Ancak, geliştiriciler kodda tehlikeli bir güvenlik açığını gözden kaçırmış olabilir.
EIP-7702, kullanıcıların cüzdanlarının kontrolünü başka bir sözleşmeye devretmelerine olanak tanır, bu işlemi yalnızca bir mesajı zincir dışı imzalayarak gerçekleştirir.
Saldırganlar bunu avantaja çevirebilir ve bir kurbanın cüzdanına arka kapı erişimi kurmak için oltalama taktikleri kullanabilir.
Bu kötü niyetli kişiler, şu anda en güvenli seçenek olan çoklu imza cüzdanları ile fonları çekebilir.
Ethereum'un son Pectra güncellemesi, ağa bir dizi yeni özellik kazandırmasıyla övüldü.
Bu özellikler, ölçeklenebilirliği desteklemek ve akıllı sözleşme yeteneklerini geliştirmek için özel olarak tasarlandı.
Ancak bu iyileştirmelerin altında, cüzdanlardan fonların boşaltılmasına izin verebilecek bir güvenlik açığı vardı:
Sadece bir zincir dışı imza kullanarak.
İşte bu riskin detayları ve bunun Ethereum ağı üzerindeki güvenlik için ne anlama gelebileceği.
Pectra Yükseltmesi Tam Olarak Nedir?
Bazı bağlam için, Pectra yükseltmesi 7 Mayıs'ta, 364032. çağda etkinleştirildi.
Bu güncelleme, ağın performansını artırmak için tasarlanmış birden fazla Ethereum İyileştirme Teklifi (EIPs) tanıttı.
Bunların en ilginçlerinden bazıları, cüzdan delegasyonuna off-chain imzalar aracılığıyla izin veren EIP-7702 ve doğrulayıcı staking limitini 32 ETH'den 2.048 ETH'ye yükselten EIP-7251'dir.
Son güncellemenin büyük ölçüde faydalı görülmesine rağmen, EIP-7702, kimsenin beklemediği bir boşluk nedeniyle kripto alanında eleştirilerin merkez noktası haline geldi.
EIP-7702 ve SetCode İşlemleri
EIP-7702, Ethereum cüzdanlarının kendileri gibi akıllı sözleşmeler gibi davranmasını sağlayan Pectra yükseltmesinin son derece kullanışlı bir parçasıdır.
Bu, kullanıcıların cüzdanlarının kontrolünü başka bir akıma devretmek için basitçe bir mesajı çevrimdışı imzalamaları gerektiği anlamına gelir.
Teorik olarak, bu, akıllı hesapları daha kullanılabilir hale getiren güçlü bir özelliktir. Ancak pratikte, durum çok farklı.
Hackerlar artık kullanıcıları ( phishing, sahte DApp'ler veya Discord dolandırıcılıkları yoluyla) zararsız gibi görünen bir mesajı imzalamaya kandırabiliyor.
Aslında o mesaj, saldırganın bir kullanıcının cüzdanına arka kapı erişimi kurması için izin istemesini içerebilir.
Kontrol verildiğinde, söz konusu saldırgan, kurbanlarının ETH'sini tamamen boşaltmaya kadar, işlem gerçekleştirmekten token göndermeye kadar her şeyi yapabilir.
Daha da kötüsü, başlangıçta izin verildikten sonra, saldırganın kurbanından başka bir on-chain imza almasına gerek olmamasıdır.
Bu Neden Bu Kadar Tehlikeli?
Bu sorunun sonuçları hemen belirgin değilse, Pectra'dan önce Ethereum kullanıcılarının cüzdan değişiklikleri veya fon transferleri yapmak için zincir üzerindeki işlemleri manuel olarak imzalaması gerektiğini belirtmek önemlidir.
Kısacası, bir kullanıcının onaydan önce her işlemi imzalaması gerekiyordu.
Mevcut durumda, sadece değiştirilmiş bir off-chain mesajını imzalamak, saldırganlara bir hesap üzerinde tam kontrol verebilir.
Bu, elbette, kripto cüzdan güvenliği ile ilgili her şeyi değiştiriyor çünkü daha önce güvenli olan bir eylem ( zincir dışı bir mesaj imzalama) şimdi son derece riskli hale gelebilir.
Mevcut cüzdan arayüzlerinin çoğu, bu yeni tür yetkilendirme talebini algılamak için tasarlanmamıştır ve kullanıcılar token'larını imzalamadan önce herhangi bir yeterli uyarı almayacaklardır.
Bu kontroller olmadan, oltalama ve sosyal mühendislik dolandırıcılıklarının yıl boyunca hızla artması muhtemeldir.
Multisig Cüzdanlar Yardımcı Olabilir mi?
Söz konusu zafiyet en az bir kez imza gerektirdiğinden, donanım cüzdanları yazılıma dayalı olanlardan doğası gereği daha güvenli değildir.
Ancak, çok imzalı cüzdanlar.
Bu tür cüzdanlar, işlemleri onaylamak için birden fazla özel anahtar gerektirir ve güvenlik açısından daha güçlüdür.
Öte yandan, tek anahtarlı cüzdanların, donanım veya yazılımın imzaları hızlı bir şekilde analiz etmesi ve tehlike işaretlerini tespit etmesi gerekir, aksi takdirde güvenlik sonuçları yıkıcı olabilir.
