## **关键见解*** 以太坊的Pectra升级旨在改善以太坊网络的用户体验。* 然而,开发人员可能忽视了代码中的一个危险漏洞。* EIP-7702 允许用户通过简单地在链下签署消息,将对他们钱包的控制权委托给另一个合约。* 攻击者可以利用这一点,使用网络钓鱼策略来在受害者的钱包中安装后门访问。* 这些不法分子可以提取资金,目前多签名钱包是最安全的选择。以太坊最近的Pectra升级因为为网络带来了多个新功能而受到称赞。这些功能特别设计用于支持可扩展性并改善智能合约能力。然而,在这些改进的背后存在一个安全漏洞,这可能允许黑客从钱包中提取资金:仅使用链下签名。以下是此风险的详细信息以及它可能对以太坊网络安全的影响。 ## **Pectra升级究竟是什么?**为了提供一些背景,Pectra升级于5月7日,在纪元364032激活。此次升级引入了多个以太坊改进提案(EIPs),这些提案旨在提升网络的性能。其中一些最有趣的包括 EIP-7702,它允许通过链外签名进行钱包委托,以及 EIP-7251,它将验证者的质押上限从 32 ETH 增加到 2,048 ETH。虽然后者的升级在很大程度上被视为有益,但EIP-7702因一个没人预料到的漏洞而成为加密领域批评的焦点。## **EIP-7702 和 SetCode 交易**EIP-7702是Pectra升级中非常有用的一部分,它使以太坊钱包本身能够像智能合约一样运作。这意味着用户可以通过简单地在链下签署一条消息,将他们的钱包的控制权委托给另一个合约。理论上,这是一个强大的功能,使智能账户更易于使用。然而,实际上,情况却大相径庭。黑客现在 reportedly 可以通过钓鱼、假 DApps 或 Discord 诈骗(来欺骗用户签署一条看似无害的信息。实际上,该消息可能包含攻击者请求在用户的钱包中安装后门访问的请求。一旦控制权被授予,攻击者可以执行交易、发送代币,甚至将受害者的所有ETH提取干净。更糟糕的是,在初始权限被授予后,攻击者无需再从受害者那里获得任何进一步的链上签名。 ## **这为什么如此危险?**如果这个问题的影响并不立刻显而易见,那么值得一提的是,在Pectra之前,以太坊用户必须手动签署链上交易以允许钱包修改或资金转移。简单来说,用户必须在每笔交易获得批准之前进行签名。就目前而言,仅仅签署一个被篡改的链下消息就可以让攻击者完全控制一个账户。这当然改变了加密钱包安全的所有内容,因为之前安全的操作)签署链下消息(现在可能变得非常危险。目前大多数钱包界面并未设计为能够检测这种新型的委托请求,因此用户在签署他们的代币之前不会收到任何适当的警告。如果没有这些检查,网络钓鱼和社交工程诈骗在一年内可能会急剧增加。 ## **多签钱包能帮助吗?**由于所讨论的漏洞至少需要一次签名,因此硬件钱包并不比基于软件的钱包本质上更安全。然而,多重签名钱包是。这类钱包需要多个私钥来批准交易,安全性更强。另一方面,单密钥钱包,无论是硬件还是软件,都必须快速适应以解析签名并检测警示信号,否则安全隐患可能会造成毁灭性的后果。***免责声明:Crypto之声旨在提供准确和最新的信息,但不对任何遗漏的事实或不准确信息负责。加密货币是高度波动的金融资产,因此请进行研究并做出自己的财务决策。***
以太坊的Pectra升级打开了一个危险的后门——以下是你错过的内容
关键见解
以太坊最近的Pectra升级因为为网络带来了多个新功能而受到称赞。
这些功能特别设计用于支持可扩展性并改善智能合约能力。
然而,在这些改进的背后存在一个安全漏洞,这可能允许黑客从钱包中提取资金:
仅使用链下签名。
以下是此风险的详细信息以及它可能对以太坊网络安全的影响。
Pectra升级究竟是什么?
为了提供一些背景,Pectra升级于5月7日,在纪元364032激活。
此次升级引入了多个以太坊改进提案(EIPs),这些提案旨在提升网络的性能。
其中一些最有趣的包括 EIP-7702,它允许通过链外签名进行钱包委托,以及 EIP-7251,它将验证者的质押上限从 32 ETH 增加到 2,048 ETH。
虽然后者的升级在很大程度上被视为有益,但EIP-7702因一个没人预料到的漏洞而成为加密领域批评的焦点。
EIP-7702 和 SetCode 交易
EIP-7702是Pectra升级中非常有用的一部分,它使以太坊钱包本身能够像智能合约一样运作。
这意味着用户可以通过简单地在链下签署一条消息,将他们的钱包的控制权委托给另一个合约。
理论上,这是一个强大的功能,使智能账户更易于使用。然而,实际上,情况却大相径庭。
黑客现在 reportedly 可以通过钓鱼、假 DApps 或 Discord 诈骗(来欺骗用户签署一条看似无害的信息。
实际上,该消息可能包含攻击者请求在用户的钱包中安装后门访问的请求。
一旦控制权被授予,攻击者可以执行交易、发送代币,甚至将受害者的所有ETH提取干净。
更糟糕的是,在初始权限被授予后,攻击者无需再从受害者那里获得任何进一步的链上签名。
这为什么如此危险?
如果这个问题的影响并不立刻显而易见,那么值得一提的是,在Pectra之前,以太坊用户必须手动签署链上交易以允许钱包修改或资金转移。
简单来说,用户必须在每笔交易获得批准之前进行签名。
就目前而言,仅仅签署一个被篡改的链下消息就可以让攻击者完全控制一个账户。
这当然改变了加密钱包安全的所有内容,因为之前安全的操作)签署链下消息(现在可能变得非常危险。
目前大多数钱包界面并未设计为能够检测这种新型的委托请求,因此用户在签署他们的代币之前不会收到任何适当的警告。
如果没有这些检查,网络钓鱼和社交工程诈骗在一年内可能会急剧增加。
多签钱包能帮助吗?
由于所讨论的漏洞至少需要一次签名,因此硬件钱包并不比基于软件的钱包本质上更安全。
然而,多重签名钱包是。
这类钱包需要多个私钥来批准交易,安全性更强。
另一方面,单密钥钱包,无论是硬件还是软件,都必须快速适应以解析签名并检测警示信号,否则安全隐患可能会造成毁灭性的后果。
免责声明:Crypto之声旨在提供准确和最新的信息,但不对任何遗漏的事实或不准确信息负责。加密货币是高度波动的金融资产,因此请进行研究并做出自己的财务决策。