Crypto Prices

Pectra-päivitys mahdollistaa hyökkääjien tyhjentävän lompakoita vain offchain-allekirjoituksilla

11 toukokuun, 2025

Pectra-päivityksen esittely

Ethereum-verkko sai käyttöönsä Pectra-päivityksen, joka esitteli uusia, voimakkaita ominaisuuksia, suunniteltuja parantamaan skaalautuvuutta ja älytilitoimintoja. Samalla se avasi vaarallisen uuden hyökkäysvektorin: hakkereiden on mahdollista tyhjentää varoja käyttäjien lompakoista ainoastaan offchain-allekirjoituksilla. Pectra-päivitys tuli voimaan 7. toukokuuta aikavälillä 364032.

Hyökkäysvektorit ja EIP-7702

Hyökkääjät voivat nyt hyödyntää uutta transaktiotyyppiä hallita ulkopuolisesti omistettuja tilejä (EOA) ilman, että käyttäjän tarvitsee allekirjoittaa onchain-transaktiota. Arda Usman, Solidity-älykontraktien auditoija, vahvisti Cointelegraphille, että ”hyökkääjä voi tyhjentää EOA:n varat käyttämällä vain offchain-allekirjoitettua viestiä (ilman suoraa onchain-transaktiota, jonka käyttäjä on allekirjoittanut).” Riskin taustalla on EIP-7702, keskeinen komponentti Pectra-päivityksessä.

”Kun koodi on asetettu, hyökkääjä voi kutsua tätä koodia siirtämään tililtä ETH:tä tai tokeneita – kaikki ilman, että käyttäjä koskaan allekirjoittaa normaalia siirtokirjaa.” – Arda Usman

Uuden transaktiotyypin vaikutukset

Yehor Rudytsia, onchain-tutkija Hackeniltä, huomautti, että uusi transaktiotyyppi, jonka Pectra esitteli, mahdollistaa mielivaltaisen koodin asentamisen käyttäjän tiliin. ”Tämä tx-tyyppi sallii käyttäjän asettaa mielivaltaista koodia (älykontrakti) suoritettavaksi käyttäjän puolesta,” Rudytsia sanoi. Ennen Pectraa lompakoita ei voitu muokata ilman käyttäjän suoraan allekirjoittamaa transaktiota. Nyt yksinkertainen offchain-allekirjoitus voi asentaa koodia, joka delegoi täydellisen hallinnan hyökkääjän sopimukseen.

”Pre-Pectra, käyttäjien piti lähettää transaktio (eivät allekirjoittaa viesti) salliakseen varojensa siirtämisen… Pós-Pectra, mitä tahansa toimintoa voidaan suorittaa sopimuksesta, jonka käyttäjä hyväksyi SET_CODE:n kautta.” – Yehor Rudytsia

Vaarat ja suositukset käyttäjille

Uhka on todellinen ja välitön. ”Pectra aktivoitiin 7. toukokuuta 2025. Siitä hetkestä alkaen mikä tahansa pätevä delegointi-allekirjoitus voi johtaa varojen menettämiseen,” Usman varoitti. Älykontraktit, jotka luottavat vanhentuneisiin oletuksiin, ovat erityisen alttiita. Lompakoita ja käyttöliittymiä, jotka eivät pysty havaitsemaan tai esittämään oikeita transaktiotyyppejä, uhkaavat suurimmat vaarat.

”Lompakot ovat alttiita, jos ne eivät analysoi Ethereumin transaktiotyyppejä, erityisesti transaktiotyyppiä 0x04.” – Yehor Rudytsia

Rudytsia varoitti, että tämä uusi hyökkäysmuoto voidaan toteuttaa helposti yleisten offchain-vuorovaikutusten kautta, kuten kalastussähköpostit ja vale DAppit. ”Uskomme, että se tulee olemaan suosituin hyökkäysvektori, joka liittyy Pectra-päivitykseen,” hän sanoi.

Turvallisuusneuvoja

Hardware-lompakoista ei ole tullut turvallisempia. Ne kohtaavat samat riskit kuin kuumat lompakot. ”Jos se tehdään – kaikki varat ovat hetkessä poissa,” Rudytsia sanoi. Käyttäjien ei tulisi allekirjoittaa viestejä, joita he eivät ymmärrä. Hän kehotti lompakkokehittäjiä varoittamaan käyttäjiä selkeästi delegointiviesteistä.

”Ymmärrä, että allekirjoituksia voidaan käyttää missä tahansa.” – Arda Usman

Käyttäjien on erityisesti varottava EIP-7702:n myötä tuleville uusille delegointi-allekirjoitusmuodoille, jotka eivät ole yhteensopivia nykyisten EIP-191 tai EIP-712 -standardien kanssa. Nämä viestit näyttävät usein yksinkertaisilta 32-bittisiltä hasheilta ja voivat kiertää lompakkovaroitukset.

Kun otetaan huomioon EIP-7702, Pectra sisälsi myös EIP-7251:n, joka nosti Ethereumin vahvistuvuoren osuusrajan 32:sta 2 048 ETH:iin, ja EIP-7691:n, joka lisää lohkojen yhdisteiden määrää paremman kerros-2-skaalautuvuuden saavuttamiseksi.

Uusimmat käyttäjältä Blog

Pankit Vastakkain Digitaalisen Omaisuuden Teollisuuden Kanssa: Custodia Bankin Toimitusjohtaja Kertoo Kryptovaluutan Voitoista

Kryptovaluuttojen lainsäädäntö Yhdysvalloissa Custodia Bankin toimitusjohtaja, Yhdysvaltojen kryptovaluuttoihin erikoistunut rahoituslaitos, kertoo, että kryptolainsäädännön hyväksyminen Yhdysvalloissa on ollut tiukka taistelu perinteisten pankkien ja digitaalisen omaisuuden teollisuuden välillä. Edustajainhuone hyväksyi tällä viikolla CLARITY-lain, GENIUS-lain

Pohjoismaiden ensimmäinen suuri Bitcoin-konferenssi BTCHEL suunniteltu elokuulle 2025

Bitcoin-konferenssi Helsingissä Ensimmäinen suuri Bitcoin-konferenssi Pohjoismaissa pidetään Helsingissä tänä elokuussa. Tapahtumassa on huippupuhujia, ajankohtaista sisältöä ja syvällisiä näkemyksiä sijoittajille. BTCHEL 2025 kokoaa yhteen alan johtavia henkilöitä, kansainvälisiä asiantuntijoita ja intohimoisia sijoittajia Kulttuuritehdas

GENIUS Act Muuttaa Stablecoin Strategiaa: Foresight Ventures

Ripple ja Circle hakevat toimilupia Ripple ja Circle ovat esittäneet hakemuksia Yhdysvaltojen kansallisten luottopankkien toimilupien saamiseksi. Tämä kehitys nähdään vähemmän rohkeana teollisuuden siirtona ja enemmän laskelmoiduksi, puolustavaksi reaktioksi lähestyvään sääntelyyn. Foresight Venturesin

Ethereum ACDE -kokous: EIP 7907 poistettiin Fusaka-päivityksestä

Ethereum Executive Core Developers Meeting (ACDE) Kokouksen pöytäkirja, jonka on tiivistänyt Christine Kim, osoittaa, että tänään kehittäjät päättivät poistaa EIP 7907:n Fusaka-päivityksestä. Tämä tarkoittaa, että Ethereumin älysopimuskoodin rajoitukset eivät muutu lähitulevaisuudessa. EIP:n