آسیبپذیری امنیتی در ارتقاء پکترا اتریوم
پکترا و EIP-7702: دریچهای به سوی سرقت؟, کیف پولهای قابل تغییر با امضای خارج از زنجیره, تهدیدی واقعی و فوری, کیف پولهای سختافزاری: دیگر امنتر نیستند؟, چگونه در امان بمانیم؟
از اخبار و تخفیف های لحظه ای با عضویت در خبر نامه ها بلافاصله خبر شوید .
پکترا: شمشیر دو لبه اتریوم – ارتقاء مقیاسپذیری یا بازگشایی درهای سرقت؟
ارتقاء پکترا، جدیدترین تحول در شبکه اتریوم، با وعدههایی بزرگ از جمله افزایش مقیاسپذیری و بهبود عملکرد قراردادهای هوشمند همراه شده است. با این حال، در پس این وعدهها، خطری بالقوه و بسیار جدی نیز نهفته است: یک آسیبپذیری جدید که میتواند به هکرها اجازه دهد تا با استفاده از تنها یک امضای خارج از زنجیره، دارایی کاربران را به سرقت ببرند. این ارتقاء، با معرفی ویژگیهای جدید، درهای تازهای به سوی حملات سایبری گشوده است.
این مقاله به بررسی دقیق این آسیبپذیری جدید و نحوه عملکرد آن میپردازد. ما همچنین راهکارهایی را برای محافظت از داراییهای دیجیتال در برابر این تهدید جدید ارائه خواهیم داد. هدف ما این است که کاربران اتریوم را از خطرات احتمالی آگاه کرده و به آنها کمک کنیم تا با اتخاذ تدابیر امنیتی مناسب، از سرمایه خود محافظت کنند. به یاد داشته باشید، در دنیای رمزارزها، آگاهی و احتیاط، کلید اصلی حفظ امنیت است. امنیت اتریوم و داراییهای شما، اولویت اصلی است.
پکترا و EIP-7702: دریچهای به سوی سرقت؟
در قلب این آسیبپذیری جدید، EIP-7702 قرار دارد، یک جزء اصلی از ارتقاء پکترا. این پیشنهاد بهبود اتریوم، تراکنش SetCode (نوع 0x04) را معرفی میکند که به کاربران امکان میدهد کنترل کیف پول خود را به قرارداد دیگری واگذار کنند، تنها با امضای یک پیام. این ویژگی، در نگاه اول، بسیار کاربردی و مفید به نظر میرسد. اما در عمل، میتواند به ابزاری قدرتمند در دست هکرها تبدیل شود.
تصور کنید که یک مهاجم بتواند به هر طریقی (مثلاً از طریق یک سایت فیشینگ) امضای شما را به دست آورد. با استفاده از این امضا، او میتواند کد کیف پول شما را با یک پروکسی کوچک بازنویسی کند که تماسها را به قرارداد مخرب خود هدایت میکند. به این ترتیب، هکر عملاً کنترل کامل کیف پول شما را به دست میگیرد و میتواند داراییهای شما را بدون نیاز به هیچ گونه امضای اضافی به سرقت ببرد.
آردا عثمان، ممیز قرارداد هوشمند Solidity، این خطر را به این صورت توضیح میدهد: «هنگامی که کد تنظیم شد، مهاجم میتواند آن کد را فراخوانی کند تا ETH یا توکنهای حساب را انتقال دهد؛ همه اینها بدون اینکه کاربر هرگز یک تراکنش انتقال معمولی را امضا کند.»
کیف پولهای قابل تغییر با امضای خارج از زنجیره
یهور رودیتسیا، محقق درون زنجیرهای در Hacken، نیز بر این موضوع تاکید میکند که نوع تراکنش جدید معرفی شده توسط پکترا، اجازه میدهد کد دلخواه روی حساب کاربر نصب شود، که اساساً کیف پول آنها را به یک قرارداد هوشمند قابل برنامهریزی تبدیل میکند.
پیش از پکترا، کیف پولها را نمیتوانست بدون تراکنش امضا شده مستقیم توسط کاربر، تغییر داد. اما اکنون، یک امضای ساده خارج از زنجیره میتواند کدی را نصب کند که کنترل کامل را به قرارداد مهاجم واگذار میکند. این تغییر، قواعد بازی را به طور کامل دگرگون کرده است و خطرات جدیدی را برای کاربران به همراه دارد.
رودیتسیا توضیح میدهد: «قبل از پکترا، کاربران برای اجازه دادن به انتقال وجوه خود نیاز به ارسال تراکنش (نه امضای پیام) داشتند… پس از پکترا، هر عملیاتی ممکن است از قراردادی که کاربر از طریق SET_CODE تأیید کرده است، اجرا شود.»
تهدیدی واقعی و فوری
آردا عثمان هشدار میدهد که این تهدید، واقعی و فوری است: «پکترا در ۷ مه ۲۰۲۵ فعال شد. از آن لحظه، هر امضای نمایندگی معتبر قابل اجرا است.»
