👀👀Cập nhật Pectra của Ethereum cho phép hacker rút tiền ví chỉ với một chữ ký offchain 😱😱😱😡
Cập nhật mới nhất của Ethereum giới thiệu việc ủy quyền ví offchain thông qua EIP-7702, cho phép kẻ tấn công rút tiền chỉ bằng một thông điệp đã ký.
Cập nhật mới nhất của mạng Ethereum, Pectra, đã giới thiệu các tính năng mới và mạnh mẽ nhằm cải thiện khả năng mở rộng và chức năng của các tài khoản thông minh, nhưng cũng mở ra một vector tấn công mới nguy hiểm có thể cho phép hacker làm rỗng quỹ từ các ví của người dùng chỉ bằng một chữ ký offchain.
Với cập nhật Pectra, được kích hoạt vào ngày 7 tháng 5 trong thời kỳ 364032, các kẻ tấn công có thể khai thác một loại giao dịch mới để kiểm soát các tài khoản sở hữu bên ngoài (EOAs) mà không yêu cầu người dùng ký một giao dịch onchain.
Arda Usman, kiểm toán viên hợp đồng thông minh tại Solidity, đã xác nhận với Cointelegraph rằng “có khả năng một kẻ tấn công làm rỗng quỹ của một EOA chỉ bằng một thông điệp đã ký offchain (không có giao dịch onchain được ký trực tiếp bởi người dùng)”.
Trung tâm của rủi ro nằm ở EIP-7702, một thành phần chính của cập nhật Pectra. Đề xuất Cải thiện Ethereum (EIP) giới thiệu giao dịch SetCode (loại 0x04), cho phép người dùng ủy quyền kiểm soát ví của họ cho một hợp đồng khác chỉ bằng cách ký một thông điệp.
Nếu một kẻ tấn công có được chữ ký này, chẳng hạn như thông qua một trang web lừa đảo, họ có thể ghi đè mã của ví bằng một proxy nhỏ mà chuyển hướng các cuộc gọi đến hợp đồng độc hại của họ.
“Một khi mã đã được thiết lập”, Usman giải thích, “kẻ tấn công có thể gọi mã đó để chuyển ETH hoặc token từ tài khoản, tất cả mà không cần người dùng bao giờ ký một giao dịch chuyển nhượng thông thường”.
Tuyên bố miễn trừ trách nhiệm: Bao gồm cả quan điểm của bên thứ ba. Đây không phải lời khuyên tài chính. Có thể bao gồm nội dung được tài trợ.Xem Điều khoản & Điều kiện.
0
0
166
Tìm hiểu tin tức mới nhất về tiền mã hóa
⚡️ Hãy tham gia những cuộc thảo luận mới nhất về tiền mã hóa
💬 Tương tác với những nhà sáng tạo mà bạn yêu thích