- Tópico
89k Popularidade
43k Popularidade
14k Popularidade
4k Popularidade
5k Popularidade
29k Popularidade
16k Popularidade
23k Popularidade
13k Popularidade
3k Popularidade
- Pino
89k Popularidade
43k Popularidade
14k Popularidade
4k Popularidade
5k Popularidade
29k Popularidade
16k Popularidade
23k Popularidade
13k Popularidade
3k Popularidade
Ethereum está pagando o preço pela simplificação do pós-Pectra - Detalhes
Ethereum (ETH) é uma plataforma blockchain conhecida por sua capacidade de construir contratos inteligentes e (DApps) aplicativos descentralizados. Para melhorar ainda mais a experiência do usuário e a segurança, o Ethereum introduziu a última atualização chamada Pectra, com um recurso notável sendo EIP-7702. No entanto, apenas algumas semanas após esta atualização ter sido lançada, um problema sério surgiu, fazendo com que especialistas em segurança questionassem o equilíbrio entre a usabilidade e a segurança do Ethereum.
EIP-7702: Aumentar a conveniência para a carteira Ethereum
A atualização Pectra introduz o EIP-7702, uma funcionalidade que torna a carteira Ethereum mais inteligente e fácil de usar, ao mesmo tempo que melhora a segurança. Proposto por Vitalik Buterin, fundador do Ethereum, o EIP-7702 permite que a carteira funcione temporariamente como um contrato inteligente. Isso abre uma série de utilidades, incluindo:
Embora essas melhorias proporcionem uma melhor experiência ao usuário e ajudem a tornar a segurança da carteira mais robusta, o EIP-7702 acabou criando uma vulnerabilidade para os atacantes explorarem.
Ataque automático com EIP-7702: Qual é o custo da simplificação?
Algumas semanas após o lançamento da Pectra, ataques automáticos começaram a surgir e a explorar a funcionalidade EIP-7702. Os atacantes exploraram uma vulnerabilidade no uso do comando de autorização EIP-7702, levando a saques de carteiras comprometidas sem a necessidade de intervenção do usuário.
Um relatório da Wintermute mostra que mais de 80% dos comandos de autorização EIP-7702 estão sendo utilizados por um único contrato malicioso chamado CrimeEnjoyor. Este é um código de contrato curto, com capacidade de copiar e colar, permitindo que o atacante execute transações de forma rápida e fácil. Uma vez que tenha obtido acesso à carteira do usuário ( frequentemente através de esquemas fraudulentos ), o atacante pode retirar os fundos imediatamente para sua própria carteira.
Um incidente típico observado pela empresa de segurança blockchain Scam Sniffer é o caso em que um usuário perdeu quase US $ 150.000 em uma única transação. Este não é um caso isolado, já que milhares de transações semelhantes foram registradas, especialmente relacionadas ao serviço Inferno Drainer, uma ferramenta bem conhecida no mundo dos ataques automatizados.
! Fonte: WintermuteEmbora o EIP-7702 tenha sido criticado por criar uma grande lacuna de segurança, o verdadeiro problema não é com esse recurso. O problema central reside no vazamento ou roubo da chave privada do usuário. O EIP-7702 apenas ajuda os atacantes a realizar esses ataques de forma rápida e menos dispendiosa.
As empresas de segurança, como a SlowMist, enfatizaram que o vazamento de chaves privadas é a principal causa dos ataques. Por isso, os provedores de carteiras precisam melhorar a exibição das interações dos contratos e aumentar as camadas de proteção dos usuários. Se esses fatores básicos não forem aprimorados, as funcionalidades de segurança avançadas não poderão ser eficazes.
O futuro do Ethereum
À medida que Ethereum continua a evoluir e introduzir novas funcionalidades, uma das prioridades mais importantes é o design de carteiras mais inteligentes, com alertas de contratos claros e medidas de segurança aprimoradas. Funcionalidades avançadas como o EIP-7702 podem aumentar a usabilidade e a experiência do usuário, mas se as camadas de segurança básicas não forem mantidas, podem ter o efeito oposto.
Um dos fatores importantes na segurança do Ethereum é a educação do usuário. Os desenvolvedores e as organizações de segurança precisam se concentrar mais em orientar os usuários sobre como proteger suas chaves privadas, ao mesmo tempo em que os alertam sobre os riscos de fraudes e ataques automatizados.
A atualização Pectra do Ethereum com EIP-7702 promete trazer melhorias significativas para os usuários, mas ao mesmo tempo também abre riscos que não podem ser ignorados. Embora este recurso suporte a gestão de gás e transações de forma mais eficiente, se os mecanismos de segurança básicos não forem aprimorados, os atacantes continuarão a explorar essas vulnerabilidades para realizar ataques automatizados.
É importante que o Ethereum continue a desenvolver-se não apenas em termos de funcionalidades, mas também em segurança básica. Funcionalidades avançadas podem facilitar o uso da blockchain pelos usuários, mas, sem uma plataforma de segurança sólida, essas melhorias podem se tornar oportunidades para agentes maliciosos em vez de para usuários legítimos.
Taylor