Ethereum'un Pectra Yükseltmesi, Yeni Bir Saldırı Vektörü Açarak Kullanıcı Cüzdanlarını Riske Atıyor

Ethereum'un Pectra yükseltmesi, ölçeklenebilirliği ve akıllı hesap işlevselliğini geliştirmeyi hedefleyen yeni özellikler sunarken, aynı zamanda kullanıcı cüzdanlarından fonların çalınmasına olanak tanıyan tehlikeli bir saldırı vektörü de açtı. Yükseltme, kullanıcıların bir zincir içi işlem imzalamalarına gerek kalmadan hesaplarını kontrol etmelerine olanak tanıyan yeni bir işlem türü getiriyor.

EIP-7702 adlı temel bir bileşen olan SetCode işlemi (tip 0x04), kullanıcıların bir mesaj imzalayarak cüzdanlarının kontrolünü başka bir sözleşmeye devretmelerini sağlıyor. Bir saldırganın bu imzayı ele geçirmesi durumunda, cüzdanın kodunu kötü niyetli bir sözleşmeye yönlendiren küçük bir proxy ile değiştirebilir. Bu sayede, saldırgan, kullanıcının normal bir transfer işlemi imzalamasına gerek kalmadan hesabın ETH veya token'larını aktarabilir.

Hacken'dan Yehor Rudytsia, bu yeni işlem türünün, kullanıcı hesabına keyfi kod yüklenmesine izin verdiğini ve cüzdanı programlanabilir bir akıllı sözleşmeye dönüştürdüğünü belirtiyor. Saldırılar, kimlik avı e-postaları, sahte DApp'ler veya Discord dolandırıcılıkları gibi yaygın zincir dışı etkileşimler aracılığıyla kolayca gerçekleştirilebiliyor.

Arda Usman, eski varsayımlara dayanan akıllı sözleşmelerin (örneğin, tx.origin veya temel EOA kontrolleri) özellikle savunmasız olduğunu vurguluyor. Cüzdanların ve arayüzlerin bu yeni işlem türlerini algılayamaması veya doğru bir şekilde temsil edememesi riski artırıyor. Donanım cüzdanları da artık güvenli değil. Kullanıcıların anlamadıkları mesajları imzalamamaları ve cüzdan geliştiricilerinin devir mesajları imzalamaları istendiğinde net uyarılar sağlamaları gerekiyor.

EIP-7702'nin tanıttığı yeni devir imza formatları, mevcut EIP-191 veya EIP-712 standartlarıyla uyumlu değil ve genellikle 32 baytlık basit karmalar olarak görünüyor. Ayrıca, chain_id = 0 olan imzalar, mesajın herhangi bir Ethereum uyumlu zincirde tekrar oynatılmasına izin veriyor.

Çoklu imza cüzdanları daha güvenli kalırken, tek anahtarlı cüzdanların potansiyel istismarı önlemek için yeni imza ayrıştırma ve kırmızı bayrak araçları kullanması gerekiyor. Pectra yükseltmesi ayrıca, doğrulayıcı staking limitini 32'den 2.048 ETH'ye çıkaran EIP-7251'i ve katman-2 ölçeklenebilirliği için blok başına veri blobu sayısını artıran EIP-7691'i de içeriyordu.