Aktualizácia Pectra na Ethereum (ETH), mala za cieľ zlepšiť škálovateľnosť siete a podporiť nové typy „inteligentných účtov“. Spolu s týmto technickým pokrokom sa však objavila aj nová zraniteľnosť, ktorá môže ohroziť tisíce používateľských peňaženiek – a to bez toho, aby bolo potrebné podpísať akúkoľvek onchain transakciu.
Reminder guys: now with PECTRA ethereum upgrade, you only need to sign a message to get completely drained! Before, you actually had to sign the TX.
Be very careful of what you sign now – even an offchain message!
— Vladimir S. | Officer's Notes (@officer_cia) May 7, 2025
Neviditeľná hrozba
Srdcom problému je EIP-7702, návrh na vylepšenie Ethereum protokolu, ktorý do siete zavádza nový typ transakcie – SetCode (typ 0x04), upozornil Cointelegraph.
Ten umožňuje používateľovi priradiť vlastný kód k svojej peňaženke, čím sa externý účet (EOA) mení na programovateľný smart kontrakt. Aj keď to prináša nové možnosti pre decentralizované aplikácie, zároveň to vytvára otvorenú bránu pre útočníkov.
Ako vysvetlil Arda Usman, audítor smart kontraktov, útočník môže získať podpis používateľa, napríklad prostredníctvom phishingu a použiť ho na prepísanie kódu účtu. Potom vie bez ďalšej interakcie s používateľom poslať jeho ETH alebo tokeny na vlastné adresy.
Ovládnutie účtu bez onchain transakcie
Pred zavedením Pectra bolo nutné, aby používateľ sám podpísal transakciu v sieti Ethereum, ak chcel niečo zmeniť na svojom účte. Po novom však stačí offchain podpis, teda jednoduchá autorizácia mimo samotného blockchainu, čo značne zvyšuje riziko manipulácie.
„Pectra umožňuje nainštalovať akýkoľvek kód na účet používateľa – stačí, že ten omylom podpíše žiadosť. Mnohé peňaženky zatiaľ tento nový typ transakcie nedokážu rozpoznať, a to je zásadný problém,“ uviedol výskumník Yehor Rudytsia z bezpečnostnej firmy Hacken.
Staré bezpečnostné návyky už nestačia
Útočníci môžu túto zraniteľnosť zneužiť prostredníctvom bežných metód, ako sú podvrhnuté weby, falošné DAppy, podozrivé odkazy na Discorde či phishingové emaily.
Keďže nové podpisy zavedené EIP-7702 nemusia byť kompatibilné so štandardmi EIP-191 alebo EIP-712, môžu sa javiť ako neškodné hash hodnoty, pričom obídu väčšinu varovných mechanizmov v súčasných peňaženkách.
„Odteraz je každé podpísanie offchain správy potenciálnym bezpečnostným rizikom. Používateľ by mal podpisovať len to, čomu naozaj rozumie,“ dodal Rudytsia.
Hardvérové peňaženky už „nie sú bezpečné“
Prekvapivo, aj hardvérové peňaženky – doteraz považované za bezpečnostný štandard – sú týmto útokom ohrozené rovnako ako horúce peňaženky.
Ak používateľ podpíše škodlivú správu, všetky jeho prostriedky môžu zmiznúť v priebehu sekúnd, bez toho, aby bola vykonaná akákoľvek štandardná transakcia.
Usman varuje pred ďalším nebezpečenstvom: podpisy s hodnotou chain_id = 0 môžu byť zneužité naprieč všetkými Ethereum-kompatibilnými sieťami, čo umožňuje ich opakované použitie mimo pôvodného kontextu.
Multisig peňaženky ako riešenie?
Napriek vážnosti situácie existujú aj bezpečnejšie alternatívy. Multisig peňaženky, ktoré vyžadujú podpis viacerých používateľov, zostávajú voči týmto typom útokov odolnejšie.
Naproti tomu single-key riešenia by mali okamžite zaviesť nové detekčné nástroje a varovania pri delegáciách.
Okrem EIP-7702 priniesla aktualizácia Pectra aj ďalšie vylepšenia:
- EIP-7251: zvýšenie limitu pre staking validátorov z 32 na 2 048 ETH
- EIP-7691: zvýšenie počtu dátových blokov na zlepšenie výkonnosti druhej vrstvy
Poučenie? Nepodpisujte, čo nepoznáte
V súčasnosti platí jednoduché pravidlo: nepodpisujte správy, ktorým nerozumiete. Vývojári peňaženiek by mali čo najskôr implementovať novú ochranu proti podvodným delegáciám a zvýrazniť podozrivé adresy. Používatelia však musia byť ostražití a pripravení – pretože bezpečnosť v Pectra ére už nie je automatická.
Top burzy
