ニュース
新しいイーサリアム機能バックファイア – スイーパー攻撃で盗まれた15万ドルのアップグレードのアップグレード
EthereumのPectraアップグレードはEIP-7702を導入し、ユーザーエクスペリエンスを向上させるために、ウォレットが一時的にスマートコントラクトとして機能するようにします。
提案 Vitalik Buterinこの機能は、アカウントの抽象化をサポートし、ユーザーがトランザクションをバッチにし、ガス料金をスポンサーし、より厳格な支出管理を実施できるようにします。
このイノベーションは財布の使いやすさとセキュリティを改善しますが、搾取の潜在的なターゲットにもなりました。
WinterMuteの分析 EIP-7702の代表団の80%以上が、「Crimeenjoyor」と呼ばれる単一の悪意のある契約で使用されていることを明らかにしています。契約のコードは短く、コピーがかかり、驚くほど効果的です。
侵害されたウォレットへのアクセスを獲得すると、多くの場合フィッシングを通じて – 攻撃者の住所への資金を即座に排出します。
大規模な自動化であり、費用がかかることが証明されています。
ブロックチェーンセキュリティ会社詐欺スニファー 強調表示されました そのような事件の1つは、有名なインフェルノの排水サービスにリンクされた単一のバッチされたトランザクションで、被害者が150,000ドル近くを失ったことです。
数千の同様のトランザクションが既に記録されているため、イーサリアムを単純化するための機能がその脆弱性を加速しているということかもしれません。
たぶんそれはコードではありません
最近のウォレットドレイン攻撃の波の背後にある中心的な問題は、EIP-7702ではありません。それは、リークまたは盗まれたプライベートキーの継続的な問題です。
この新機能により、攻撃者が既に妥協したウォレットを悪用することがより速く、より安価になります。のようなセキュリティ会社 スローミスト ウォレットプロバイダーに、契約の相互作用の可視性を改善し、ユーザー保護を強化するよう促しています。
として イーサリアム 進化すると、優先順位は、よりスマートなウォレットの設計、より明確な署名プロンプト、およびより良いユーザー教育にシフトする必要があります。
基本的なセキュリティが失敗した場合、最も有望な機能でさえ裏目に出る可能性があるためです。
これは英語版からの翻訳です。