Aktualizacja Pectra w Ethereum wykorzystywana przez boty opróżniające portfele: Raport

Ethereumjest najnowsze Ulepszenie „Pectra” wprowadzono kilka funkcji usprawniających interakcję użytkowników z siecią. Jedną z najczęściej omawianych zmian była EIP-7702, propozycja wspierana przez współzałożyciela Ethereum Vitalik Buterin. 

Funkcja ta pozwala portfelom zachowywać się tymczasowo jak inteligentne kontrakty, umożliwiając transakcje zbiorcze, sponsorowanie gazu, uwierzytelnianie społecznościowe i limity wydatków.

Jednakże, zgodnie z zimamute, wiodąca firma zajmująca się handlem kryptowalutami, ta nowa aktualizacja otworzyła drzwi niebezpiecznej fali zautomatyzowane ataki typu sweeper, opróżniając portfele niczego niepodejrzewających użytkowników. A ataki te rozprzestrzeniają się błyskawicznie.

Funkcja z dobrymi intencjami

EIP-7702 miał uczynić Ethereum bardziej przyjaznym dla użytkownika.

Użytkownicy mogliby podpisać tylko jedną transakcję, aby wykonać kilka czynności jednocześnie – co wcześniej było możliwe tylko za pomocą inteligentnych kontraktów. Na przykład, użytkownik mógłby zatwierdzić token, wymienić go i przesłać dane wyjściowe do innego portfela za jednym razem.

Oferował również ulepszenia jakości życia, takie jak sponsorowanie gazu dla kogoś innegolub za pomocą systemy logowania społecznościowego do uwierzytelniania portfeli, dzięki czemu przeciętni użytkownicy mogą łatwiej korzystać z Ethereum bez konieczności zmagania się z frazami początkowymi.

Jednak to, co miało pomagać użytkownikom, szybko stało się bronią dla złoczyńców.

Wzrost przestępczościEnjoyor: wektor ataku typu „kopiuj-wklej”

Wintermute niedawno opublikował analizę pokazującą, w jaki sposób boty wykorzystują EIP-7702 w tzw. ataki zamiataczy.

Narzędzie wyboru? Szeroko powielany kontrakt, który Wintermute nazywał „Cieszący się zbrodnią”.

Oto jak to działa:

Odkryj obiecujące projekty...

Obiecujące projekty...

(Reklama)

Artykuł ciąg dalszy...

Przestępcy wdrażają złośliwe kontrakty z prostym kodem bajtowym, kopiowanym i wklejanym w tysiącach instancji. Kontrakty te mają na celu automatycznie przekazywać fundusze z portfeli, których klucze prywatne zostały naruszone. Gdy te portfele otrzymają ETH, kontrakty natychmiast przekazują środki na adres atakującego.

Badania Wintermute'a udostępnione za pośrednictwem Pulpit nawigacyjny wydmy, pokazuje, że ponad 97% delegacji EIP-7702 zostały powiązane z tymi samymi umowami.

„Kontrakt CrimeEnjoyor jest krótki, prosty i powszechnie wykorzystywany” – zauważył Wintermute na X. „Ten jeden skopiowany i wklejony bajtkod odpowiada teraz za większość wszystkich delegacji EIP-7702. Jest zabawny, ponury i fascynujący jednocześnie”.

To nie tylko problem inteligentnego kontraktu

Chociaż EIP-7702 jest pojazdem, główną przyczyną pozostają naruszone klucze prywatne.

Wintermute i inni eksperci ds. bezpieczeństwa podkreślają, że EIP-7702 nie jest z natury niebezpieczny. Po prostu ułatwia i przyspiesza kradzież środków po włamaniu do portfela.

Jako ekspert ds. bezpieczeństwa Taylor Monahan zauważył:

„To tak naprawdę nie jest problem 7702. To ten sam problem, z którym kryptowaluty borykają się od samego początku: użytkownicy końcowi mają problemy z zabezpieczeniem swoich kluczy prywatnych”.