قراردادهای هوشمندی که بر فرضیات قدیمی تکیه دارند (مانند استفاده از tx.origin یا بررسیهای اساسی فقط EOA)، به ویژه آسیبپذیر هستند. همچنین، کیف پولها و رابطهایی که نتوانند این نوع تراکنشهای جدید را شناسایی یا به درستی نشان دهند، بیشتر در معرض خطر قرار دارند.
رودیتسیا هشدار میدهد که «کیف پولها اگر انواع تراکنشهای اتریوم را تجزیه و تحلیل نکنند، آسیبپذیر هستند»، به ویژه نوع تراکنش 0x04. او تأکید میکند که موتورهای کیف پول باید درخواستهای نمایندگی را به وضوح نمایش دهند و هر آدرس مشکوکی را علامتگذاری کنند.
راههای نفوذ: از فیشینگ تا کلاهبرداریهای Discord
این شکل جدید از حمله میتواند به راحتی از طریق تعاملات معمول خارج از زنجیره مانند ایمیلهای فیشینگ، DAppهای جعلی یا کلاهبرداریهای Discord اجرا شود. به همین دلیل، کاربران باید بیش از پیش مراقب باشند و از امضای پیامهای مشکوک خودداری کنند.
رودیتسیا میگوید: «ما معتقدیم که این محبوبترین بردار حمله در رابطه با این تغییرات اساسی معرفی شده توسط پکترا خواهد بود. از این به بعد، کاربران باید با دقت بررسی کنند که چه چیزی را امضا میکنند.»
کیف پولهای سختافزاری: دیگر امنتر نیستند؟
یکی از نکات نگرانکننده این است که کیف پولهای سختافزاری نیز دیگر ذاتاً امنتر نیستند. رودیتسیا میگوید که کیف پولهای سختافزاری از این پس از دیدگاه امضای پیامهای مخرب، در معرض همان خطری هستند که کیف پولهای داغ قرار دارند.
«اگر انجام شود، تمام وجوه در یک لحظه از بین میروند.»
چگونه در امان بمانیم؟
خوشبختانه، راههایی برای در امان ماندن از این تهدید جدید وجود دارد. اما این راهها نیازمند آگاهی و احتیاط هستند.
رودیتسیا توصیه میکند: «کاربران نباید پیامهایی را که درک نمیکنند، امضا کنند.» او همچنین از توسعهدهندگان کیف پول خواست تا هنگام درخواست از کاربران برای امضای پیام نمایندگی، هشدارهای واضحی ارائه دهند.
باید احتیاط ویژهای در مورد فرمتهای امضای نمایندگی جدید معرفی شده توسط EIP-7702 انجام شود، که با استانداردهای موجود EIP-191 یا EIP-712 سازگار نیستند. این پیامها اغلب به صورت هشهای ساده ۳۲ بایتی ظاهر میشوند و ممکن است از هشدارهای معمولی کیف پول عبور کنند.
عثمان هشدار میدهد: «اگر پیامی شامل nonce حساب شما باشد، احتمالاً مستقیماً بر حساب شما تأثیر میگذارد. پیامهای ورود به سیستم معمولی یا تعهدات خارج از زنجیره معمولاً شامل nonce شما نمیشوند.»
با اضافه شدن به این خطر، EIP-7702 اجازه میدهد برای امضاها با chain_id = 0، به این معنی که پیام امضا شده را میتوان در هر زنجیره سازگار با اتریوم پخش کرد. عثمان میگوید: «درک کنید که میتواند در هر جایی استفاده شود.»
نتیجهگیری: هوشیاری و بهروزرسانی، ضامن امنیت
در حالی که کیف پولهای چند امضایی تحت این ارتقاء به دلیل نیاز به چند امضاکننده، امنتر باقی میمانند، کیف پولهای تک کلیدی (سختافزاری یا غیره) باید ابزارهای تجزیه امضا و علامتگذاری قرمز جدیدی را برای جلوگیری از بهرهبرداری احتمالی اتخاذ کنند.
ارتقاء پکترا، با وجود مزایای بالقوه، خطرات جدیدی را نیز برای کاربران اتریوم به همراه دارد. برای محافظت از داراییهای خود، لازم است که آگاهی خود را در مورد این خطرات افزایش داده و تدابیر امنیتی مناسب را اتخاذ کنید. همواره به یاد داشته باشید که هوشیاری و بهروزرسانی، ضامن امنیت شما در دنیای رمزارزها هستند.
- Topic: آسیبپذیری امنیتی در ارتقاء پکترا اتریوم
- Subheadings: پکترا و EIP-7702: دریچهای به سوی سرقت؟, کیف پولهای قابل تغییر با امضای خارج از زنجیره, تهدیدی واقعی و فوری, کیف پولهای سختافزاری: دیگر امنتر نیستند؟, چگونه در امان بمانیم؟
- Main Keyword: پکترا اتریوم امنیت
- Selected Keywords: اتریوم، پکترا، امنیت، آسیبپذیری، هک، کیف پول، رمزارز
- Meta Description: بررسی آسیبپذیری جدید در ارتقاء پکترا اتریوم که میتواند منجر به سرقت داراییها شود. راهکارهای مقابله با این تهدید جدید چیست؟
Comments are closed.