آسیب‌پذیری امنیتی در ارتقاء پکترا اتریوم

پکترا: شمشیر دو لبه اتریوم – ارتقاء مقیاس‌پذیری یا بازگشایی درهای سرقت؟

ارتقاء پکترا، جدیدترین تحول در شبکه اتریوم، با وعده‌هایی بزرگ از جمله افزایش مقیاس‌پذیری و بهبود عملکرد قراردادهای هوشمند همراه شده است. با این حال، در پس این وعده‌ها، خطری بالقوه و بسیار جدی نیز نهفته است: یک آسیب‌پذیری جدید که می‌تواند به هکرها اجازه دهد تا با استفاده از تنها یک امضای خارج از زنجیره، دارایی کاربران را به سرقت ببرند. این ارتقاء، با معرفی ویژگی‌های جدید، درهای تازه‌ای به سوی حملات سایبری گشوده است.

این مقاله به بررسی دقیق این آسیب‌پذیری جدید و نحوه عملکرد آن می‌پردازد. ما همچنین راهکارهایی را برای محافظت از دارایی‌های دیجیتال در برابر این تهدید جدید ارائه خواهیم داد. هدف ما این است که کاربران اتریوم را از خطرات احتمالی آگاه کرده و به آن‌ها کمک کنیم تا با اتخاذ تدابیر امنیتی مناسب، از سرمایه خود محافظت کنند. به یاد داشته باشید، در دنیای رمزارزها، آگاهی و احتیاط، کلید اصلی حفظ امنیت است. امنیت اتریوم و دارایی‌های شما، اولویت اصلی است.

پکترا و EIP-7702: دریچه‌ای به سوی سرقت؟

در قلب این آسیب‌پذیری جدید، EIP-7702 قرار دارد، یک جزء اصلی از ارتقاء پکترا. این پیشنهاد بهبود اتریوم، تراکنش SetCode (نوع 0x04) را معرفی می‌کند که به کاربران امکان می‌دهد کنترل کیف پول خود را به قرارداد دیگری واگذار کنند، تنها با امضای یک پیام. این ویژگی، در نگاه اول، بسیار کاربردی و مفید به نظر می‌رسد. اما در عمل، می‌تواند به ابزاری قدرتمند در دست هکرها تبدیل شود.

تصور کنید که یک مهاجم بتواند به هر طریقی (مثلاً از طریق یک سایت فیشینگ) امضای شما را به دست آورد. با استفاده از این امضا، او می‌تواند کد کیف پول شما را با یک پروکسی کوچک بازنویسی کند که تماس‌ها را به قرارداد مخرب خود هدایت می‌کند. به این ترتیب، هکر عملاً کنترل کامل کیف پول شما را به دست می‌گیرد و می‌تواند دارایی‌های شما را بدون نیاز به هیچ گونه امضای اضافی به سرقت ببرد.

آردا عثمان، ممیز قرارداد هوشمند Solidity، این خطر را به این صورت توضیح می‌دهد: «هنگامی که کد تنظیم شد، مهاجم می‌تواند آن کد را فراخوانی کند تا ETH یا توکن‌های حساب را انتقال دهد؛ همه اینها بدون اینکه کاربر هرگز یک تراکنش انتقال معمولی را امضا کند.»

کیف پول‌های قابل تغییر با امضای خارج از زنجیره

یهور رودیتسیا، محقق درون زنجیره‌ای در Hacken، نیز بر این موضوع تاکید می‌کند که نوع تراکنش جدید معرفی شده توسط پکترا، اجازه می‌دهد کد دلخواه روی حساب کاربر نصب شود، که اساساً کیف پول آنها را به یک قرارداد هوشمند قابل برنامه‌ریزی تبدیل می‌کند.

پیش از پکترا، کیف پول‌ها را نمی‌توانست بدون تراکنش امضا شده مستقیم توسط کاربر، تغییر داد. اما اکنون، یک امضای ساده خارج از زنجیره می‌تواند کدی را نصب کند که کنترل کامل را به قرارداد مهاجم واگذار می‌کند. این تغییر، قواعد بازی را به طور کامل دگرگون کرده است و خطرات جدیدی را برای کاربران به همراه دارد.

رودیتسیا توضیح می‌دهد: «قبل از پکترا، کاربران برای اجازه دادن به انتقال وجوه خود نیاز به ارسال تراکنش (نه امضای پیام) داشتند… پس از پکترا، هر عملیاتی ممکن است از قراردادی که کاربر از طریق SET_CODE تأیید کرده است، اجرا شود.»

تهدیدی واقعی و فوری

آردا عثمان هشدار می‌دهد که این تهدید، واقعی و فوری است: «پکترا در ۷ مه ۲۰۲۵ فعال شد. از آن لحظه، هر امضای نمایندگی معتبر قابل اجرا است.»

قراردادهای هوشمندی که بر فرضیات قدیمی تکیه دارند (مانند استفاده از tx.origin یا بررسی‌های اساسی فقط EOA)، به ویژه آسیب‌پذیر هستند. همچنین، کیف پول‌ها و رابط‌هایی که نتوانند این نوع تراکنش‌های جدید را شناسایی یا به درستی نشان دهند، بیشتر در معرض خطر قرار دارند.

