Tính năng Ethereum mới phản tác dụng mất 150K USD trong tấn công sweeper sau nâng cấp Pectra

Bản nâng cấp Pectra của Ethereum giới thiệu EIP-7702, cho phép ví tiền điện tử tạm thời hoạt động như hợp đồng thông minh nhằm nâng cao trải nghiệm người dùng.

Tính năng này, do Vitalik Buterin đề xuất, hỗ trợ trừu tượng hóa tài khoản, cho phép người dùng gộp giao dịch, tài trợ phí gas và kiểm soát chi tiêu chặt chẽ hơn.

Mặc dù cải thiện tính tiện lợi và bảo mật cho ví, EIP-7702 cũng trở thành mục tiêu dễ bị tấn công.

Nguồn: X

Phân tích của Wintermute cho thấy hơn 80% các ủy quyền EIP-7702 được sử dụng bởi một hợp đồng độc hại duy nhất, gọi là “CrimeEnjoyor”. Mã hợp đồng này ngắn gọn, sao chép nhưng rất hiệu quả.

Khi hợp đồng này truy cập được vào ví bị xâm phạm – thường qua phishing – nó lập tức rút hết tiền về địa chỉ của kẻ tấn công.

Đây là kiểu tấn công tự động quy mô lớn và gây thiệt hại nghiêm trọng.

Nguồn: X

Công ty bảo mật blockchain Scam Sniffer nhận định một vụ việc nạn nhân bị mất gần 150.000 USD trong một giao dịch gộp duy nhất liên quan đến dịch vụ Inferno Drainer nổi tiếng.

Với hàng nghìn giao dịch tương tự được ghi nhận, các tính năng nhằm đơn giản hóa Ethereum cũng có thể đồng thời đẩy nhanh các lỗ hổng bảo mật.

Có thể vấn đề không phải từ mã nguồn

Vấn đề cốt lõi của đợt tấn công rút tiền gần đây không phải do EIP-7702 gây ra mà là tình trạng private key bị lộ hoặc đánh cắp.

Tính năng mới chỉ giúp hacker khai thác ví bị xâm phạm nhanh hơn và tiết kiệm chi phí hơn. Các công ty bảo mật như SlowMist khuyến nghị nhà phát triển ví phải tăng cường theo dõi tương tác hợp đồng và nâng cao bảo vệ người dùng.

Nguồn: X

Khi Ethereum tiếp tục phát triển, ưu tiên cần tập trung vào thiết kế ví thông minh hơn, cảnh báo rõ ràng khi ký giao dịch và nâng cao ý thức bảo mật cho người dùng.

Xem thêm:  Quỹ Ark Invest mua 31 triệu USD cổ phiếu Block Inc.

Bởi dù tính năng có sáng giá đến đâu, chúng cũng sẽ phản tác dụng khi bảo mật cơ bản bị lơ là.