Peningkatan Pectra Ethereum difokuskan pada perbaikan pengalaman pengguna jaringan Ethereum.
Namun, para pengembang mungkin telah mengabaikan kerentanan berbahaya dalam kode.
EIP-7702 memungkinkan pengguna untuk mendelegasikan kontrol wallet mereka ke kontrak lain dengan hanya menandatangani pesan di luar rantai.
Penyerang dapat memanfaatkan hal ini dan menggunakan taktik phishing untuk menginstal akses pintu belakang ke dalam dompet korban.
Para pelaku jahat ini kemudian dapat menguras dana, dengan dompet multi-sig saat ini menjadi opsi teraman.
Upgrade Pectra terbaru Ethereum telah dipuji karena membawa beberapa fitur baru ke jaringan.
Fitur-fitur ini dirancang khusus untuk mendukung skalabilitas dan meningkatkan kemampuan kontrak pintar.
Namun, di balik perbaikan ini terdapat celah keamanan yang dapat memungkinkan peretas untuk menguras dana dari dompet:
Menggunakan hanya tanda tangan off-chain.
Berikut adalah rincian risiko ini dan apa artinya bagi keamanan di jaringan Ethereum.
Apa Itu Peningkatan Pectra?
Sebagai konteks, upgrade Pectra diaktifkan pada 7 Mei, di epoch 364032.
Pembaruan ini memperkenalkan beberapa Usulan Peningkatan Ethereum (EIPs), yang semuanya dirancang untuk meningkatkan kinerja jaringan.
Beberapa yang paling menarik dari ini termasuk EIP-7702, yang memungkinkan delegasi dompet melalui tanda tangan off-chain, dan EIP-7251, yang meningkatkan batas staking validator dari 32 ETH menjadi 2.048 ETH.
Sementara upgrade terakhir sebagian besar dianggap menguntungkan, EIP-7702 telah menjadi sasaran kritik di ruang kripto karena adanya celah yang tidak pernah diperkirakan sebelumnya.
EIP-7702 dan Transaksi SetCode
EIP-7702 adalah bagian yang sangat berguna dari upgrade Pectra, yang memungkinkan dompet Ethereum berfungsi seperti kontrak pintar itu sendiri.
Ini berarti pengguna dapat mendelegasikan kontrol dompet mereka ke kontrak lain hanya dengan menandatangani pesan di luar rantai.
Secara teori, ini adalah fitur yang kuat yang membuat akun cerdas lebih dapat digunakan. Namun, dalam praktiknya, ceritanya sangat berbeda.
Hacker kini dilaporkan dapat menipu pengguna ( melalui phishing, DApps palsu, atau penipuan Discord) untuk menandatangani pesan yang tampaknya tidak berbahaya.
Pesan itu, pada kenyataannya, dapat mencakup permohonan izin bagi penyerang untuk menginstal akses pintu belakang ke dalam dompet pengguna.
Setelah kontrol diberikan, penyerang yang dimaksud dapat melakukan apa saja mulai dari mengeksekusi transaksi, mengirim token, hingga menguras semua ETH korban mereka.
Lebih buruk lagi adalah bagaimana setelah izin awal diberikan, penyerang tidak memerlukan tanda tangan on-chain lebih lanjut dari korban.
Mengapa Ini Sangat Berbahaya?
Jika implikasi dari masalah ini tidak segera jelas, perlu dicatat bahwa sebelum Pectra, pengguna Ethereum harus menandatangani transaksi on-chain secara manual untuk memungkinkan modifikasi dompet atau transfer dana.
Sederhananya, seorang pengguna harus menandatangani setiap transaksi sebelum disetujui.
Saat ini, hanya dengan menandatangani pesan off-chain yang telah dimanipulasi dapat memberikan kontrol penuh kepada penyerang atas suatu akun.
Ini, tentu saja, mengubah segalanya tentang keamanan dompet kripto karena tindakan yang sebelumnya aman (menandatangani pesan off-chain) sekarang bisa sangat berisiko.
Sebagian besar antarmuka dompet saat ini tidak dirancang untuk mendeteksi jenis permintaan delegasi baru ini, dan pengguna tidak akan menerima peringatan yang memadai sebelum menandatangani token mereka.
Tanpa pemeriksaan ini, penipuan phishing dan rekayasa sosial kemungkinan akan meroket sepanjang tahun.
Dapatkah Dompet Multisig Membantu?
Karena kerentanan yang dimaksud memerlukan tanda tangan setidaknya sekali, dompet perangkat keras tidak secara inheren lebih aman daripada yang berbasis perangkat lunak.
Namun, dompet multi-tanda tangan adalah.
Dompet jenis ini memerlukan beberapa kunci pribadi untuk menyetujui transaksi, dan lebih kuat dalam hal keamanan.
Di sisi lain, dompet kunci tunggal, baik perangkat keras maupun perangkat lunak, harus cepat beradaptasi untuk memparsing tanda tangan dan mendeteksi tanda-tanda bahaya, atau implikasi keamanan bisa menjadi menghancurkan.
Peringatan: Voice of Crypto bertujuan untuk memberikan informasi yang akurat dan terkini, tetapi tidak akan bertanggung jawab atas fakta yang hilang atau informasi yang tidak akurat. Cryptocurrency adalah aset keuangan yang sangat volatil, jadi lakukan riset dan buat keputusan keuangan Anda sendiri.
