Pectra-päivityksen esittely
Ethereum-verkko sai käyttöönsä Pectra-päivityksen, joka esitteli uusia, voimakkaita ominaisuuksia, suunniteltuja parantamaan skaalautuvuutta ja älytilitoimintoja. Samalla se avasi vaarallisen uuden hyökkäysvektorin: hakkereiden on mahdollista tyhjentää varoja käyttäjien lompakoista ainoastaan offchain-allekirjoituksilla. Pectra-päivitys tuli voimaan 7. toukokuuta aikavälillä 364032.
Hyökkäysvektorit ja EIP-7702
Hyökkääjät voivat nyt hyödyntää uutta transaktiotyyppiä hallita ulkopuolisesti omistettuja tilejä (EOA) ilman, että käyttäjän tarvitsee allekirjoittaa onchain-transaktiota. Arda Usman, Solidity-älykontraktien auditoija, vahvisti Cointelegraphille, että ”hyökkääjä voi tyhjentää EOA:n varat käyttämällä vain offchain-allekirjoitettua viestiä (ilman suoraa onchain-transaktiota, jonka käyttäjä on allekirjoittanut).” Riskin taustalla on EIP-7702, keskeinen komponentti Pectra-päivityksessä.
”Kun koodi on asetettu, hyökkääjä voi kutsua tätä koodia siirtämään tililtä ETH:tä tai tokeneita – kaikki ilman, että käyttäjä koskaan allekirjoittaa normaalia siirtokirjaa.” – Arda Usman
Uuden transaktiotyypin vaikutukset
Yehor Rudytsia, onchain-tutkija Hackeniltä, huomautti, että uusi transaktiotyyppi, jonka Pectra esitteli, mahdollistaa mielivaltaisen koodin asentamisen käyttäjän tiliin. ”Tämä tx-tyyppi sallii käyttäjän asettaa mielivaltaista koodia (älykontrakti) suoritettavaksi käyttäjän puolesta,” Rudytsia sanoi. Ennen Pectraa lompakoita ei voitu muokata ilman käyttäjän suoraan allekirjoittamaa transaktiota. Nyt yksinkertainen offchain-allekirjoitus voi asentaa koodia, joka delegoi täydellisen hallinnan hyökkääjän sopimukseen.
”Pre-Pectra, käyttäjien piti lähettää transaktio (eivät allekirjoittaa viesti) salliakseen varojensa siirtämisen… Pós-Pectra, mitä tahansa toimintoa voidaan suorittaa sopimuksesta, jonka käyttäjä hyväksyi SET_CODE:n kautta.” – Yehor Rudytsia
Vaarat ja suositukset käyttäjille
Uhka on todellinen ja välitön. ”Pectra aktivoitiin 7. toukokuuta 2025. Siitä hetkestä alkaen mikä tahansa pätevä delegointi-allekirjoitus voi johtaa varojen menettämiseen,” Usman varoitti. Älykontraktit, jotka luottavat vanhentuneisiin oletuksiin, ovat erityisen alttiita. Lompakoita ja käyttöliittymiä, jotka eivät pysty havaitsemaan tai esittämään oikeita transaktiotyyppejä, uhkaavat suurimmat vaarat.
”Lompakot ovat alttiita, jos ne eivät analysoi Ethereumin transaktiotyyppejä, erityisesti transaktiotyyppiä 0x04.” – Yehor Rudytsia
Rudytsia varoitti, että tämä uusi hyökkäysmuoto voidaan toteuttaa helposti yleisten offchain-vuorovaikutusten kautta, kuten kalastussähköpostit ja vale DAppit. ”Uskomme, että se tulee olemaan suosituin hyökkäysvektori, joka liittyy Pectra-päivitykseen,” hän sanoi.
Turvallisuusneuvoja
Hardware-lompakoista ei ole tullut turvallisempia. Ne kohtaavat samat riskit kuin kuumat lompakot. ”Jos se tehdään – kaikki varat ovat hetkessä poissa,” Rudytsia sanoi. Käyttäjien ei tulisi allekirjoittaa viestejä, joita he eivät ymmärrä. Hän kehotti lompakkokehittäjiä varoittamaan käyttäjiä selkeästi delegointiviesteistä.
”Ymmärrä, että allekirjoituksia voidaan käyttää missä tahansa.” – Arda Usman
Käyttäjien on erityisesti varottava EIP-7702:n myötä tuleville uusille delegointi-allekirjoitusmuodoille, jotka eivät ole yhteensopivia nykyisten EIP-191 tai EIP-712 -standardien kanssa. Nämä viestit näyttävät usein yksinkertaisilta 32-bittisiltä hasheilta ja voivat kiertää lompakkovaroitukset.
Kun otetaan huomioon EIP-7702, Pectra sisälsi myös EIP-7251:n, joka nosti Ethereumin vahvistuvuoren osuusrajan 32:sta 2 048 ETH:iin, ja EIP-7691:n, joka lisää lohkojen yhdisteiden määrää paremman kerros-2-skaalautuvuuden saavuttamiseksi.
