以太坊正在为简化Pectra后期而付出代价 - 详细信息

以太坊 (ETH) 是一个区块链平台，以其构建智能合约和(DApps)去中心化应用程序的能力而闻名。为了进一步改善用户体验和安全性，以太坊推出了名为 Pectra 的最新升级，其中一个显着功能是 EIP-7702。然而，就在这次升级推出几周后，一个严重的问题出现了，导致安全专家质疑以太坊的可用性和安全性之间的平衡。

以太坊改进提案-7702: 增强以太坊钱包的便利性

Pectra升级引入了EIP-7702，这是一项使以太钱包变得更加智能和易于使用的功能，同时提高了安全性。该提案由以太坊创始人Vitalik Buterin提出，EIP-7702允许钱包暂时充当智能合约。这为一系列实用功能打开了大门，包括：

尽管这些改进提供了更好的用户体验，并增强了钱包的安全性，但EIP-7702却不经意间为攻击者的利用创造了一个弱点。

自动攻击与EIP-7702：简化的代价？

在Pectra发布几周后，自动攻击开始出现并利用EIP-7702功能。攻击者利用EIP-7702授权命令的漏洞，从被攻击的钱包中提取资金，无需用户干预。

Wintermute 的一份报告发现，超过 80% 的 EIP-7702 授权订单被一个名为 CrimeEnjoyor 的恶意合同使用。它是一个简短的合约代码，能够复制和粘贴，使攻击者可以快速轻松地进行交易。一旦用户通过đảo(骗局)thường接管了对用户钱包的访问权限，攻击者就可以立即将资金提取到他的钱包中。

区块链安全公司 Scam Sniffer 指出的一个典型事件是用户在单笔交易中损失了近 150,000 美元的情况。这不是一个孤立的案例，因为已经记录了数千笔类似的交易，尤其是与 Inferno Drainer 服务有关，该服务是自动攻击领域的知名工具。

来源：Wintermute尽管EIP-7702因在安全性上造成了一个重大漏洞而受到批评，但真正的问题并不在于这个功能。核心问题在于用户的私钥泄露或被盗。EIP-7702只是帮助攻击者更快速、更便宜地进行这些攻击。

像SlowMist这样的安全公司强调，私钥泄露是导致攻击的主要原因。因此，钱包供应商需要改善合约交互的显示功能，并增强用户的保护层。如果不改善这些基本因素，高级安全功能将无法发挥效果。

以太坊的未来

当以太坊持续发展并引入更多新功能时，一个重要的优先事项是设计更智能的钱包，具有明确的智能合约签署警告和增强的安全措施。像以太坊改进提案-7702这样的先进功能可以提高可用性和用户体验，但如果基本的安全层没有得到维护，它们可能会适得其反。

在以太坊安全中，一个重要因素就是用户教育。开发者和安全组织需要更加重视指导用户如何保护自己的私钥，同时警告他们关于欺诈和自动攻击的风险。

以太坊的Pectra升级与以太坊改进提案-7702承诺为用户带来显著的改进，但同时也带来了不可忽视的风险。虽然此功能支持更有效的gas管理和交易，但如果基本安全机制得不到改善，攻击者将继续利用这些漏洞进行自动化攻击。

以太坊不仅在功能方面，而且在基本安全性方面都要继续发展，这一点很重要。高级功能可以使用户更轻松地使用区块链，但如果没有坚实的安全基础，这些改进可能会成为不良行为者而不是真正用户的机会。

泰勒