📢 #Gate广场征文活动第二期# 正式启动!
分享你对 $ERA 项目的独特观点,推广ERA上线活动, 700 $ERA 等你来赢!
💰 奖励:
一等奖(1名): 100枚 $ERA
二等奖(5名): 每人 60 枚 $ERA
三等奖(10名): 每人 30 枚 $ERA
👉 参与方式:
1.在 Gate广场发布你对 ERA 项目的独到见解贴文
2.在贴文中添加标签: #Gate广场征文活动第二期# ,贴文字数不低于300字
3.将你的文章或观点同步到X,加上标签:Gate Square 和 ERA
4.征文内容涵盖但不限于以下创作方向:
ERA 项目亮点:作为区块链基础设施公司,ERA 拥有哪些核心优势?
ERA 代币经济模型:如何保障代币的长期价值及生态可持续发展?
参与并推广 Gate x Caldera (ERA) 生态周活动。点击查看活动详情:https://www.gate.com/announcements/article/46169。
欢迎围绕上述主题,或从其他独特视角提出您的见解与建议。
⚠️ 活动要求:
原创内容,至少 300 字, 重复或抄袭内容将被淘汰。
不得使用 #Gate广场征文活动第二期# 和 #ERA# 以外的任何标签。
每篇文章必须获得 至少3个互动,否则无法获得奖励
鼓励图文并茂、深度分析,观点独到。
⏰ 活动时间:2025年7月20日 17
以太坊的Pectra升级打开了一个危险的后门——以下是你错过的内容
关键见解
以太坊最近的Pectra升级因为为网络带来了多个新功能而受到称赞。
这些功能特别设计用于支持可扩展性并改善智能合约能力。
然而,在这些改进的背后存在一个安全漏洞,这可能允许黑客从钱包中提取资金:
仅使用链下签名。
以下是此风险的详细信息以及它可能对以太坊网络安全的影响。
Pectra升级究竟是什么?
为了提供一些背景,Pectra升级于5月7日,在纪元364032激活。
此次升级引入了多个以太坊改进提案(EIPs),这些提案旨在提升网络的性能。
其中一些最有趣的包括 EIP-7702,它允许通过链外签名进行钱包委托,以及 EIP-7251,它将验证者的质押上限从 32 ETH 增加到 2,048 ETH。
虽然后者的升级在很大程度上被视为有益,但EIP-7702因一个没人预料到的漏洞而成为加密领域批评的焦点。
EIP-7702 和 SetCode 交易
EIP-7702是Pectra升级中非常有用的一部分,它使以太坊钱包本身能够像智能合约一样运作。
这意味着用户可以通过简单地在链下签署一条消息,将他们的钱包的控制权委托给另一个合约。
理论上,这是一个强大的功能,使智能账户更易于使用。然而,实际上,情况却大相径庭。
黑客现在 reportedly 可以通过钓鱼、假 DApps 或 Discord 诈骗(来欺骗用户签署一条看似无害的信息。
实际上,该消息可能包含攻击者请求在用户的钱包中安装后门访问的请求。
一旦控制权被授予,攻击者可以执行交易、发送代币,甚至将受害者的所有ETH提取干净。
更糟糕的是,在初始权限被授予后,攻击者无需再从受害者那里获得任何进一步的链上签名。
这为什么如此危险?
如果这个问题的影响并不立刻显而易见,那么值得一提的是,在Pectra之前,以太坊用户必须手动签署链上交易以允许钱包修改或资金转移。
简单来说,用户必须在每笔交易获得批准之前进行签名。
就目前而言,仅仅签署一个被篡改的链下消息就可以让攻击者完全控制一个账户。
这当然改变了加密钱包安全的所有内容,因为之前安全的操作)签署链下消息(现在可能变得非常危险。
目前大多数钱包界面并未设计为能够检测这种新型的委托请求,因此用户在签署他们的代币之前不会收到任何适当的警告。
如果没有这些检查,网络钓鱼和社交工程诈骗在一年内可能会急剧增加。
多签钱包能帮助吗?
由于所讨论的漏洞至少需要一次签名,因此硬件钱包并不比基于软件的钱包本质上更安全。
然而,多重签名钱包是。
这类钱包需要多个私钥来批准交易,安全性更强。
另一方面,单密钥钱包,无论是硬件还是软件,都必须快速适应以解析签名并检测警示信号,否则安全隐患可能会造成毁灭性的后果。
免责声明:Crypto之声旨在提供准确和最新的信息,但不对任何遗漏的事实或不准确信息负责。加密货币是高度波动的金融资产,因此请进行研究并做出自己的财务决策。