كانت ترقية Pectra الخاصة بـ Ethereum مركزة على تحسين تجربة المستخدم لشبكة Ethereum.
ومع ذلك، قد يكون المطورون قد أغفلوا ثغرة خطيرة في الشيفرة.
يسمح EIP-7702 للمستخدمين بتفويض السيطرة على محفظتهم لعقد آخر من خلال مجرد توقيع رسالة خارج السلسلة.
يمكن للمهاجمين الاستفادة من ذلك واستخدام أساليب التصيد لتركيب وصول خلفي إلى محفظة الضحية.
يمكن لهؤلاء الفاعلين السيئين بعد ذلك سحب الأموال، حيث تعتبر المحافظ متعددة التوقيعات الخيار الأكثر أمانًا حاليًا.
تم الإشادة بترقية Pectra الأخيرة لإيثريوم لتقديمها العديد من الميزات الجديدة للشبكة.
تم تصميم هذه الميزات خصيصًا لدعم قابلية التوسع وتحسين قدرات العقود الذكية.
ومع ذلك، كانت هناك ثغرة أمنية تحت هذه التحسينات يمكن أن تسمح للقراصنة بسحب الأموال من المحفظات:
استخدام توقيع خارج السلسلة فقط.
إليك تفاصيل هذا الخطر وما يمكن أن يعنيه للأمان على شبكة الإيثريوم.
ما هو تحديث بيكترا بالضبط؟
لإعطاء بعض السياق، تم تفعيل ترقية Pectra في 7 مايو، في العصر 364032.
قدمت هذه الترقية العديد من مقترحات تحسين إيثريوم (EIPs)، والتي تم تصميمها جميعًا لتعزيز أداء الشبكة.
من بين الأكثر إثارة للاهتمام من هذه الاقتراحات كان EIP-7702، الذي يسمح بتفويض المحفظة من خلال التوقيعات خارج السلسلة، وEIP-7251، الذي يزيد حد رهن المدققين من 32 ETH إلى 2,048 ETH.
في حين أن الترقية الأخيرة تُعتبر مفيدة إلى حد كبير، أصبحت EIP-7702 هدفًا للانتقادات في مجال العملات المشفرة بسبب ثغرة لم يتوقعها أحد.
EIP-7702 ومعاملات SetCode
EIP-7702 هو جزء مفيد للغاية من ترقية Pectra، والذي يسمح لمحافظ Ethereum بالتصرف كعقود ذكية في حد ذاتها.
هذا يعني أن المستخدمين يمكنهم تفويض Gate.io السيطرة على محفظتهم لعقد آخر عن طريق ببساطة توقيع رسالة خارج السلسلة.
نظريًا، هذه ميزة قوية تجعل الحسابات الذكية أكثر استخدامًا. ومع ذلك، فإن القصة في الواقع مختلفة تمامًا.
يمكن للقراصنة الآن على ما يبدو خداع المستخدمين ( من خلال التصيد الاحتيالي، أو التطبيقات اللامركزية المزيفة، أو عمليات الاحتيال على ديسكورد) لجعلهم يوقعون على رسالة تبدو غير ضارة.
تلك الرسالة، في الواقع، يمكن أن تتضمن طلبًا للحصول على إذن من المهاجم لتثبيت وصول خلفي إلى محفظة المستخدم.
بمجرد منح السيطرة، يمكن للمهاجم المعني القيام بأي شيء بدءًا من تنفيذ المعاملات وإرسال الرموز إلى حتى استنزاف جميع إيثريوم ضحيته.
الأكثر سوءًا هو أنه بعد منح الإذن الأولي، لا يحتاج المهاجم إلى أي توقيع آخر على السلسلة من الضحية.
لماذا هذا خطير جدا؟
إذا لم تكن تداعيات هذه القضية واضحة على الفور، فمن الجدير بالذكر أنه قبل Pectra، كان على مستخدمي إيثريوم توقيع المعاملات على السلسلة يدويًا للسماح بتعديلات المحفظة أو تحويل الأموال.
