Ethereum платит за упрощение после Pectra - Подробности

Ethereum (ETH) — это блокчейн-платформа, известная своей способностью создавать смарт-контракты и (DApps) децентрализованных приложений. Чтобы еще больше улучшить пользовательский опыт и безопасность, Ethereum представил последнее обновление под названием Pectra, примечательной особенностью которого является EIP-7702. Однако всего через несколько недель после того, как это обновление было выпущено, возникла серьезная проблема, заставившая экспертов по безопасности усомниться в балансе между удобством использования Ethereum и безопасностью.

EIP-7702: Увеличение удобства для кошельков Ethereum

Обновление Pectra представляет EIP-7702 — функцию, которая делает кошельки Ethereum более умными и простыми в использовании, повышая при этом безопасность. Предложенный Виталиком Бутериным, основателем Ethereum, EIP-7702 позволяет кошельку временно выступать в качестве смарт-контракта. Это открывает широкий спектр утилит, среди которых:

Несмотря на то, что эти улучшения обеспечивают лучший пользовательский опыт и значительно повышают безопасность кошельков, EIP-7702, к сожалению, создает уязвимость для злоумышленников.

Автоматическая атака с EIP-7702: Цена упрощения?

Несколько недель спустя после запуска Pectra появились автоматические атаки, использующие функцию EIP-7702. Нападающие воспользовались уязвимостью в использовании команды авторизации EIP-7702, что привело к выводу средств из скомпрометированных кошельков без вмешательства пользователей.

Отчет от Wintermute показывает, что более 80% всех полномочий EIP-7702 используются одним вредоносным контрактом под названием CrimeEnjoyor. Это короткий код контракта, который позволяет злоумышленнику быстро и легко выполнять транзакции с помощью копирования и вставки. Получив доступ к кошельку пользователя (, обычно через мошеннические схемы), злоумышленник может немедленно вывести средства на свой кошелек.

Типичный инцидент, зафиксированный компанией по безопасности блокчейна Scam Sniffer, произошел, когда один пользователь потерял почти 150 000 долларов в одной транзакции. Это не единичный случай, так как тысячи подобных транзакций были зафиксированы, особенно связанные с сервисом Inferno Drainer – известным инструментом в мире автоматических атак.

! Источник: WintermuteХотя EIP-7702 критиковали за создание серьезной лазейки в безопасности, реальная проблема не в этой функции. Основная проблема заключается в утечке или краже закрытого ключа пользователя. EIP-7702 только помогает злоумышленникам проводить эти атаки быстрее и с меньшими затратами.

Охранные компании, такие как SlowMist, подчеркнули, что утечки закрытых ключей являются основной причиной атак. Поэтому поставщикам кошельков необходимо улучшить отображение взаимодействий по контрактам и усилить уровни защиты пользователей. Без улучшения этих основ расширенные функции безопасности не будут эффективными.

Будущее Ethereum

Поскольку Ethereum продолжает развиваться и внедрять новые функции, одним из ключевых приоритетов является разработка более умных кошельков с четкими предупреждениями о подписи и усиленными мерами безопасности. Расширенные функции, такие как EIP-7702, могут повысить удобство использования и удобство работы пользователя, но если базовые уровни безопасности не поддерживаются, они могут иметь неприятные последствия.

Одним из важных факторов безопасности Ethereum является образование пользователей. Разработчики и организации безопасности должны уделять больше внимания обучению пользователей, как защищать свои приватные ключи, а также предупреждать их о потенциальных угрозах, связанных с мошенничеством и автоматизированными атаками.

Апгрейд Pectra Ethereum с EIP-7702 обещает значительные улучшения для пользователей, но одновременно открывает и серьезные риски. Хотя эта функция поддерживает более эффективное управление газом и транзакциями, если базовые механизмы безопасности не будут улучшены, злоумышленники продолжат использовать эти уязвимости для проведения автоматических атак.

Важно, чтобы Ethereum продолжал развиваться не только в плане функциональности, но и в области базовой безопасности. Продвинутые функции могут помочь пользователям легче использовать блокчейн, но без надежной платформы безопасности эти улучшения могут стать возможностью для злоумышленников, а не для добросовестных пользователей.

Тейлор