ارتقای پکترا زیر ذره‌بین؛ آیا اتریوم راه نفوذ هکرها را باز کرده است؟

نیما رحمتی۱۴۰۴/۰۲/۲۲آخرین به روز رسانی: ۱۴۰۴/۰۲/۲۲

۰ ۴۴ خواندن این مطلب ۲ دقیقه زمان میبرد

آخرین به‌روزرسانی شبکه اتریوم با نام پکترا (Pectra) در تاریخ ۷ مه (۱۷ اردیبهشت)، با هدف بهبود مقیاس‌پذیری و حساب‌های هوشمند فعال شد اما همزمان یک ضعف امنیتی خطرناک را نیز به همراه آورد.

خلاصه خبر

در آپدیت جدید پکترا، کافی است کاربر یک پیام ساده را امضا کند تا هکر بتواند کدی مخرب را روی کیف پول او نصب نماید.
حتی کیف پول‌های سخت‌افزاری نیز دیگر امن‌تر از کیف پول‌های نرم‌افزاری نیستند، چون آن‌ها هم می‌توانند چنین پیام‌هایی را امضا کنند.

به گزارش کوین تلگراف، در بطن این مشکل، طرح پیشنهادی EIP-7702 شبکه اتریوم قرار دارد. این پروپوزال به کاربران اجازه می‌دهد تنها با یک امضای آفچین کنترل کیف پول خود را به قراردادهای دیگر واگذار کنند. این کار بدون نیاز به امضای هیچ تراکنشی روی زنجیره صورت می‌گیرد.

پیش از پکترا، تغییر در کیف پول‌های معمولی (EOA) تنها از طریق یک تراکنش واقعی و تأییدشده ممکن بود. اما اکنون، با معرفی نوع تراکنش جدید Setcode (نوع 0x04)، کافی است کاربر یک پیام ساده را امضا کند تا هکر بتواند کدی مخرب را روی کیف پول او نصب نماید. در ادامه او می‌تواند تمام دارایی‌ها را بدون اطلاع او منتقل کند.

مهاجمان می‌توانند با فریب کاربران از طریق سایت‌های فیشینگ، اپلیکیشن‌های جعلی یا لینک‌های مخرب در دیسکورد، این امضا را دریافت کنند. این خطر به‌ویژه برای کیف پول‌ها و قراردادهایی که هنوز از روش‌های قدیمی مثل tx.origin یا بررسی دستی EOA استفاده می‌کنند، بسیار بالاست.

یکی از نکات نگران‌کننده این است که حتی کیف پول‌های سخت‌افزاری نیز دیگر امن‌تر از کیف پول‌های نرم‌افزاری نیستند. دلیلش هم این است که آن‌ها نیز می‌توانند چنین پیام‌هایی را امضا کنند. این امضاها معمولاً ساده به نظر می‌رسند (مثلاً فقط یک هش ۳۲ بایتی) و با استانداردهای قبلی مثل EIP-191 یا EIP-712 سازگار نیستند، بنابراین هشدارهای معمول کیف پول را فعال نمی‌کنند.

خطر دیگری که باید در نظر گرفته شود، استفاده از chain_id = 0 در برخی پیام‌هاست که باعث می‌شود همان امضا روی تمام شبکه‌های سازگار با اتریوم قابل استفاده مجدد باشد. بنابراین کاربران باید با دقت بالا بررسی کنند که دقیقاً چه چیزی را امضا می‌کنند.

در این میان، کیف پول‌های چندامضایی هنوز امن‌ترند چون نیاز به تأیید چند کاربر دارند. توسعه‌دهندگان باید رابط‌های کاربری کیف پول‌ها را به‌روزرسانی کنند تا امضاهای تفویض اختیار را با هشدارهای واضح نمایش دهند.

افزون بر EIP-7702، ارتقاء پکترا شامل EIP-7251 (افزایش سقف استیکینگ اعتبارسنج‌ها از ۳۲ به ۲۰۴۸ اتر) و EIP-7691 (افزایش ظرفیت داده‌ها برای مقیاس‌پذیری لایه دوم) نیز می‌شود.