📢 Gate广场 #MBG任务挑战# 发帖赢大奖活动火热开启!
想要瓜分1,000枚MBG?现在就来参与,展示你的洞察与实操,成为MBG推广达人!
💰️ 本期将评选出20位优质发帖用户,每人可轻松获得50枚MBG!
如何参与:
1️⃣ 调研MBG项目
对MBG的基本面、社区治理、发展目标、代币经济模型等方面进行研究,分享你对项目的深度研究。
2️⃣ 参与并分享真实体验
参与MBG相关活动(包括CandyDrop、Launchpool或现货交易),并晒出你的参与截图、收益图或实用教程。可以是收益展示、简明易懂的新手攻略、小窍门,也可以是现货行情点位分析,内容详实优先。
3️⃣ 鼓励带新互动
如果你的帖子吸引到他人参与活动,或者有好友评论“已参与/已交易”,将大幅提升你的获奖概率!
MBG热门活动(帖文需附下列活动链接):
Gate第287期Launchpool:MBG — 质押ETH、MBG即可免费瓜分112,500 MBG,每小时领取奖励!参与攻略见公告:https://www.gate.com/announcements/article/46230
Gate CandyDrop第55期:CandyDrop x MBG — 通过首次交易、交易MBG、邀请好友注册交易即可分187,500 MBG!参与攻略见公告:https://www.gate.com/announcements
以太坊的Pectra升级打开了一个危险的后门——以下是你错过的内容
关键见解
以太坊最近的Pectra升级因为为网络带来了多个新功能而受到称赞。
这些功能特别设计用于支持可扩展性并改善智能合约能力。
然而,在这些改进的背后存在一个安全漏洞,这可能允许黑客从钱包中提取资金:
仅使用链下签名。
以下是此风险的详细信息以及它可能对以太坊网络安全的影响。
Pectra升级究竟是什么?
为了提供一些背景,Pectra升级于5月7日,在纪元364032激活。
此次升级引入了多个以太坊改进提案(EIPs),这些提案旨在提升网络的性能。
其中一些最有趣的包括 EIP-7702,它允许通过链外签名进行钱包委托,以及 EIP-7251,它将验证者的质押上限从 32 ETH 增加到 2,048 ETH。
虽然后者的升级在很大程度上被视为有益,但EIP-7702因一个没人预料到的漏洞而成为加密领域批评的焦点。
EIP-7702 和 SetCode 交易
EIP-7702是Pectra升级中非常有用的一部分,它使以太坊钱包本身能够像智能合约一样运作。
这意味着用户可以通过简单地在链下签署一条消息,将他们的钱包的控制权委托给另一个合约。
理论上,这是一个强大的功能,使智能账户更易于使用。然而,实际上,情况却大相径庭。
黑客现在 reportedly 可以通过钓鱼、假 DApps 或 Discord 诈骗(来欺骗用户签署一条看似无害的信息。
实际上,该消息可能包含攻击者请求在用户的钱包中安装后门访问的请求。
一旦控制权被授予,攻击者可以执行交易、发送代币,甚至将受害者的所有ETH提取干净。
更糟糕的是,在初始权限被授予后,攻击者无需再从受害者那里获得任何进一步的链上签名。
这为什么如此危险?
如果这个问题的影响并不立刻显而易见,那么值得一提的是,在Pectra之前,以太坊用户必须手动签署链上交易以允许钱包修改或资金转移。
简单来说,用户必须在每笔交易获得批准之前进行签名。
就目前而言,仅仅签署一个被篡改的链下消息就可以让攻击者完全控制一个账户。
这当然改变了加密钱包安全的所有内容,因为之前安全的操作)签署链下消息(现在可能变得非常危险。
目前大多数钱包界面并未设计为能够检测这种新型的委托请求,因此用户在签署他们的代币之前不会收到任何适当的警告。
如果没有这些检查,网络钓鱼和社交工程诈骗在一年内可能会急剧增加。
多签钱包能帮助吗?
由于所讨论的漏洞至少需要一次签名,因此硬件钱包并不比基于软件的钱包本质上更安全。
然而,多重签名钱包是。
这类钱包需要多个私钥来批准交易,安全性更强。
另一方面,单密钥钱包,无论是硬件还是软件,都必须快速适应以解析签名并检测警示信号,否则安全隐患可能会造成毁灭性的后果。
免责声明:Crypto之声旨在提供准确和最新的信息,但不对任何遗漏的事实或不准确信息负责。加密货币是高度波动的金融资产,因此请进行研究并做出自己的财务决策。