رودیتسیا هشدار می‌دهد که «کیف پول‌ها اگر انواع تراکنش‌های اتریوم را تجزیه و تحلیل نکنند، آسیب‌پذیر هستند»، به ویژه نوع تراکنش 0x04. او تأکید می‌کند که موتورهای کیف پول باید درخواست‌های نمایندگی را به وضوح نمایش دهند و هر آدرس مشکوکی را علامت‌گذاری کنند.

راه‌های نفوذ: از فیشینگ تا کلاهبرداری‌های Discord

این شکل جدید از حمله می‌تواند به راحتی از طریق تعاملات معمول خارج از زنجیره مانند ایمیل‌های فیشینگ، DAppهای جعلی یا کلاهبرداری‌های Discord اجرا شود. به همین دلیل، کاربران باید بیش از پیش مراقب باشند و از امضای پیام‌های مشکوک خودداری کنند.

رودیتسیا می‌گوید: «ما معتقدیم که این محبوب‌ترین بردار حمله در رابطه با این تغییرات اساسی معرفی شده توسط پکترا خواهد بود. از این به بعد، کاربران باید با دقت بررسی کنند که چه چیزی را امضا می‌کنند.»

کیف پول‌های سخت‌افزاری: دیگر امن‌تر نیستند؟

یکی از نکات نگران‌کننده این است که کیف پول‌های سخت‌افزاری نیز دیگر ذاتاً امن‌تر نیستند. رودیتسیا می‌گوید که کیف پول‌های سخت‌افزاری از این پس از دیدگاه امضای پیام‌های مخرب، در معرض همان خطری هستند که کیف پول‌های داغ قرار دارند.

«اگر انجام شود، تمام وجوه در یک لحظه از بین می‌روند.»

چگونه در امان بمانیم؟

خوشبختانه، راه‌هایی برای در امان ماندن از این تهدید جدید وجود دارد. اما این راه‌ها نیازمند آگاهی و احتیاط هستند.

رودیتسیا توصیه می‌کند: «کاربران نباید پیام‌هایی را که درک نمی‌کنند، امضا کنند.» او همچنین از توسعه‌دهندگان کیف پول خواست تا هنگام درخواست از کاربران برای امضای پیام نمایندگی، هشدارهای واضحی ارائه دهند.

باید احتیاط ویژه‌ای در مورد فرمت‌های امضای نمایندگی جدید معرفی شده توسط EIP-7702 انجام شود، که با استانداردهای موجود EIP-191 یا EIP-712 سازگار نیستند. این پیام‌ها اغلب به صورت هش‌های ساده ۳۲ بایتی ظاهر می‌شوند و ممکن است از هشدارهای معمولی کیف پول عبور کنند.

عثمان هشدار می‌دهد: «اگر پیامی شامل nonce حساب شما باشد، احتمالاً مستقیماً بر حساب شما تأثیر می‌گذارد. پیام‌های ورود به سیستم معمولی یا تعهدات خارج از زنجیره معمولاً شامل nonce شما نمی‌شوند.»

با اضافه شدن به این خطر، EIP-7702 اجازه می‌دهد برای امضاها با chain_id = 0، به این معنی که پیام امضا شده را می‌توان در هر زنجیره سازگار با اتریوم پخش کرد. عثمان می‌گوید: «درک کنید که می‌تواند در هر جایی استفاده شود.»

نتیجه‌گیری: هوشیاری و به‌روزرسانی، ضامن امنیت

در حالی که کیف پول‌های چند امضایی تحت این ارتقاء به دلیل نیاز به چند امضاکننده، امن‌تر باقی می‌مانند، کیف پول‌های تک کلیدی (سخت‌افزاری یا غیره) باید ابزارهای تجزیه امضا و علامت‌گذاری قرمز جدیدی را برای جلوگیری از بهره‌برداری احتمالی اتخاذ کنند.

ارتقاء پکترا، با وجود مزایای بالقوه، خطرات جدیدی را نیز برای کاربران اتریوم به همراه دارد. برای محافظت از دارایی‌های خود، لازم است که آگاهی خود را در مورد این خطرات افزایش داده و تدابیر امنیتی مناسب را اتخاذ کنید. همواره به یاد داشته باشید که هوشیاری و به‌روزرسانی، ضامن امنیت شما در دنیای رمزارزها هستند.

• Topic: آسیب‌پذیری امنیتی در ارتقاء پکترا اتریوم
• Subheadings: پکترا و EIP-7702: دریچه‌ای به سوی سرقت؟, کیف پول‌های قابل تغییر با امضای خارج از زنجیره, تهدیدی واقعی و فوری, کیف پول‌های سخت‌افزاری: دیگر امن‌تر نیستند؟, چگونه در امان بمانیم؟
• Main Keyword: پکترا اتریوم امنیت
• Selected Keywords: اتریوم، پکترا، امنیت، آسیب‌پذیری، هک، کیف پول، رمزارز
• Meta Description: بررسی آسیب‌پذیری جدید در ارتقاء پکترا اتریوم که می‌تواند منجر به سرقت دارایی‌ها شود. راهکارهای مقابله با این تهدید جدید چیست؟