A atualização Pectra do Ethereum foi focada em melhorar a experiência do usuário da rede Ethereum.
No entanto, os desenvolvedores podem ter negligenciado uma vulnerabilidade perigosa no código.
O EIP-7702 permite que os usuários deleguem o controle da sua carteira a outro contrato simplesmente assinando uma mensagem fora da cadeia.
Os atacantes podem tirar proveito disso e usar táticas de phishing para instalar acesso backdoor na carteira da vítima.
Esses maus atores podem então drenar fundos, com carteiras multi-sig sendo atualmente a opção mais segura.
A recente atualização Pectra do Ethereum foi aclamada por trazer várias novas funcionalidades à rede.
Estas funcionalidades foram especialmente projetadas para suportar a escalabilidade e melhorar as capacidades dos contratos inteligentes.
No entanto, por trás dessas melhorias havia uma falha de segurança que poderia permitir que hackers esvaziassem fundos das carteiras:
Usando apenas uma assinatura off-chain.
Aqui estão os detalhes deste risco e o que isso pode significar para a segurança na rede Ethereum.
O que é exatamente a atualização Pectra?
Para algum contexto, a atualização Pectra foi ativada a 7 de maio, na época 364032.
Esta atualização introduziu várias Propostas de Melhoria do Ethereum (EIPs), todas as quais foram projetadas para melhorar o desempenho da rede.
Alguns dos mais interessantes destes incluíram o EIP-7702, que permite a delegação de carteiras através de assinaturas off-chain, e o EIP-7251, que aumenta o limite de staking de validadores de 32 ETH para 2.048 ETH.
Embora a última atualização seja amplamente vista como benéfica, a EIP-7702 se tornou um alvo de críticas no espaço cripto devido a uma brecha que ninguém previu.
EIP-7702 e Transações SetCode
O EIP-7702 é uma parte altamente útil da atualização Pectra, que permite que as carteiras Ethereum se comportem como contratos inteligentes por si mesmas.
Isto significa que os utilizadores podem delegar o controlo da sua carteira para outro contrato simplesmente assinando uma mensagem fora da cadeia.
Na teoria, esta é uma funcionalidade poderosa que torna as contas inteligentes mais utilizáveis. No entanto, na prática, a história é muito diferente.
Os hackers agora podem supostamente enganar os usuários ( através de phishing, DApps falsos ou golpes no Discord) para assinar uma mensagem aparentemente inofensiva.
Essa mensagem, na realidade, poderia incluir um pedido de permissão para que o atacante instalasse acesso de backdoor na carteira de um usuário.
Uma vez que o controle tenha sido concedido, o atacante em questão pode fazer tudo, desde executar transações enviando tokens até mesmo esvaziar todo o ETH da vítima.
Pior ainda é que, após a permissão inicial ter sido concedida, o atacante não precisa de mais nenhuma assinatura on-chain da vítima.
Por Que Isso É Tão Perigoso?
Se as implicações deste problema não fossem imediatamente óbvias, vale a pena mencionar que antes da Pectra, os usuários do Ethereum tinham que assinar manualmente transações on-chain para permitir modificações na carteira ou transferências de fundos.
Simplificando, um usuário tinha que assinar cada transação antes da aprovação.
Neste momento, simplesmente assinar uma mensagem off-chain adulterada pode dar aos atacantes controle total sobre uma conta.
Isso, claro, muda tudo sobre a segurança das carteiras de criptomoedas, porque uma ação que antes era segura ( assinar uma mensagem off-chain ) agora pode ser altamente arriscada.
A maioria das interfaces de carteira atuais não está preparada para detectar este novo tipo de pedido de delegação, e os usuários não receberão avisos adequados antes de assinarem seus tokens.
Sem essas verificações, os golpes de phishing e engenharia social provavelmente irão disparar ao longo do ano.
As Carteiras Multisig Podem Ajudar?
Uma vez que a vulnerabilidade em questão requer assinaturas pelo menos uma vez, as carteiras de hardware não são inerentemente mais seguras do que as baseadas em software.
No entanto, as carteiras multi-sig são.
Esses tipos de carteiras requerem múltiplas chaves privadas para aprovar transações e são mais fortes em termos de segurança.
Por outro lado, carteiras de chave única, sejam hardware ou software, devem adaptar-se rapidamente para analisar assinaturas e detectar sinais de alerta, ou as implicações de segurança podem ser devastadoras.
Isenção de responsabilidade: A Voice of Crypto visa fornecer informações precisas e atualizadas, mas não será responsável por quaisquer fatos ausentes ou informações imprecisas. As criptomoedas são ativos financeiros altamente voláteis, portanto, pesquise e tome suas próprias decisões financeiras.