ببساطة، كان على المستخدم توقيع كل معاملة قبل الموافقة عليها.
كما هو الحال، فإن مجرد توقيع رسالة خارج السلسلة تم العبث بها يمكن أن يمنح المهاجمين السيطرة الكاملة على حساب.
هذا، بالطبع، يغير كل شيء عن أمان محافظ العملات المشفرة لأن الإجراء الذي كان آمنًا سابقًا (توقيع رسالة خارج السلسلة) يمكن أن يكون الآن عالي المخاطر.
معظم واجهات المحافظ الحالية ليست مصممة لاكتشاف هذا النوع الجديد من طلبات التفويض، ولن يتلقى المستخدمون أي تحذيرات كافية قبل توقيع رموزهم.
بدون هذه الفحوصات، من المحتمل أن ترتفع عمليات الاحتيال والتلاعب الاجتماعي بشكل كبير على مدار العام.
هل يمكن لمحافظ متعددة التوقيع المساعدة؟
نظرًا لأن الثغرة المعنية تتطلب توقيعات على الأقل مرة واحدة، فإن محافظ الأجهزة ليست آمنة بطبيعتها أكثر من نظيراتها المعتمدة على البرمجيات.
ومع ذلك، فإن محافظ التوقيع المتعدد هي.
تتطلب هذه الأنواع من المحافظ مفاتيح خاصة متعددة للموافقة على المعاملات، وهي أقوى من حيث الأمان.
من ناحية أخرى، يجب على محافظ المفاتيح الفردية، سواء كانت أجهزة أو برامج، التكيف بسرعة لتحليل التوقيعات واكتشاف العلامات الحمراء، وإلا فإن عواقب الأمان قد تكون مدمرة.
تنبيه: تهدف Voice of Crypto إلى تقديم معلومات دقيقة ومحدثة، لكنها لن تتحمل أي مسؤولية عن أي حقائق مفقودة أو معلومات غير دقيقة. العملات المشفرة أصول مالية متقلبة للغاية، لذا قم بإجراء البحث واتخاذ قراراتك المالية الخاصة.
المحتوى هو للمرجعية فقط، وليس دعوة أو عرضًا. لا يتم تقديم أي مشورة استثمارية أو ضريبية أو قانونية. للمزيد من الإفصاحات حول المخاطر، يُرجى الاطلاع على إخلاء المسؤولية.
ترقية إثيريوم بيكترا فتحت ثغرة خطيرة - إليك ما فاتك
رؤى رئيسية
تم الإشادة بترقية Pectra الأخيرة لإيثريوم لتقديمها العديد من الميزات الجديدة للشبكة.
تم تصميم هذه الميزات خصيصًا لدعم قابلية التوسع وتحسين قدرات العقود الذكية.
ومع ذلك، كانت هناك ثغرة أمنية تحت هذه التحسينات يمكن أن تسمح للقراصنة بسحب الأموال من المحفظات:
استخدام توقيع خارج السلسلة فقط.
إليك تفاصيل هذا الخطر وما يمكن أن يعنيه للأمان على شبكة الإيثريوم.
ما هو تحديث بيكترا بالضبط؟
لإعطاء بعض السياق، تم تفعيل ترقية Pectra في 7 مايو، في العصر 364032.
قدمت هذه الترقية العديد من مقترحات تحسين إيثريوم (EIPs)، والتي تم تصميمها جميعًا لتعزيز أداء الشبكة.
من بين الأكثر إثارة للاهتمام من هذه الاقتراحات كان EIP-7702، الذي يسمح بتفويض المحفظة من خلال التوقيعات خارج السلسلة، وEIP-7251، الذي يزيد حد رهن المدققين من 32 ETH إلى 2,048 ETH.
في حين أن الترقية الأخيرة تُعتبر مفيدة إلى حد كبير، أصبحت EIP-7702 هدفًا للانتقادات في مجال العملات المشفرة بسبب ثغرة لم يتوقعها أحد.