Açıklama: Voice of Crypto, doğru ve güncel bilgiler sunmayı amaçlamaktadır, ancak eksik bilgiler veya yanlış bilgiler için sorumluluk üstlenmeyecektir. Kripto paralar son derece volatil finansal varlıklardır, bu nedenle araştırma yapın ve kendi finansal kararlarınızı alın.
The content is for reference only, not a solicitation or offer. No investment, tax, or legal advice provided. See Disclaimer for more risks disclosure.
Ethereum’un Pectra Güncellemesi Tehlikeli Bir Arka Kapı Açtı—Kaçırdığınız Şeyler Burada
Anahtar Gözlemler
Ethereum'un son Pectra güncellemesi, ağa bir dizi yeni özellik kazandırmasıyla övüldü.
Bu özellikler, ölçeklenebilirliği desteklemek ve akıllı sözleşme yeteneklerini geliştirmek için özel olarak tasarlandı.
Ancak bu iyileştirmelerin altında, cüzdanlardan fonların boşaltılmasına izin verebilecek bir güvenlik açığı vardı:
Sadece bir zincir dışı imza kullanarak.
İşte bu riskin detayları ve bunun Ethereum ağı üzerindeki güvenlik için ne anlama gelebileceği.
Pectra Yükseltmesi Tam Olarak Nedir?
Bazı bağlam için, Pectra yükseltmesi 7 Mayıs'ta, 364032. çağda etkinleştirildi.
Bu güncelleme, ağın performansını artırmak için tasarlanmış birden fazla Ethereum İyileştirme Teklifi (EIPs) tanıttı.
Bunların en ilginçlerinden bazıları, cüzdan delegasyonuna off-chain imzalar aracılığıyla izin veren EIP-7702 ve doğrulayıcı staking limitini 32 ETH'den 2.048 ETH'ye yükselten EIP-7251'dir.
Son güncellemenin büyük ölçüde faydalı görülmesine rağmen, EIP-7702, kimsenin beklemediği bir boşluk nedeniyle kripto alanında eleştirilerin merkez noktası haline geldi.
EIP-7702 ve SetCode İşlemleri
EIP-7702, Ethereum cüzdanlarının kendileri gibi akıllı sözleşmeler gibi davranmasını sağlayan Pectra yükseltmesinin son derece kullanışlı bir parçasıdır.
Bu, kullanıcıların cüzdanlarının kontrolünü başka bir akıma devretmek için basitçe bir mesajı çevrimdışı imzalamaları gerektiği anlamına gelir.
Teorik olarak, bu, akıllı hesapları daha kullanılabilir hale getiren güçlü bir özelliktir. Ancak pratikte, durum çok farklı.
Hackerlar artık kullanıcıları ( phishing, sahte DApp'ler veya Discord dolandırıcılıkları yoluyla) zararsız gibi görünen bir mesajı imzalamaya kandırabiliyor.
Aslında o mesaj, saldırganın bir kullanıcının cüzdanına arka kapı erişimi kurması için izin istemesini içerebilir.
Kontrol verildiğinde, söz konusu saldırgan, kurbanlarının ETH'sini tamamen boşaltmaya kadar, işlem gerçekleştirmekten token göndermeye kadar her şeyi yapabilir.
Daha da kötüsü, başlangıçta izin verildikten sonra, saldırganın kurbanından başka bir on-chain imza almasına gerek olmamasıdır.
Bu Neden Bu Kadar Tehlikeli?
Bu sorunun sonuçları hemen belirgin değilse, Pectra'dan önce Ethereum kullanıcılarının cüzdan değişiklikleri veya fon transferleri yapmak için zincir üzerindeki işlemleri manuel olarak imzalaması gerektiğini belirtmek önemlidir.
Kısacası, bir kullanıcının onaydan önce her işlemi imzalaması gerekiyordu.
Mevcut durumda, sadece değiştirilmiş bir off-chain mesajını imzalamak, saldırganlara bir hesap üzerinde tam kontrol verebilir.
Bu, elbette, kripto cüzdan güvenliği ile ilgili her şeyi değiştiriyor çünkü daha önce güvenli olan bir eylem ( zincir dışı bir mesaj imzalama) şimdi son derece riskli hale gelebilir.
Mevcut cüzdan arayüzlerinin çoğu, bu yeni tür yetkilendirme talebini algılamak için tasarlanmamıştır ve kullanıcılar token'larını imzalamadan önce herhangi bir yeterli uyarı almayacaklardır.
Bu kontroller olmadan, oltalama ve sosyal mühendislik dolandırıcılıklarının yıl boyunca hızla artması muhtemeldir.
Multisig Cüzdanlar Yardımcı Olabilir mi?
Söz konusu zafiyet en az bir kez imza gerektirdiğinden, donanım cüzdanları yazılıma dayalı olanlardan doğası gereği daha güvenli değildir.
Ancak, çok imzalı cüzdanlar.
Bu tür cüzdanlar, işlemleri onaylamak için birden fazla özel anahtar gerektirir ve güvenlik açısından daha güçlüdür.
Öte yandan, tek anahtarlı cüzdanların, donanım veya yazılımın imzaları hızlı bir şekilde analiz etmesi ve tehlike işaretlerini tespit etmesi gerekir, aksi takdirde güvenlik sonuçları yıkıcı olabilir.
Açıklama: Voice of Crypto, doğru ve güncel bilgiler sunmayı amaçlamaktadır, ancak eksik bilgiler veya yanlış bilgiler için sorumluluk üstlenmeyecektir. Kripto paralar son derece volatil finansal varlıklardır, bu nedenle araştırma yapın ve kendi finansal kararlarınızı alın.