Ethereum’un Pectra yükseltmesi, bilgisayar korsanlarının cüzdanları bir imza ile boşaltmasına izin verir! 😱

yazar

Ah, Ethereum Network, her zaman kendini hiperaktif bir genç gibi yükseltmekle meşgul. En son “Pectra”, ölçeklenebilirlik ve akıllı hesap işlevselliğini hayallerin şeylerini yapmayı amaçlayan göz kamaştırıcı bir dizi yeni özellik vaat ediyor. Ancak, herhangi bir iyi arsa bükülmesinde olduğu gibi, bu parlak yeni güncelleme, şimdi saat 17: 00’de bir uşaktan daha hızlı bir uşaktan daha hızlı tahliye edebilen bilgisayar korsanları için sel kapılarını açtı – hepsi sadece bir offchain imzasıyla. 👀

7 Mayıs’ta Epoch 364032’de (takvimlerinizi işaretleyin, millet) piyasaya sürülen Pectrra yeni bir işlem türü tanıttı. Şimdi, saldırganlar sizi bir onchain işlemini imzalamaya bile ihtiyaç duymadan cüzdanınızın kontrolünü ele geçirebilir. Kedinizi sevmekle meşgulken cüzdanınızı kaydırıyorlar. 😒

Kriptomoon’a kötü haberi kıran sağlam bir akıllı sözleşme denetçisi olan Arda Usman’a girin. Görünüşe göre, bir saldırganın fonlarınızı boşaltmak için yalnızca bir offtain imzalı mesajı (süslü onchain imzaları gerekmez) ihtiyacı vardır. Evet, bunu doğru okudun. 🙄

Suçlu mu? EIP-7702, Pectra’nın göz kamaştırıcı yeni özelliği. Bu Ethereum iyileştirme teklifi, SETCODE işlemini (0x04 Tipi) tanıtıyor ve kullanıcıların cüzdanlarının kontrolünü başka bir sözleşmeye devretmelerine izin veriyor. Ve tahmin et ne oldu? Sadece bir mesaj imzalamaları gerekiyor. Büyük bir anlaşma değil, değil mi? Bilgisayar korsanları ellerini bu imzaya alana kadar. 😬

Bir hacker, bu imzayı – belki de bir kimlik avı sitesi veya kabataslak bir uyumsuzluk davetiyle takmayı başarıyorsa, cüzdanınızın kodunu kendi kötü niyetli sözleşmelerini ileten bir vekil ile üzerine yazabilirler. Ne kadar çekici! 🕵️‍♂️

“Kod ayarlandıktan sonra,” diyor Usman, “saldırgan bu kodu kendi ceplerine uçan et veya jetonlarınızı göndermek için çağırabilir.” Tüm bunlar, kullanıcı normal bir transfer işlemi imzalamadan. Sevimli. 😑

Cüzdanlar artık programlanabilir akıllı sözleşmelere dönüştü 🖥️

Hacken’de bir onchain araştırmacısı olan Yehor Rudytsia, bu yeni işlem türünün cüzdanınızı temelde programlanabilir bir akıllı sözleşmeye dönüştürdüğüne dikkat çekiyor. Sanki cüzdanınız kendine güvenme dünyasına bir inanç sıçraması yapmaya karar verdi ve sonuçlar … korkunç. 🤖

Rudytsia, “Bu TX türü kullanıcıların operasyonları kendi adına yürütmesi için keyfi kod ayarlamalarına izin veriyor.” Pectra’dan önce, cüzdanlar imza olmadan değiştirilemezdi. Şimdi? Basit bir offchain imzası ve boom, hacker tam kontrole sahiptir. Poof! Tıpkı bunun gibi. 🧙‍♂️

