Ethereum платить за спрощення після Pectra - Деталі

Ethereum (ETH) — це блокчейн-платформа, відома своєю здатністю створювати смарт-контракти та (DApps) децентралізованих програм. Щоб ще більше покращити користувацький досвід і безпеку, Ethereum представив останнє оновлення під назвою Pectra, помітною особливістю якого є EIP-7702. Однак лише через кілька тижнів після того, як це оновлення було розгорнуто, з'явилася серйозна проблема, яка змусила експертів з безпеки засумніватися в балансі між зручністю використання та безпекою Ethereum.

EIP-7702: Підвищення зручності для гаманця Ethereum

Оновлення Pectra представляє EIP-7702 – функцію, яка робить гаманці Ethereum розумнішими та простішими у використанні, одночасно підвищуючи безпеку. Запропонований Віталіком Бутеріним, засновником Ethereum, EIP-7702 дозволяє гаманцю тимчасово виступати в ролі смарт-контракту. Це відкриває широкий спектр утиліт, серед яких:

Хоча ці покращення забезпечують кращий досвід користувачів і сприяють підвищенню безпеки гаманців, EIP-7702 випадково створює вразливість для зловмисників.

Автоматизована атака з EIP-7702: Яка ціна спрощення?

Через кілька тижнів після запуску Pectra з'явилися автоматизовані атаки, які скористалися функцією EIP-7702. Зловмисники скористалися вразливістю у використанні замовлення на авторизацію EIP-7702, що призвело до виведення коштів зі скомпрометованих гаманців без втручання користувача.

Звіт Wintermute показав, що понад 80% замовлень на авторизацію EIP-7702 використовуються одним шкідливим контрактом під назвою CrimeEnjoyor. Це короткий код контракту, який можна копіювати та вставляти, що дозволяє зловмисникам швидко та легко здійснювати транзакції. Після того, як користувач отримав доступ до гаманця користувача (thường допомогою đảo) шахрайства, зловмисник може негайно вивести кошти на свій гаманець.

Типовий інцидент, зазначений фірмою з безпеки блокчейну Scam Sniffer, — це випадок, коли користувач втратив майже 150 000 доларів США за одну транзакцію. Це не поодинокий випадок, оскільки було зафіксовано тисячі подібних транзакцій, особливо пов'язаних із сервісом Inferno Drainer – відомим у світі автоматизованих атак інструментом.

! Джерело: WintermuteХоча EIP-7702 критикували за створення серйозної лазівки в безпеці, справжня проблема не в цій функції. Основна проблема криється у витоку або крадіжці приватного ключа користувача. EIP-7702 лише допомагає зловмисникам проводити ці атаки швидко та дешевше.

Охоронні компанії, такі як SlowMist, наголосили, що основною причиною атак є витік приватних ключів. Тому постачальникам гаманців необхідно покращити відображення взаємодій з контрактами та посилити рівні захисту користувачів. Без покращення цих основ розширені функції безпеки не будуть ефективними.

Майбутнє Ethereum

Оскільки Ethereum продовжує розвиватися та впроваджувати нові функції, одним із ключових пріоритетів є розробка розумніших гаманців із чіткими попередженнями про підписання та посиленими заходами безпеки. Розширені функції, такі як EIP-7702, можуть підвищити зручність використання та зручність користування, але якщо не дотримуватися основних рівнів безпеки, вони можуть мати негативні наслідки.

Один з важливих факторів у забезпеченні безпеки Ethereum полягає в освіті користувачів. Розробники та організації з безпеки повинні більше уваги приділяти навчанню користувачів, як захистити свої приватні ключі, а також попереджати їх про можливі ризики від шахрайства та автоматизованих атак.

Оновлення Pectra для Ethereum з EIP-7702 обіцяє значні покращення для користувачів, але водночас відкриває й ризики, які не можна ігнорувати. Хоча ця функція підтримує більш ефективне управління газом і транзакціями, якщо базові механізми безпеки не будуть покращені, зловмисники продовжать використовувати ці вразливості для здійснення автоматизованих атак.

Для Ethereum важливо продовжувати розвиватися не тільки з точки зору функцій, але і з точки зору базової безпеки. Розширені функції можуть полегшити користувачам використання блокчейну, але без міцної основи безпеки ці вдосконалення можуть стати можливістю для зловмисників замість справжніх користувачів.

Тейлор