O conteúdo serve apenas de referência e não constitui uma solicitação ou oferta. Não é prestado qualquer aconselhamento em matéria de investimento, fiscal ou jurídica. Consulte a Declaração de exoneração de responsabilidade para obter mais informações sobre os riscos.
A Atualização Pectra do Ethereum Abriu uma Porta dos Fundos Perigosa—Aqui Está o Que Você Perdeu
Principais Insights
A recente atualização Pectra do Ethereum foi aclamada por trazer várias novas funcionalidades à rede.
Estas funcionalidades foram especialmente projetadas para suportar a escalabilidade e melhorar as capacidades dos contratos inteligentes.
No entanto, por trás dessas melhorias havia uma falha de segurança que poderia permitir que hackers esvaziassem fundos das carteiras:
Usando apenas uma assinatura off-chain.
Aqui estão os detalhes deste risco e o que isso pode significar para a segurança na rede Ethereum.
O que é exatamente a atualização Pectra?
Para algum contexto, a atualização Pectra foi ativada a 7 de maio, na época 364032.
Esta atualização introduziu várias Propostas de Melhoria do Ethereum (EIPs), todas as quais foram projetadas para melhorar o desempenho da rede.
Alguns dos mais interessantes destes incluíram o EIP-7702, que permite a delegação de carteiras através de assinaturas off-chain, e o EIP-7251, que aumenta o limite de staking de validadores de 32 ETH para 2.048 ETH.
Embora a última atualização seja amplamente vista como benéfica, a EIP-7702 se tornou um alvo de críticas no espaço cripto devido a uma brecha que ninguém previu.
EIP-7702 e Transações SetCode
O EIP-7702 é uma parte altamente útil da atualização Pectra, que permite que as carteiras Ethereum se comportem como contratos inteligentes por si mesmas.
Isto significa que os utilizadores podem delegar o controlo da sua carteira para outro contrato simplesmente assinando uma mensagem fora da cadeia.
Na teoria, esta é uma funcionalidade poderosa que torna as contas inteligentes mais utilizáveis. No entanto, na prática, a história é muito diferente.
Os hackers agora podem supostamente enganar os usuários ( através de phishing, DApps falsos ou golpes no Discord) para assinar uma mensagem aparentemente inofensiva.
Essa mensagem, na realidade, poderia incluir um pedido de permissão para que o atacante instalasse acesso de backdoor na carteira de um usuário.
Uma vez que o controle tenha sido concedido, o atacante em questão pode fazer tudo, desde executar transações enviando tokens até mesmo esvaziar todo o ETH da vítima.
Pior ainda é que, após a permissão inicial ter sido concedida, o atacante não precisa de mais nenhuma assinatura on-chain da vítima.
Por Que Isso É Tão Perigoso?
Se as implicações deste problema não fossem imediatamente óbvias, vale a pena mencionar que antes da Pectra, os usuários do Ethereum tinham que assinar manualmente transações on-chain para permitir modificações na carteira ou transferências de fundos.
Simplificando, um usuário tinha que assinar cada transação antes da aprovação.
Neste momento, simplesmente assinar uma mensagem off-chain adulterada pode dar aos atacantes controle total sobre uma conta.
Isso, claro, muda tudo sobre a segurança das carteiras de criptomoedas, porque uma ação que antes era segura ( assinar uma mensagem off-chain ) agora pode ser altamente arriscada.
A maioria das interfaces de carteira atuais não está preparada para detectar este novo tipo de pedido de delegação, e os usuários não receberão avisos adequados antes de assinarem seus tokens.
Sem essas verificações, os golpes de phishing e engenharia social provavelmente irão disparar ao longo do ano.
As Carteiras Multisig Podem Ajudar?
Uma vez que a vulnerabilidade em questão requer assinaturas pelo menos uma vez, as carteiras de hardware não são inerentemente mais seguras do que as baseadas em software.
No entanto, as carteiras multi-sig são.
Esses tipos de carteiras requerem múltiplas chaves privadas para aprovar transações e são mais fortes em termos de segurança.
Por outro lado, carteiras de chave única, sejam hardware ou software, devem adaptar-se rapidamente para analisar assinaturas e detectar sinais de alerta, ou as implicações de segurança podem ser devastadoras.
Isenção de responsabilidade: A Voice of Crypto visa fornecer informações precisas e atualizadas, mas não será responsável por quaisquer fatos ausentes ou informações imprecisas. As criptomoedas são ativos financeiros altamente voláteis, portanto, pesquise e tome suas próprias decisões financeiras.