Według doniesień EIP-7702 uczynił to bardziej wydajny aby atakujący mogli wyczyścić podatne portfele.

Rzeczywiste straty: przykład 146 550 dolarów

23 maja użytkownik nieświadomie podpisał kilka złośliwych transakcji wsadowych za pomocą EIP-7702. Skutek? Utrata $146,550, według firmy zajmującej się bezpieczeństwem blockchain Wyszukiwarka oszustw.

Te złośliwe transakcje były powiązane z Wysysacz piekła, znany dostawca usług typu scam-as-a-service, działający w branży kryptowalut od lat.

Niewygodna prawda o przyszłości Ethereum

Wintermute poszedł o krok dalej, dokonując inżynierii wstecznej złośliwego kodu bajtowego czytelny dla człowieka kod SolidityUłatwiło to identyfikację i oznaczanie złośliwych kontraktów. W celu zwiększenia świadomości społecznej kod został nawet zweryfikowany publicznie.

Sam kod zawiera ostrzeżenie w postaci zwykłego tekstu:

„Ten kontrakt jest używany przez złoczyńców do automatycznego usuwania wszystkich przychodzących ETH. NIE WYSYŁAJ ŻADNYCH ETH.”

Mimo ostrzeżenia, umowa pozostaje ważna. Użytkownicy, którzy nie rozumieją, co podpisują, narażają się na poważne ryzyko, zwłaszcza korzystając z nieznanych aplikacji zdecentralizowanych (dApps) lub narzędzi, które nakłaniają ich do delegowania kontroli zgodnie z EIP-7702.

Inna firma ochroniarska, Powolna Mgła, Zatwierdzony rosnące zagrożenie. Firma nalegała dostawcy usług portfelowych szybko się dostosować i wspierać Ostrzeżenia dotyczące delegowania EIP-7702.

„Dostawcy usług portfelowych powinni jak najszybciej wdrożyć obsługę transakcji EIP-7702, a gdy użytkownicy podpisują pełnomocnictwa, powinni wyraźnie wyświetlać docelową umowę, aby ograniczyć ryzyko ataków phishingowych” – stwierdził SlowMist.

Inne funkcje Pectra teraz przyćmione

Aktualizacja Pectra, która została udostępniona 7 maja epoka 364032, zawiera również dwie inne ważne zmiany:

• EIP-7251:Podniesiono limit stawkowania walidatora z 32 ETH do 2,048 ETH, zwiększając efektywność pracy walidatorów instytucjonalnych.
• Udoskonalenia wydajności i skalowalności „pod maską”.

Jednak ze względu na nadużycia EIP-7702, te pozostałe ulepszenia zostały w dużej mierze przyćmione.

Do tej pory więcej niż 12 329 transakcji EIP-7702 zostały stracone, większość z nich powiązana jest z nadużyciami delegacji dokonywanymi przez boty czyszczące.

Więc jak to naprawić?

Chociaż sam EIP-7702 jest Zapisz sięi nie jest obowiązkowe w przypadku podstawowych transakcji, potrzeba edukacja, przejrzystość i poprawa bezpieczeństwa na poziomie portfela jest bardziej pilne niż kiedykolwiek.

Użytkownicy powinni:

• Nigdy nie podpisuj nieznanych Ci transakcji bez zrozumienia docelowej umowy.
• Używaj portfeli, które wyświetlają pełne informacje o umowie przed jej potwierdzeniem.
• Do wszelkich próśb o delegowanie należy podchodzić z wyjątkową ostrożnością, zwłaszcza gdy składają się one z wielu kroków.

Dla programistów Wintermute sugeruje weryfikacja umów publicznie i ułatwia wykrywanie niebezpiecznych wzorców. Firma wierzy, że bardziej agresywne oznaczanie złośliwych działań może chronić nowych użytkowników i zmniejszać ryzyko phishingu.