Обновление Ethereum позволит хакерам похищать средства пользователя в один клик

После активации форка Pectra в сети Ethereum пользователи начали массово предупреждать о новом векторе угроз. В течение первого часа после обновления в Telegram и X появились сообщения с призывами к осторожности при подписании любых сообщений. 

«Достаточно одной подписи, чтобы потерять все токены», — написал один из участников сообщества.

Обновление Pectra включало предложение EIP-3074, которое добавило коды операций AUTH и AUTHCALL. Они позволяют делегировать авторизацию смарт-контракту, что является шагом к абстракции аккаунта. Однако критики заявили, что это открывает путь новым фишинговым атакам: достаточно подписать сообщение, чтобы злоумышленник получил контроль над активами.

Авторы EIP-3074 опубликовали разъяснения, утверждая, что они не знают ни одного кошелька, который позволял бы подписывать такие сообщения без предупреждения. Они подчеркнули важность префикса 0x04, отметив, что надежные кошельки должны уведомлять пользователя о рисках при подписании.

Форк Pectra также активировал EIP-7702, расширивший возможности временного делегирования аккаунта стороннему контракту. Это нововведение позволяет смарт-контракту временно управлять учетной записью пользователя, что, по мнению критиков, увеличивает поверхность атак. В случае компрометации смарт-контракта все средства могут быть выведены.

Отличие EIP-7702 от предыдущих версий в том, что теперь внешние учетные записи могут делегировать управление исполняемому коду, что ранее не представляло угрозы. Это вызвало опасения среди пользователей и экспертов, которые начали распространять предупреждения о новом риске.

На момент публикации сообщений об успешных атаках с использованием новых возможностей Pectra не поступало. Большинство кошельков, включая MetaMask, заранее добавили защитные механизмы и предупреждения, чтобы минимизировать вероятность случайной передачи контроля над аккаунтом злоумышленникам.