- Tema
89k Popularidad
43k Popularidad
14k Popularidad
4k Popularidad
5k Popularidad
29k Popularidad
16k Popularidad
23k Popularidad
13k Popularidad
3k Popularidad
- Anclado
89k Popularidad
43k Popularidad
14k Popularidad
4k Popularidad
5k Popularidad
29k Popularidad
16k Popularidad
23k Popularidad
13k Popularidad
3k Popularidad
Ethereum está pagando el precio por simplificar el post Pectra - Detalles
Ethereum (ETH) es una plataforma blockchain conocida por su capacidad para construir contratos inteligentes y (DApps) aplicaciones descentralizadas. Para mejorar aún más la experiencia del usuario y la seguridad, Ethereum ha introducido la última actualización llamada Pectra, con una característica notable que es EIP-7702. Sin embargo, solo unas semanas después de que se implementara esta actualización, surgió un grave problema que hizo que los expertos en seguridad cuestionaran el equilibrio entre la usabilidad y la seguridad de Ethereum.
EIP-7702: Mejora de la conveniencia para la billetera Ethereum
La actualización Pectra introduce EIP-7702, una característica que hace que las carteras de Ethereum sean más inteligentes y fáciles de usar, al mismo tiempo que mejora la seguridad. Propuesto por Vitalik Buterin, el fundador de Ethereum, EIP-7702 permite que las carteras funcionen temporalmente como contratos inteligentes. Esto abre una serie de utilidades, que incluyen:
A pesar de que estas mejoras brindan una mejor experiencia al usuario y ayudan a que la seguridad de la billetera sea más robusta, el EIP-7702 crea accidentalmente un punto débil que los atacantes pueden explotar.
Ataque automático con EIP-7702: ¿El precio de simplificar?
Unas semanas después del lanzamiento de Pectra, comenzaron a aparecer ataques automáticos que aprovechaban la función EIP-7702. Los atacantes explotaron una vulnerabilidad en el uso del comando de autorización EIP-7702, lo que resultó en retiros de fondos de billeteras comprometidas sin la intervención del usuario.
Un informe de Wintermute descubrió que más del 80% de las órdenes de autorización EIP-7702 están siendo utilizadas por un solo contrato malicioso llamado CrimeEnjoyor. Es un código de contrato corto, capaz de copiar y pegar, lo que hace que sea rápido y fácil para los atacantes realizar transacciones. Una vez que el usuario se ha apoderado del acceso a la billetera del usuario (thường a través de estafas đảo), el atacante puede retirar los fondos inmediatamente a su billetera.
Un incidente típico observado por la firma de seguridad blockchain Scam Sniffer es el caso en el que un usuario perdió casi USD 150,000 en una sola transacción. No se trata de un caso aislado, ya que se han registrado miles de transacciones similares, especialmente relacionadas con el servicio Inferno Drainer, una herramienta muy conocida en el mundo de los ataques automatizados.
! Fuente: WintermuteAunque EIP-7702 ha sido criticado por crear una importante laguna de seguridad, el verdadero problema no está en esta característica. El problema central radica en la fuga o robo de la clave privada del usuario. EIP-7702 solo ayuda a los atacantes a llevar a cabo estos ataques de forma rápida y menos costosa.
Las empresas de seguridad como SlowMist han enfatizado que la filtración de claves privadas es la causa principal de los ataques. Por ello, los proveedores de billeteras necesitan mejorar la funcionalidad de visualización de las interacciones de contratos y reforzar las capas de protección para los usuarios. Si no se mejoran estos elementos básicos, las características de seguridad avanzadas no podrán ser efectivas.
El futuro de Ethereum
A medida que Ethereum continúa evolucionando e introduciendo nuevas características, una de las prioridades clave es diseñar billeteras más inteligentes, con advertencias de firma claras y medidas de seguridad mejoradas. Las funciones avanzadas como el EIP-7702 pueden aumentar la usabilidad y la experiencia del usuario, pero si no se mantienen las capas básicas de seguridad, pueden ser contraproducentes.
Uno de los factores importantes en la seguridad de Ethereum es la educación de los usuarios. Los desarrolladores y las organizaciones de seguridad deben prestar más atención a guiar a los usuarios sobre cómo proteger su clave privada, al mismo tiempo que los alertan sobre los riesgos de fraudes y ataques automáticos.
La actualización Pectra de Ethereum con EIP-7702 promete traer mejoras significativas para los usuarios, pero al mismo tiempo también abre riesgos que no se pueden ignorar. Aunque esta función apoya la gestión del gas y hace las transacciones más eficientes, si los mecanismos de seguridad básicos no se mejoran, los atacantes seguirán aprovechando estas vulnerabilidades para llevar a cabo ataques automáticos.
Es importante que Ethereum continúe desarrollándose no solo en términos de características, sino también en seguridad básica. Las características avanzadas pueden facilitar a los usuarios el uso de la blockchain, pero si no hay una plataforma de seguridad sólida, estas mejoras pueden convertirse en una oportunidad para los malintencionados en lugar de para los usuarios legítimos.
Taylor