هشدار جدی به دارندگان اتریوم؛ یک امضای اشتباه میتواند کیفپولتان را خالی کند!
در ارتقای جدید پلتفرم اتریوم با نام پکترا (Pectra)، که در تاریخ ۷ می فعال شد، قابلیتهایی برای بهبود کارایی و قابلیت توسعه حسابهای هوشمند معرفی شده، ولی یک آسیبپذیری جدی امنیتی نیز بههمراه داشته است.
این آسیبپذیری به هکرها اجازه میدهد تنها با دریافت یک پیام امضاشده بهصورت آفلاین، کیف پول کاربران را تخلیه کنند.
طبق گزارشها، در این ارتقا و در قالب طرح پیشنهادی EIP-7702، ویژگیای به نام ستکد (SetCode) معرفی شده که به کاربران امکان میدهد تنها با امضای یک پیام، کنترل کیف پول خود را به یک قرارداد هوشمند دیگر واگذار کنند.
اگر یک هکر موفق به دریافت این امضا از طریق روشهایی مانند فیشینگ، اپلیکیشنهای بدون مرکزیت (DApp) جعلی یا کلاهبرداری در دیسکورد شود، میتواند کنترل کامل کیف پول را در اختیار بگیرد و آن را به یک قرارداد مخرب متصل کند.
در واقع، برخلاف گذشته که برای چنین اقداماتی نیاز به امضای تراکنش آنلاین بود، اکنون با این تغییر جدید، تنها یک امضای آفلاین کافی است تا کیف پول در معرض خطر قرار گیرد.
این موضوع حتی کیف پولهای سختافزاری را نیز که تا پیش از این بهعنوان امنترین گزینهها شناخته میشدند، تحتاثر قرار داده است.
بر این اساس، پژوهشگران ایمنی آنچین هشدار دادهاند که کاربران باید پیش از امضای هر پیام آفلاینی، از دارای اعتبار بودن آن اطمینان حاصل کنند و از امضای پیامهای مشکوک خودداری نمایند.
در مجموع، اگرچه این ارتقا گامی رو به جلو در توسعه پلتفرم اتریوم به شمار میرود، ولی آسیبپذیری جدید آن میتواند تهدیدی جدی برای ایمنی کاربران باشد.