PrePTRA, kullanıcılar fonlarını taşımak için bir işlem imzalamak zorunda kaldılar. Pectra sonrası, Rudytsia’nın çok çekici bir şekilde söylediği gibi, “herhangi bir işlem kullanıcının SET_CODE üzerinden onayladığı sözleşmeden yürütülebilir.” Bir işlem imzası artık uzak bir hafızadan başka bir şey değildir. ✌️

Riskler? Oh, kredi kartı faturanız kadar gerçek. Usman, “Pectra 7 Mayıs 2025’te etkinleştirildi. O andan itibaren geçerli bir delegasyon imzası eyleme geçirilebilir.” Hala TX.origin veya temel EOA kontrolleri gibi eski varsayımlara dayanan akıllı sözleşmeler, artık bir kirpi konvansiyonunda balon kadar savunmasızdır. 🦔

Cüzdan arayüzünüz bunu yakalamazsa, kötü bir zaman içindesiniz. Rudytsia, Cüzdanların Ethereum’un işlem türlerini analiz edemedikleri takdirde özellikle savunmasız olduğunu söylüyor – özellikle 0x04, bu da “paranız kaybolacak” demenin süslü bir yolu. 😱

Bu nedenle, e -posta, anlaşmazlık veya sahte bir dapp yoluyla bu kabataslak mesajlardan birini alırsanız, imzalamadan önce iki kez düşünün. Yaptığın son şey olabilir. 🧐

Donanım cüzdanları? Artık güvenli değil. 🙄

Sürpriz, sürpriz! Donanım cüzdanları, bir zamanlar kripto imparatorluğunuzun kalesi, artık eskiden olduğu güvenli cennetler değil. Rudytsia, bu aletlerin artık güvenilir sıcak cüzdanlarınızla aynı risk altında olduğuna dikkat çekiyor. “Yapılırsa – fonlarınız bir anda yok olur,” diye uyarıyor. Yikes. 🏴‍☠️

Peki, tinfoil şapkaları giymek ve uzak bir kabine geçmek dışında kendinizi korumak için ne yapabilirsiniz? İlk olarak, anlamadığınız mesajları imzalamayın. Yeterince basit görünüyor, değil mi? Rudytsia, cüzdan geliştiricilerinin bir delegasyon mesajı imzalandığında net uyarılar verdiğini ileri sürüyor. Çünkü hepimizin yarısını biliyoruz, sadece ince baskıyı okumadan ‘kabulü’ tıklıyoruz. 🙈

EIP-7702 tarafından tanıtılan yeni delegasyon imza formatları ile özel dikkat gösterilmelidir. Bunlar daha eski standartlarla uyumlu değildir ve genellikle 32 baytlık karma gibi görünüyorlar. Spoiler uyarısı: Zararsız değiller. 🛑

Oh, ve bir mesaj hesabınızı içeriyorsa? Muhtemelen doğrudan hesabınızla uğraşmak üzeredir. Çünkü kim küçük olmayan bir kaosu sevmez? 😈

Yaralanmaya hakaret ekleyen EIP-7702, bir zincir_id = 0 ile imzalara izin verir, yani bu kötü niyetli mesajlar herhangi bir Ethereum uyumlu zincirde tekrarlanabilir. Evet, bu kadar kötü. 👀

Çoklu tüzük cüzdanları hala güçlü dururken, times ile olsun, tek anahtar cüzdanlar-ister donanım ister başka türlü-zamanlarla almak istedi. Potansiyel sömürüyü savuşturmak için yeni imza ayrıştırma ve kırmızı bayraklı araçlara ihtiyaç duyacaklar. 🛡️

Oh, ve Pectra’nın Ethereum’un doğrulayıcı stoping limitini 32 ila 2.048 ETH‘yi artıran EIP-7251’i de tanıttığını unutmayalım. Bu arada, EIP-7691, katman-2 ölçeklenebilirliğini artırarak blok başına veri blob sayısını artırır. Ama gerçekten, cüzdanınız tehlikede olduğunda buna kim dikkat ediyor? 🤷‍♂️

2025-05-11 16:37