Преимущества и опасности обновления Pectra: как новшество упростило жизнь мошенникам

Дисклеймер: Для глубокого процесса понимания технологических аспектов данной статьи редакция настоятельно рекомендует ознакомиться с материалами на сайте, посвященными абстракции учетной записи и апгрейду Pectra.

Майский апгрейд Pectra не только оказал влияние на цену Ethereum, но и добавил в экосистему новые функции и улучшения. В частности, был расширен функционал абстракции учетной записи (АУЗ): теперь существуют новые типы транзакций, позволяющие обычным адресам действовать как кошельки смарт-контрактов.

С одной стороны, данные изменения увеличили области применения АУЗ и упростили работу для пользователей, однако, с другой стороны, они предоставили хакерам возможность опустошать кошельки жертв, используя всего одну подпись. Мы расскажем о новых уязвимостях, которые используют злоумышленники, и о том, как защитить свои активы.

Проблемы, связанные с рисками использования системы абстракции учетной записи, обсуждали еще до того, как Pectra была активирована в основной сети. Первой частью обновления стало EIP-3074, которое подразумевало «делегирование контроля над EOA смарт-контракту». Тем не менее, это предложение было отклонено в пользу более безопасного, как считали, варианта EIP-7702, предложенного Виталиком Бутериным.

Критика EIP-3074 заключалась в том, что он передавал практически полный контроль над кошельком смарт-контракту, что позволяло злоумышленникам легко опустошить счет пользователя с помощью единственной подписи.

Традиционные EOA требовали разрешения на каждую транзакцию после подключения кошелька к протоколу. К примеру, на DEX каждое торговое действие следует подтверждать вручную. EIP-3074 устраняла эту необходимость благодаря использованию опкодов AUTH и AUTHCALL, но это сделало учетные записи более уязвимыми к атакам.

Отклоненное предложение, как уже упоминалось, передавало контроль над внешним адресом смарт-контракту, в то время как EIP-7702 добавлял код смарт-контракта к EOA. Эта инициатива вводила новый тип транзакций user_operation и включала возможность аннулирования разрешений, обеспечивая совместимость с будущими обновлениями АУЗ.

Тем не менее даже сам Бутерин указал на серьезные недостатки системы, включая риски доверия и централизации:

«Существует предположение, что аналогичная проблема возникнет у любого предложения, подразумевающего использование EIP-3074 через “деэскалацию привилегий” (также известную как дополнительные ключи)».

Он оказался прав: перемещение кода на уровень учетной записи не предотвратило фишинговые атаки, а в некотором смысле даже упростило их.

Функционал смарт-аккаунтов позволяет осуществлять сложные транзакции в одном действии, устанавливать лимиты расходов, проводить автоматические платежи и оплачивать газ в нативной токене вместо ETH. Но что произойдет, если злоумышленники создадут протокол, который будет просто отправлять все ваши средства на их кошелек? И для этого достаточно будет одной подписи.

Согласно данным на Dune от Wintermute, с момента активации Pectra 7 мая общее число делегаций EOA смарт-контрактам превысило 140 000. Лидирующие платформы по количеству авторизаций включают WhiteBIT, OKX Wallet и MetaMask.

Всего было создано 218 смарт-контрактов с функцией делегирования прав.

20 мая эксперты GoPlus Security зафиксировали один из первых случаев фишинга, связанного с АУЗ. Они проанализировали подозрительный смарт-контракт и обнаружили, что его подписание моментально активировало функцию автоматической передачи активов с кошелька жертвы на адрес злоумышленников.

Согласно данным блокчейна, смарт-контракт получил около 300 авторизаций.

«Сложный механизм кражи. Эта сложная атака использует доверие пользователей к новому EIP-7702», — сообщили аналитики GoPlus.

В дашборде Wintermute также предусмотрена классификация контрактов для делегирования. В настоящее время примерно 72,8% составляют «преступные» контракты. Вторая по величине категория (15%) относится к розничным кошелькам, а третья (9%) — к «услугам».

24 мая аналитики ScamSniffer сообщили о жертве фишинга с использованием АУЗ, которая потеряла около $146 000 в криптовалютах из-за «вредоносных пакетных транзакций».

Параллельно Web3-исследователь заметил, что группа хакеров AngelFerno добавила поддержку функционала EIP-7702 в распространяемый дрейнер. Эта вредоносная программа позволяет одновременно выводить до 10 различных токенов за одну подпись в сетях Ethereum, BNB Chain и Gnosis.

На сегодняшний день универсальных методов защиты от злоумышленников при переходе на смарт-кошельки не существует, как и в случае с традиционным фишингом в блокчейне. Однако эксперты по кибербезопасности единодушны в том, что внимательность является ключевым моментом.

Среди возможных рекомендаций:

GoPlus Security также отметили, что широко используемые кошельки, такие как MetaMask, уже включили предупреждения о рисках, связанных с EIP-7702. При взаимодействии с подозрительными протоколами приложение будет отображать соответствующие уведомления.

Поскольку пользователи охотно переходят к расширенным функциям кошелька, злоумышленники обнаружили новые способы извлечения выгоды. Тем не менее, это не означает, что EIP-7702 потерпел неудачу — это обновление все еще обладает сильными сторонами и преимуществами, такими как улучшение пользовательского опыта.

Взаимодействие с блокчейн-технологиями всегда связано с личной ответственностью за защиту своих средств, но абстракция учетной записи требует еще большей внимательности, чем когда-либо. Не забывайте о рисках и основных принципах кибербезопасности, если вы решите трансформировать свой кошелек в смарт-контракт.