Обновление Pectra создало критическую уязвимость Ethereum

Последнее обновление сети Ethereum под названием Pectra, запущенное 7 мая, создало опасную лазейку для хакеров. Теперь злоумышленники могут опустошать кошельки пользователей, используя только офчейн-подпись — без традиционных ончейн-транзакций.Корень проблемы — EIP-7702Центральным элементом риска является EIP-7702 — ключевой компонент обновления Pectra. Это предложение вводит новый тип транзакций SetCode (тип 0x04), который позволяет пользователям делегировать контроль над своим кошельком другому контракту просто подписав сообщение.Что такое офчейн-подпись? Это подпись, которую пользователь ставит под сообщением, не отправляя транзакцию в блокчейн. Такие подписи часто используются для авторизации на сайтах и сервисах, при входе в децентрализованные приложения (DApps) или подтверждении различных действий, не требующих записи в блокчейн.Механизм атаки прост: если злоумышленник получит такую подпись — например, через фишинговый сайт, фальшивое DApp-приложение или Discord-скам — он сможет перезаписать код кошелька, установив вредоносный контракт. После этого хакер получает полный контроль над средствами.Кто под угрозой?Под угрозой находятся все владельцы кошельков Ethereum:Обычные пользователи со стандартными кошельками Ethereum, особенно те, кто регулярно взаимодействует с DAppsВладельцы аппаратных кошельков (они так же уязвимы как и программные)Пользователи смарт-контрактов, основанных на устаревших проверках безопасностиКак только код установлен, злоумышленник может вызвать этот код для перевода ETH или токенов с аккаунта — и все это без необходимости пользователю подписывать обычную транзакцию перевода.До Pectra кошельки не могли быть модифицированы без транзакции, напрямую подписанной пользователем. После обновления любая операция может выполняться из контракта, который пользователь одобрил через SET_CODE.Аппаратные кошельки тоже под угрозойАппаратные кошельки отныне подвержены такому же риску, как и горячие кошельки, с точки зрения подписания вредоносных сообщений. Если это сделано — все средства исчезнут в одно мгновение.Для защиты эксперты рекомендуют:Не подписывать сообщения, которые вы не понимаетеОбращать внимание на предупреждения кошелькаБыть особенно осторожными с сообщениями, включающими nonce (счетчик транзакций) вашего аккаунтаПомнить, что подписи с chain_id = 0 могут быть воспроизведены в любой Ethereum-совместимой сетиНаиболее защищенными остаются мультиподписные кошельки благодаря требованию нескольких подписантов, но пользователям кошельков с одним ключом необходимо быть предельно осторожными.▼Самые интересные и важные новости на нашем канале в TelegramСообщение Обновление Pectra создало критическую уязвимость Ethereum появились сначала на Hash Telegraph.