vlastní kód, měnící ho z externího účtu (EOA) na programovatelný smart kontrakt.
Toto otevírá dveře k novým funkcím, ale zároveň může usnadnit přístup útočníkům.
Arda Usman, odborník na audity smart kontraktů, upozornil, že útočníci mohou získat uživatelský podpis například pomocí phishingu a s jeho pomocí přepsat kód účtu. Poté mohou přenést uživatelský ETH nebo tokeny na své vlastní adresy bez dalšího kontaktu s uživatelem.
Ohrožení bezpečnosti bez transakcí na řetězci
Dříve bylo nezbytné, aby uživatel přímo podepsal transakci na Ethereum síti, pokud chtěl něco změnit na svém účtu.
Nyní je však možné vystačit s offchain podpisem, což představuje výrazně vyšší riziko pro uživatele.
„Pectra umožňuje instalaci jakéhokoliv kódu na uživatelský účet za předpokladu, že uživatel podepíše neověřenou žádost,“ uvedl Yehor Rudytsia ze společnosti Hacken.
Nová rizika a doporučení
Bezpečnostní experti varují, že útočníci mohou tuto zranitelnost využít prostřednictvím falešných webových stránek, podvodných DAppů nebo phishingových e-mailů.
Nové podpisy v rámci EIP-7702 nejsou kompatibilní se staršími standardy, což znamená, že obcházejí mnoho varovných systémů stávajících peněženek.
Bezpečnost hardwarových peněženek je ohrožena
I hardwarové peněženky, považované za vysoce bezpečné, nejsou proti tomuto druhu útoku imunní.
Pokud uživatel omylem podepíše škodlivou zprávu, jeho finanční prostředky mohou být rychle přemístěny bez typické transakce.
Usman upozornil na další riziko: podpisy s chain_id = 0 mohou být zneužity napříč různými sítěmi kompatibilními s Ethereum.
Multisig peněženky: cesta k bezpečnosti?
Navzdory hrozivým scénářům se nabízí bezpečnější alternativy, jako jsou multisig peněženky, které vyžadují podpis od více uživatelů, a tak lépe chrání před útoky. Oproti tomu single-key řešení by měla ihned implementovat nové detekční nástroje a varování.
Kromě rizik přinesla aktualizace Pectra také další zlepšení:
- EIP-7251: zvýšený limit pro staking validátorů z 32 na 2 048 ETH
- EIP-7691: zvýšená kapacita datových bloků pro lepší výkon druhé vrstvy
Zásada obezřetnosti při podpisování
Závěr je jasný: nepodepisujte nic, čemu nerozumíte.
Vývojáři peněženek by měli rychle reagovat a zavést nové ochranné funkce, zatímco uživatelé by měli zůstat obezřetní. V éře Pectra již není bezpečnost samozřejmostí.
Top burzy