EIP-7702 ومعاملات SetCode
EIP-7702 هو جزء مفيد للغاية من ترقية Pectra، والذي يسمح لمحافظ Ethereum بالتصرف كعقود ذكية في حد ذاتها.
هذا يعني أن المستخدمين يمكنهم تفويض Gate.io السيطرة على محفظتهم لعقد آخر عن طريق ببساطة توقيع رسالة خارج السلسلة.
نظريًا، هذه ميزة قوية تجعل الحسابات الذكية أكثر استخدامًا. ومع ذلك، فإن القصة في الواقع مختلفة تمامًا.
يمكن للقراصنة الآن على ما يبدو خداع المستخدمين ( من خلال التصيد الاحتيالي، أو التطبيقات اللامركزية المزيفة، أو عمليات الاحتيال على ديسكورد) لجعلهم يوقعون على رسالة تبدو غير ضارة.
تلك الرسالة، في الواقع، يمكن أن تتضمن طلبًا للحصول على إذن من المهاجم لتثبيت وصول خلفي إلى محفظة المستخدم.
بمجرد منح السيطرة، يمكن للمهاجم المعني القيام بأي شيء بدءًا من تنفيذ المعاملات وإرسال الرموز إلى حتى استنزاف جميع إيثريوم ضحيته.
الأكثر سوءًا هو أنه بعد منح الإذن الأولي، لا يحتاج المهاجم إلى أي توقيع آخر على السلسلة من الضحية.
لماذا هذا خطير جدا؟
إذا لم تكن تداعيات هذه القضية واضحة على الفور، فمن الجدير بالذكر أنه قبل Pectra، كان على مستخدمي إيثريوم توقيع المعاملات على السلسلة يدويًا للسماح بتعديلات المحفظة أو تحويل الأموال.
ببساطة، كان على المستخدم توقيع كل معاملة قبل الموافقة عليها.
كما هو الحال، فإن مجرد توقيع رسالة خارج السلسلة تم العبث بها يمكن أن يمنح المهاجمين السيطرة الكاملة على حساب.
هذا، بالطبع، يغير كل شيء عن أمان محافظ العملات المشفرة لأن الإجراء الذي كان آمنًا سابقًا (توقيع رسالة خارج السلسلة) يمكن أن يكون الآن عالي المخاطر.
معظم واجهات المحافظ الحالية ليست مصممة لاكتشاف هذا النوع الجديد من طلبات التفويض، ولن يتلقى المستخدمون أي تحذيرات كافية قبل توقيع رموزهم.
بدون هذه الفحوصات، من المحتمل أن ترتفع عمليات الاحتيال والتلاعب الاجتماعي بشكل كبير على مدار العام.
هل يمكن لمحافظ متعددة التوقيع المساعدة؟
نظرًا لأن الثغرة المعنية تتطلب توقيعات على الأقل مرة واحدة، فإن محافظ الأجهزة ليست آمنة بطبيعتها أكثر من نظيراتها المعتمدة على البرمجيات.
ومع ذلك، فإن محافظ التوقيع المتعدد هي.
تتطلب هذه الأنواع من المحافظ مفاتيح خاصة متعددة للموافقة على المعاملات، وهي أقوى من حيث الأمان.
من ناحية أخرى، يجب على محافظ المفاتيح الفردية، سواء كانت أجهزة أو برامج، التكيف بسرعة لتحليل التوقيعات واكتشاف العلامات الحمراء، وإلا فإن عواقب الأمان قد تكون مدمرة.
تنبيه: تهدف Voice of Crypto إلى تقديم معلومات دقيقة ومحدثة، لكنها لن تتحمل أي مسؤولية عن أي حقائق مفقودة أو معلومات غير دقيقة. العملات المشفرة أصول مالية متقلبة للغاية، لذا قم بإجراء البحث واتخاذ قراراتك المالية الخاصة.