Konten ini hanya untuk referensi, bukan ajakan atau tawaran. Tidak ada nasihat investasi, pajak, atau hukum yang diberikan. Lihat Penafian untuk pengungkapan risiko lebih lanjut.
Upgrade Pectra Ethereum Membuka Pintu Belakang yang Berbahaya—Inilah yang Anda Lewatkan
Wawasan Utama
Upgrade Pectra terbaru Ethereum telah dipuji karena membawa beberapa fitur baru ke jaringan.
Fitur-fitur ini dirancang khusus untuk mendukung skalabilitas dan meningkatkan kemampuan kontrak pintar.
Namun, di balik perbaikan ini terdapat celah keamanan yang dapat memungkinkan peretas untuk menguras dana dari dompet:
Menggunakan hanya tanda tangan off-chain.
Berikut adalah rincian risiko ini dan apa artinya bagi keamanan di jaringan Ethereum.
Apa Itu Peningkatan Pectra?
Sebagai konteks, upgrade Pectra diaktifkan pada 7 Mei, di epoch 364032.
Pembaruan ini memperkenalkan beberapa Usulan Peningkatan Ethereum (EIPs), yang semuanya dirancang untuk meningkatkan kinerja jaringan.
Beberapa yang paling menarik dari ini termasuk EIP-7702, yang memungkinkan delegasi dompet melalui tanda tangan off-chain, dan EIP-7251, yang meningkatkan batas staking validator dari 32 ETH menjadi 2.048 ETH.
Sementara upgrade terakhir sebagian besar dianggap menguntungkan, EIP-7702 telah menjadi sasaran kritik di ruang kripto karena adanya celah yang tidak pernah diperkirakan sebelumnya.
EIP-7702 dan Transaksi SetCode
EIP-7702 adalah bagian yang sangat berguna dari upgrade Pectra, yang memungkinkan dompet Ethereum berfungsi seperti kontrak pintar itu sendiri.
Ini berarti pengguna dapat mendelegasikan kontrol dompet mereka ke kontrak lain hanya dengan menandatangani pesan di luar rantai.
Secara teori, ini adalah fitur yang kuat yang membuat akun cerdas lebih dapat digunakan. Namun, dalam praktiknya, ceritanya sangat berbeda.
Hacker kini dilaporkan dapat menipu pengguna ( melalui phishing, DApps palsu, atau penipuan Discord) untuk menandatangani pesan yang tampaknya tidak berbahaya.
Pesan itu, pada kenyataannya, dapat mencakup permohonan izin bagi penyerang untuk menginstal akses pintu belakang ke dalam dompet pengguna.
Setelah kontrol diberikan, penyerang yang dimaksud dapat melakukan apa saja mulai dari mengeksekusi transaksi, mengirim token, hingga menguras semua ETH korban mereka.
Lebih buruk lagi adalah bagaimana setelah izin awal diberikan, penyerang tidak memerlukan tanda tangan on-chain lebih lanjut dari korban.
Mengapa Ini Sangat Berbahaya?
Jika implikasi dari masalah ini tidak segera jelas, perlu dicatat bahwa sebelum Pectra, pengguna Ethereum harus menandatangani transaksi on-chain secara manual untuk memungkinkan modifikasi dompet atau transfer dana.
Sederhananya, seorang pengguna harus menandatangani setiap transaksi sebelum disetujui.
Saat ini, hanya dengan menandatangani pesan off-chain yang telah dimanipulasi dapat memberikan kontrol penuh kepada penyerang atas suatu akun.
Ini, tentu saja, mengubah segalanya tentang keamanan dompet kripto karena tindakan yang sebelumnya aman (menandatangani pesan off-chain) sekarang bisa sangat berisiko.
Sebagian besar antarmuka dompet saat ini tidak dirancang untuk mendeteksi jenis permintaan delegasi baru ini, dan pengguna tidak akan menerima peringatan yang memadai sebelum menandatangani token mereka.
Tanpa pemeriksaan ini, penipuan phishing dan rekayasa sosial kemungkinan akan meroket sepanjang tahun.
Dapatkah Dompet Multisig Membantu?
Karena kerentanan yang dimaksud memerlukan tanda tangan setidaknya sekali, dompet perangkat keras tidak secara inheren lebih aman daripada yang berbasis perangkat lunak.
Namun, dompet multi-tanda tangan adalah.
Dompet jenis ini memerlukan beberapa kunci pribadi untuk menyetujui transaksi, dan lebih kuat dalam hal keamanan.
Di sisi lain, dompet kunci tunggal, baik perangkat keras maupun perangkat lunak, harus cepat beradaptasi untuk memparsing tanda tangan dan mendeteksi tanda-tanda bahaya, atau implikasi keamanan bisa menjadi menghancurkan.
Peringatan: Voice of Crypto bertujuan untuk memberikan informasi yang akurat dan terkini, tetapi tidak akan bertanggung jawab atas fakta yang hilang atau informasi yang tidak akurat. Cryptocurrency adalah aset keuangan yang sangat volatil, jadi lakukan riset dan buat keputusan keuangan Anda sendiri.